Sie selbst habe dort schon kräftig eingekauft, schrieb Frenzel scheinbar ihren Freunden. Tatsächlich hatte ein obskurer Anbieter namens "365eurbuy.com" ihr Postfach gekapert.

Solche Fälle kämen im Moment sehr häufig vor, sagt Jens Heider, Leiter des IT-Sicherheitslabors beim Fraunhofer-Institut für Sichere Informationstechnologie in Darmstadt. Passwörter auszuspionieren gehöre mittlerweile zum Standardrepertoire jeder Schadsoftware. Viele Nutzer machten es den Angreifern aber allzu leicht, indem sie ein zu simples Passwort ohne Zahlen und Sonderzeichen auswählen. So bekommen Programme, die einfach Buchstabenkombinationen durchprobieren, das Postfach schnell geknackt.

Für dieses Haupteinfallstor sind viele Nutzer zwar mittlerweile sensibilisiert. Doch die Hintertür vernachlässigen ebenso viele weiterhin: Das sogenannte Recovery-Passwort. Mit dessen Hilfe gelangen sie in ihr Postfach, wenn sie das Haupt-Passwort vergessen haben. In der Regel ist es die Antwort auf eine persönliche Frage, etwa nach der Lieblingsfarbe oder dem Mädchennamen der Mutter.

Viele Nutzer gäben sich bei der Auswahl ihres Recovery-Passworts zu wenig Mühe, sagt Jens Heider. "Da sollten die Leute viel mehr Kreativität aufbringen." Lässt ein Nutzer etwa seinen Geburtsort abfragen, muss ein Angreifer nur die Liste der Krankenhäuser durchprobieren. In letzter Zeit hätten diese Angriffe stark zugenommen. So knackten Hacker auch das Postfach von Paris Hilton.

Doch wie handelt man sich Schadsoftware, die Passwörter ausspäht, überhaupt ein? Gern schmuggeln Hacker über Trojaner Spionageprogramme auf die Rechner ihrer Opfer, warnt Matthias Gärtner vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Sie hängen die Trojaner an Mails an, die Gewinne anpreisen oder mit Mahnungen in Panik versetzen wollen.

Andere Internetkriminelle fälschen Webseiten von Kreditinstituten, fragen bei der Registrierung ein Passwort oder die Geheimnummer des Bankkontos ab.

Bevor Nutzer selbst Mails verschicken, sollten sie prüfen, ob ihre Verbindung durch eine SSL-Verschlüsselung geschützt ist. Denn eine unverschlüsselte E-Mail sei genauso leicht zu manipulieren wie eine mit Bleistift geschriebene Postkarte, sagt Matthias Gärtner. Um sich vor Passwortspionen zu schützen, sollten Anwender außerdem regelmäßig ihr Virenschutzprogramm und ihre Firewall aktualisieren.

Beim Surfen in der Öffentlichkeit ist extreme Vorsicht geboten. Zu Hause bildet der Router mit seiner Hardware-Verschlüsselung einen ersten, starken Schutzwall, wie Heider erläutert - am Hotspot gilt das nicht. Besonders dringend warnt der Experte Nutzer davor, sich von kostenlosen Drahtlosnetzwerken locken zu lassen: Jeder Betrüger könne aus dem Netz eine CD herunterladen, die er nur in sein Laptop einlegen muss, um sich als Gratis-Hotspot auszugeben. Nimmt ein Argloser das Angebot an, kann der Datendieb seine Kommunikation mitlesen. "In fünf Minuten hat man so sein erstes Passwort."

Auch für Konten bei Providern, Sozial-Netzwerken oder Onlineshops denken sich Nutzer besser jeweils eigene Passwörter aus. Sonst gelte: Ist eines geknackt, sind alle geknackt. Auch wenn die Täter kaum erwischt werden, rät Heider, bei der Polizei Anzeige zu erstatten. "Dann hat man schriftlich etwas in der Hand, wenn noch schlimmerer Schaden entsteht."