Passwort im Erpresser-Spam? Unangenehm. Aber nicht automatisch ein Picr-Problem.

Wenn dir plötzlich eine Spam- oder Erpresser-Mail ins Postfach flattert und darin tatsächlich eines deiner Passwörter steht, ist der erste Gedanke oft klar: Oh nein, da wurde wohl genau dieser Dienst gehackt. Verständlich. Aber genau das ist in vielen Fällen vorschnell gedacht.

Bei Picr werden Passwörter nicht lesbar gespeichert. Stattdessen werden sie nur in einer geschützten Umwandlungsform abgelegt, einem sogenannten Hash. Vereinfacht gesagt ist ein Hash wie ein Küchenhäcksler für Passwörter: Oben wirfst du MeinSuperPasswort123 hinein, unten kommt nur noch unlesbarer Zeichensalat heraus. Und aus einem fertigen Smoothie baut dir auch niemand wieder die ursprüngliche Banane, den Apfel und die halbe Erdbeere zusammen. Genau das ist der Sinn der Sache. Und der Mechanismus, der den Hash aus deinem Passwort auf Picr erstellt, ist so aberwitzig komplex gestaltet und auch so geheim, dass es es sogar mit modernster Technik unmöglich ist, ihn rückzuwandeln.

Zusätzlich sorgen weitere Schutzmechanismen dafür, dass selbst identische Passwörter bei verschiedenen Nutzern nicht einfach gleich aussehen. Auch die Datenbank selbst ist besonders abgeschirmt und nicht direkt aus dem Internet erreichbar. Picr überprüft sich auch jeden Tag aufs Neue selbst: Sind meine Scripte noch die Alten? Kam nichts Neues dazu? Im "Fachchinesisch" heißt das "Quersummenprüfung" und sorgt dafür, dass sich kein fieser Datenklau-Wurm bei uns einnisten kann. Das alles macht es sehr unwahrscheinlich, dass ein im Spam genanntes Passwort einfach so direkt aus Picr im Klartext stammen könnte. Und es sind auch tatsächlich keine Fälle bekannt, bei denen wirklich bei Picr das Passwort entwendet werden konnte.

Wie kann so ein Passwort dann trotzdem in einer Mail auftauchen?

Die unangenehme Antwort lautet: Es gibt leider mehrere Wege, auf denen Passwörter verloren gehen können, ohne dass Picr die Ursache sein muss. Und viele dieser Wege sind im Alltag sogar deutlich wahrscheinlicher.

• Alte Datenlecks bei anderen Diensten: Sehr häufig stammt ein solches Passwort aus einem ganz anderen Vorfall, etwa bei einem alten Forum, Shop, Spiel oder Onlinedienst. Solche Daten tauchen teils noch Jahre später in Spam-Kampagnen wieder auf.
• Passwort-Wiederverwendung: Wer dasselbe Passwort an mehreren Stellen nutzt, baut versehentlich eine Brücke zwischen völlig unabhängigen Diensten. Fällt ein Konto, geraten schnell auch andere unter Verdacht, obwohl sie gar nicht betroffen sind.
• Phishing: Manchmal wurde gar nichts technisch geknackt. Das Passwort wurde schlicht auf einer täuschend echten, aber gefälschten Login-Seite eingegeben. Kriminelle lieben keine Magie, sondern glaubwürdige Nachbauten.
• Schadsoftware auf dem eigenen Gerät: Viren, Trojaner oder andere Mitlese-Programme können Passwörter direkt am Rechner oder Smartphone abgreifen. Dann liegt das Problem nicht auf dem Server, sondern sehr viel näher an Tastatur und Bildschirm.
• Unsichere Browser-Erweiterungen oder kompromittierte Software: Auch Erweiterungen, Tools oder seltene Sicherheitslücken in Browsern und Passwortmanagern können eine Rolle spielen. Das ist nicht der häufigste Fall, aber technisch durchaus möglich.
• Kompromittiertes E-Mail-Konto: Wer Zugriff auf dein Mailkonto hat, kann oft Passwort-Resets anstoßen, Sicherheitsmails lesen und weitere Konten übernehmen. Dann wirkt es schnell wie ein Problem vieler Dienste, obwohl der eigentliche Schlüssel an ganz anderer Stelle verloren ging.
• Unsichere Gewohnheiten im Alltag: Passwörter in Notizen, alten Textdateien, Screenshots, Cloud-Ordnern oder Messenger-Chats abzulegen ist praktisch, aber leider manchmal auch praktisch für die falschen Leute.

Was bedeutet eine solche Mail also wirklich?

Vor allem eines: Irgendwo ist ein Passwort bekannt geworden. Das sollte man ernst nehmen, aber man sollte daraus nicht automatisch den falschen Schluss ziehen. Viele Erpresser-Mails arbeiten mit alten, bereits kursierenden Passwortlisten aus fremden Datenlecks und setzen darauf, dass der Schock den Rest erledigt.

Das Prinzip dahinter ist simpel: Ein echtes Passwort in einer Mail wirkt glaubwürdig, also steigt die Panik. Und Panik ist bekanntlich ein miserabler IT-Berater. Technisch steckt dahinter oft kein aktueller Einbruch, sondern eher die moderne Variante von: Wirf mit altem Wissen laut genug um dich, irgendwer wird schon zusammenzucken.

Was sollte man in so einem Fall tun?

• Nicht zahlen. Erpresser werden durch Geld nicht ehrlicher, nur in ihrer Geschäftsidee bestätigt.
• Das betroffene Passwort sofort ändern. Und zwar nicht nur an einer Stelle, sondern überall dort, wo es identisch oder ähnlich verwendet wurde.
• Für jeden Dienst ein eigenes Passwort verwenden. Das ist einer der wirksamsten Schutzmechanismen überhaupt.
• Geräte prüfen. Browser, Erweiterungen, installierte Programme und das System selbst sollten auf Auffälligkeiten kontrolliert und aktuell gehalten werden.
• Das E-Mail-Konto besonders gut absichern. Denn wer die E-Mail kontrolliert, kontrolliert oft gleich den Reset-Knopf für den Rest.

Fazit

Ein Passwort in einer Erpresser-Mail ist unangenehm und sollte ernst genommen werden. Es ist aber kein automatischer Beweis dafür, dass Picr gehackt wurde. Viel wahrscheinlicher sind alte Fremd-Leaks, mehrfach verwendete Passwörter, Phishing, kompromittierte Geräte oder andere Schwachstellen außerhalb von Picr.

Anders gesagt: Nur weil jemand mit deinem Hausschlüssel wedelt, heißt das noch lange nicht, dass er ihn direkt aus deiner Haustür gezogen hat. Manchmal lag der Schlüssel ganz woanders herum. Und genau deshalb lohnt es sich, ruhig zu bleiben, sauber zu prüfen und lieber die echten Ursachen anzugehen, statt vorschnell die falsche Tür einzutreten.

Eine kleine Challenge des Vertrauens darf dann nicht fehlen. Das hier ist der Hash des Administrator-Kontos von Picr, wie er in der DB steht: 1021c1e45eb44c410cd80718e6852eb4 - Viel Erfolg beim Knacken!