Ich habe gerade die letzten Stunden damit verbracht, zig Kennwörter zu ändern, da -trotz Vorsichtsmaßnahmen, aktivem Virenschutz und nach eigener Einschätzung guter Sachkenntnis- eine meiner (älteren) E-Mail Adressen in der BSI Liste der gehackten Konten war.
Daher meine dringende Empfehlung: Prüft Eure E-Mail Adresse beim BSI und ändert Eure Kennwörter, mindestens bei den kritischen Diensten wie Onlinebanking, eBay, Amazon, sowie den sozialen Netzwerken Facebook, Xing, Linkedin, Tumlr oder wo auch immer Ihr Konten habt.

Wenn Euer Passwort gehackt wurde, ist es keine Frage ob, sondern nur eine Frage, wann Euer Account an der Reihe ist. Und macht, bevor Ihr Kennwörter ändert, den Sicherheitscheck auf Eurem PC; ansonsten besteht die Gefahr, dass Euer neu eingetipptes Kennwort unmittelbar an die Hacker übermittelt wird – und das wäre dann kontraproduktiv. Das ist (leider) kein Scherz und keine Übertreibung.

Welche Sicherheitsmaßnahmen bzw. Software kann man empfehlen? Das BSI empfiehlt nicht umsonst Avira Antivirus; auch ich habe damit gute Erfahrungen gemacht. Allerdings würde ich nicht die kostenlose Version nehmen, sondern die Internet Security Suite kaufen, da hier auch vorbeugender Schutz enthalten ist (und nicht nur das Behandeln von Viren, die bereits auf dem Rechner sind). Bei mir ist die im Einsatz und ich habe seit Jahren keinerlei Probleme.

Die Quelle der gehackten Adressen ist übrigens vermutlich nicht auf unsichere private oder geschäftliche PCs zurückzuführen; bei 8 von 16 Mio Adressen wäre ja praktisch jeder zehnte Rechner in Deutschland gehackt. Vermutlich haben die Hacker Daten von einem großen Anbieter (wie einst bei der Telekom 17 Mio Kreditkartendaten) gehackt. Das könnte ein EMail-Anbieter wie gmx.de oder web.de sein, oder ein großer Shop wie amazon, Zalando oder andere. Auch ein soziales Netzwerk käme in Betracht; ich konnte bei meinem LinkedIn Account seltsame E-Mail Adressen feststellen. Xing oder wer-kennt-wen könnte es auch sein… ist aber alles nur Spekulation.

Die beste Methode zur Schadensbegrenzung ist es, bei jedem Anbieter ein anderes Passwort zu verwenden. Wird dann ein Passwort gehackt, dann kommt der Hacker tatsächlich nur bei dem einen Anbieter zum Zug – alle anderen haben ja andere Passwörter. Wenn eine Adresse allerdings beim BSI als gehackt angezeigt wird, hilft es momentan nur, alle Accounts bei allen Anbietern zu ändern, denn man weiß nicht, welches Passwort den Hackern bekannt ist. Das hat eben die anfangs beschriebene stundenlange Arbeit hervorgerufen. Ich wünsche Euch viel Glück und dass Ihr nicht betroffen seid!

Noch einmal die Maßnahmen in Kurzform: 

1. Antivirus / Sicherheitssoftware installieren und den PC prüfen (um Schadsoftware bei der Festlegung der neuen Passwörter nicht mit „frischen Informationen“ zu versorgen
2. Bei allen Accounts, die die bei BSI als „positiv“ genannte E-Mail-Adresse betreffen, die Passwörter ändern. Generell: Bei jedem Anbieter ein anderes Passwort verwenden; das kann ein Basispasswort + zwei Buchstaben oder Zahlen sein. Beispiel: Basispasswort = mAxS!cher –> Passwort für amazon ammAxS!cher –> Passwort für EBay ebmAxS!cher
3. Regelmäßig oder automatisch Updates der Sicherheitssoftware installieren
4. Verdächtige E-Mails nicht öffnen und niemals darin enthaltene Links anklicken. Aktuell häufen sich Mails, die den Rechnungs-Emails von Telekom oder vodafone täuschend echt ähnlich sehen. Darin enthaltene Links führen aber auf Webseiten in Russland – mit fatalen Folgen, wenn keine funktionierende und aktuelle Sicherheitssoftware installiert ist. Das Problem bei den Mails mit Links auf Webseiten ist, dass der „Anbieter“ sprich Hacker auf den Webseiten jederzeit neue, noch nicht bekannte Viren oder Schadsoftware installieren kann und damit der Virenscanner die Schadsoftware möglicherweise nicht erkennt.