Wie mein Steam-Account gestohlen wurde – und ich ihn wiederbekam

Es begann ohne ein Vorzeichen oder eine Ankündigung. Noch am Montag spielte Daniel Wendorf mit Freunden über Steam. Einen Tag später war sein Konto gekapert. Was er erlebte und wie er es letztlich wiederbekam.

Feierabend! Und zur Entspannung ein paar Runden Formel 1 fahren, ein taktisches Manöver in X-COM planen oder den Verlauf der Menschheitsgeschichte in Civilization VI ändern. Also schnell rein in den Steam-Account und losgespielt. Über Sicherheit machte ich mir keine Gedanken. Klar, man liest öfter von Sicherheitslecks, Konto-Diebstahl und zwielichtigen Betrügereien – und wie man dem vorbeugen könne. Aber so nah mir meine Spielesammlung nach dem Feierabend war, so weit weg waren die Gedanken daran, dass mich eines Tages ein solcher Diebstahl treffen könnte.

Bis zu diesem Tag, an dem es auch mich erwischte – und ein Drama in fünf Akten begann.

1. Akt: Sicherheit ist groß geschrieben? Klar, aber nicht immer.

Email-Zugriff, Google-Konto, Facebook-Zugang oder Online-Banking. Alle wichtigen Logins im Internet habe ich mir vor Ewigkeiten mit der Zwei-Faktor-Authentifizierung gesichert. Heißt: Neben dem eigentlichen Passwort verlangt der Betreiber noch eine weitere Ziffern- und Buchstabeneingabe, um „reinzukommen“. Was ich nicht sicherte, das war mein Steam-Account.

Falls ihr Steam nicht kennt: Das ist eine Plattform, auf der Nutzer ihre PC-Games registrieren, verwalten und runterladen. Austausch mit Freunden und Spielern aus aller Welt wickelt ein interner Messenger ab, in einem virtuellen Inventar bunkert ihr kosmetische Gegenstände und Spiele, die ihr verschenken, tauschen oder verkaufen könnt.

Wie ihr die Zwei-Faktor-Authentifizierung einrichtet

Zeitgemäße Nutzersicherheit beginnt im Netz mit der Zwei-Faktor-Authentifizierung. Die stellen zusätzliche Apps und Telefonnummernverknüpfungen sicher. Neben Logindaten erhaltet ihr ein temporäres Passwort oder einen speziellen Login-Code.

Empfehlenswert ist Googles Authenticator für Android und – Überraschung – Apples iOS. Diese App deckt viele gängige Dienste ab. Manche Dienste wie Blizzards Battle.net (Google PlayApple iOS) oder eben Steam (Google Play | Apple iOS) setzen auf eigene Lösungen.

Meist sind die Authentifikator-Optionen in den Sicherheitseinstellungen eurer Anbieter zu finden. Zur Not bemüht ihr die FAQ-Sektion. Einmal eingeschaltet, braucht ihr immer zwei Schlüssel. Das mag weniger komfortabel sein als der flotte Login, steigert aber die Sicherheit.

2. Akt: Schwupps, weg!

Rückblickend gesehen war es ein gravierender Fehler, nicht Steam über die Zwei-Faktor-Authentifizierung zu sichern. Inhaber Valve empfiehlt dies ausdrücklich. Aus guten Gründen. Die Plattform geriet in den vergangenen Jahren öfter mit der gleichen Meldung in die Schlagzeilen: Nutzerdaten und Logins entwendet. Der Betreiber wälzt die Verantwortung auf die Nutzer ab. Wer sich nicht vor Missbrauch schützt – so der Tenor – ist selber Schuld.

Nüchtern betrachtet, war mein Account eine echte Zocker-Schatzkammer. Etwas mehr als 1.000 Spiele (viele davon über Pressearbeit erhalten), ein proppenvolles Inventar mit kosmetischen Gegenständen und zwei Dutzend Games zum Verschenken.

Und dann kam eben jener Dienstag. Von einen auf den anderen Moment konnte ich mich nicht mehr einloggen. Passwort? Falsch. Eine Minute später war der Nutzername geändert. Verdammt.

Wie die Diebe Accounts stehlen

Vorbei sind die Zeiten, in denen Datendiebe nach dem Erbeuten einer Email-Adresse automatisiert hunderte von Passwörtern ausprobieren, um sich Zugriff zu verschaffen. Mittlerweile setzen sie auf kleine Tools, die Tastenanschläge ausspionieren oder Datenbankserver angreifen.

haveibeenpwned

Bei all den Datenbank-Hacks kann man schon mal den Überblick verlieren. Wollt ihr wissen, ob jemand eure Mail-Adresse erbeutete, ist haveibeenpwned die erste Adresse.

Es gibt eine Reihe weiterer Möglichkeiten, die wir hier nicht vertiefen wollen. Was ihr tun könnt, um euch (nachträglich) abzusichern, sind regelmäßige Besuche von Seiten wie haveibeenpwned. Dort gebt ihr eure Email-Adresse(n) ein und erhaltet sofort eine Rückmeldung, ob und wann zuletzt Passwörter über Datenbank-Attacken abgegriffen worden sein könnten.

3. Akt: Freunde in der Not

Dass ein Login mal nicht funktionierte, war mir nicht neu. Es konnte durchaus vorkommen, dass Steam Probleme mit der Nutzerverwaltung hatte. Dass etwas im Argen lag, erfuhr ich nur Minuten später. Beim Passwort-Reset zeigte Steam an, dass eine russische Email-Adresse hinterlegt sei.

Kurz darauf meldete sich ein Freund und fragte, seit wann ich denn Counter-Strike spielen würde. Zur Erklärung: Das Spiel ist Bestandteil meiner Bibliothek, aber ich mag es nicht sonderlich. Das wusste er und konnte deshalb reagieren.

Übernahme - Steam-Account gestohlen

Gut, auch online Freunde zu haben. Neuer Accountname und veränderter Profil-Link waren erste Spuren zum Dieb.

Er fragte außerdem, wieso ich meinen Steam-Namen änderte und fügte einen Screenshot bei. Er bestätigte, was ich bereits befürchtete: Der Account war weg. Immerhin kannte ich „meinen“ neuen Namen. Der Steam-Dieb bekam erste Konturen. Er verpasste sich einen fancy Namen, klatschte sich die Zahl 225 ans Ende. Über seinen Profileintrag ließ er wissen, dass er aus Russland käme. Es waren flüchtige Fehler – und nicht seine letzten.

Vernetzung ist alles

Mit Hinblick auf Steam ist es gut, Freunde zu haben, die euch kennen. Denn sie können euch notfalls darüber informieren, wie euer alter Account neuerdings heißt und was der Hijacker damit anstellt. In diesem Fall war die Information eines Freundes Gold wert. Dieser gab mir mit der ungewöhnlichen Spiele-Aktivität und der Namensänderung zwei wichtige Informationen an die Hand.

4. Akt: Der lange Weg zurück zum Account

Da der Hijacker das Profil auf „öffentlich“ beließ, waren seine nächsten Schritte gut nachvollziehbar. Er hatte den Namen geändert und der Reihe nach die Freundesliste geleert, sowie einige Kommentare zu Spielen gelöscht. Ein Vorgehen, von dem man häufiger liest, denn dem Hijacker geht es zunächst darum, alle Verbindungen zum vorherigen Account-Leben zu kappen.

Andere Muster hingegen waren und sind mir unverständlich. So startete er parallel bis zu zehn (!) Spiele und zockte diese für je ein bis zwei Stunden. Danach waren andere Titel an der Reihe.

Nach einem halben Tag füllte er die Freundesliste neu. Und zwar mit jemandem, der dieselbe Zahl (die erwähnte 225) trug und dessen Profil ebenfalls auf „öffentlich“ stand. Ein kurzer Blick in dessen Spieleliste zeigte, dass eben dieser Account Spiele aus meinem Inventar bekam. Meine Freundesliste kannte ich zum Glück auswendig; ich konnte sie in einem Textdokument niederschreiben.

„Willkommen“ in der Loop. Steams Support-Seite ist leider wenig nutzerfreundlich.

Es war höchste Zeit, meinen Account zurückzuholen. Steams Support ist unter Spielern berüchtigt, weil viele Wege in Sackgassen münden. Und auch bei mir fühlte es sich zunächst wie eine Zeitschleife an. Plattformbetreiber Valve fragte, warum ich mich nicht einloggen konnte. Egal, welche Antwort ich anklickte, irgendwie endete es im Nichts. Erst im Netz wurde ich fündig und fand eine Schritt-für-Schritt-Anleitung, um letztlich beim Support zu landen. Dann ging es ans Ausfüllen der einzelnen Felder.

Wie ihr zum korrekten Support-Formular auf Steam kommt

Der Kontaktweg zum Steam-Support ist beschwerlich. Geht zunächst über diesen Link und gebt in das obere Feld euren Accountnamen oder die Email-Adresse ein. Löst das Captcha und klickt auf „weiter“. Sofort erscheint eine Fehlernachricht, dass ihr euch nicht mehr einloggen könnt. Klickt dann auf „Passwort vergessen“ und schon seid ihr auf dem eigentlichen Hilfsformular.

Ihr könnt eure Adresse nicht mehr nutzen? Versucht die Eingabe eures Accountnamens. Fruchtet das nicht, klickt ihr auf „Passwort vergessen“ und landet letztlich im Support-Formular. Zwischenziel erreicht!

Was Steam dann abfragt, erschlägt euch auf den ersten Blick. Sammelt die Informationen am besten vorab und gebt sie dann in einem Vorgang ein.

Grundlegende Informationen:

  • Die erste Email-Adresse, mit der ihr euren Account registriert habt
  • Eine Telefonnummer, die ihr hinterlegt habt.

Um Spielekäufe zu belegen:

  • Den Namen eures Paypal-Accounts
  • Eine PayPal-Rechnungsnummer (mit 17 Stellen)
  • Die mit PayPal verknüpfte Email-Adresse

Zusätzliche, optionale Informationen:

  • Nennt einen digital (!) erworbenen Steam-Code, den ihr irgendwann registriert habt
  • Beschreibt, was mit eurem Account passiert ist.
  • Hängt eine Bilddatei an. In dieser muss der Code eines im Einzelhandel (!) erworbenen Spieles abfotografiert sein. Unter den Steam-Key schreibt ihr die euch zugewiesene Ticketnummer.

Eindeutige Identifizierung

Was Steam hier verlangt, sind doppelt und dreifach Belege dafür, dass der Account euch gehört. Das mag zunächst lästig erscheinen, sichert euch aber gegen Retourkutschen ab. Und ehrlich: Mir half es, den Puls zu senken. Denn die Nachweise bekam ich mit etwas Suchen zum Glück alle zusammen. Dann hieß es, abzuwarten. Drückt der Schuh und werdet ihr ungeduldig, könnt ihr, wie ich, einen Blick auf die Support-Statistik werfen. Er zeigt euch, wie lange eine Anfrage durchschnittlich braucht.

Die Wartezeit nutzte ich und notierte, was der Dieb mit meinem Konto veranstaltete. Welche Spiele er zockte, ob er neue Freunde hinzufügte, das Inventar lehrte.

Dann, nach knapp zwei Tagen, kam die erlösende Email.

Der Support meldete sich und teilte mit, dass der gestohlene Steam-Account mir gehöre und dem Hijacker entzogen sei. Eine zweite Nachricht mit einem temporären Passwort komme sofort. Nach der Re-Aktivierung solle ich unbedingt die Zwei-Faktor-Authentifizierung über Steam Guard einrichten. Das musste man mir nicht zweimal sagen.

Steam-Account gestohlen

Die erlösende Nachricht! Das Konto ist wieder mein und die Zwei-Faktor-Authentifizierung flugs eingerichtet.

Akt 5: Das dreiste Nachspiel

Nach dem Login dauerte es keine Minute, ehe ich eine Nachricht des Hijackers auf Russisch bekam. Ich solle ihm seinen Account wiedergeben, herrschte er mich an. Da sei meiner, entgegnete ich. Daraufhin schmiss er nicht nur mit Beleidigungen um sich, sondern auch noch mit Drohungen. Er werde sich an den Steam Support wenden! Dem konnte ich zum Glück nun gelassen entgegensehen, denn ich hatte ja mehrere stichhaltige Beweise vorgelegt und mittlerweile auch Steam auf meiner Seite.

Während ich seine Verbindungen nach und nach kappte, schrieb er munter weiter. Ich könne doch meinen Klarnamen nennen, dann könne man sich über Social Media austauschen und über den Account verhandeln. Und hey, er habe Geld dafür ausgegeben. Als das war mir herzlich egal. Seine Intention offenbar: Weitere Informationen über mich sammeln und mein Konto weiter verfolgen.

Ich löschte die Alias-History (die festhält, unter welchen Namen ich früher spielte), nahm seine Freunde von der Liste und teilte ihm mit, dass es vorbei sei. Ich bannte und blockierte ihn, setzte den Namen zurück und begann, meine Freunde erneut einzuladen.

Das Nachspiel war damit nicht noch nicht beendet. Schließlich hatte er das Spiele-Inventar geplündert. Ich kontaktierte Steam einmal mehr und bat, mir die zu Unrecht entwendeten Titel wiederzugeben. Anders als bei kosmetischen Artikeln und virtuellen Sammelkarten ist die Policy hier eindeutig.

Steam unterband das Schlimmste

Da er den Authenticator einsetzte, war es ihm nicht möglich, die Inventargegenstände zu versilbern. Bei jeder Neuanmeldung oder Änderung der Zwei-Faktor-Authentifizierung greift eine 15-tägige Sperre, innerhalb derer der Handel ausgesetzt ist.

Steam Account gestohlen

600 Spielstunden in zwei Tagen? Skurril.

Ich bekam alles wieder, verlor keinen einzigen Gegenstand, und der Dieb stand mit nichts da. Glück gehabt!

Eine letzte Kuriosität: Steam summiert die Spieldauer der letzten 14 Tage. Der Hijacker startete bis zu zehn Spiele gleichzeitig. So kam er binnen zwei Tagen »Besatzungszeit« auf mehr als 600 Spielstunden. Dabei haben zwei Wochen nur 336 Stunden. Ob der Spieleflut schaltete er keinen einzigen Erfolg frei. Ob er die Übernahme genießen konnte? Das bezweifle ich.

Die Lehren, die ich aus dem Debakel um meinen gestohlenen Steam-Account zog, könnten kaum weiter reichen. Nun sicherte ich auch meinen letzten Account ab, und sei er noch so unbedeutend. Außerdem schwor ich mir, künftig öfter im Netz zu schauen, in welchem Umfang Diebe Daten absaugen und ob eine meiner Adressen davon betroffen ist.

Und genau das würde ich euch auch raten!

Wie gefällt Dir dieser Beitrag?
Bewertung wird geladen …
Nichts mehr verpassen!

Bleib immer auf dem neuesten Stand mit unserem Newsletter! Täglich um 17:00 Uhr frisch in deinem Postfach.

Newsletter abonnierenRSS-Feed abonnieren
15 Kommentare zu “Wie mein Steam-Account gestohlen wurde – und ich ihn wiederbekam
  1. Sehr guter Beitrag, der wieder mal zeigt, wie wichtig die 2Stufen-Authentifizierung ist und bei oft über 100 Spielen könnte man den Account durchaus wie ein Bankkonto sehen. Hier geht es schließlich ums Geld.
    Ich nutze die Zweite Stufe schon seit ein paar Jahren und das hohe Maß an mehr Sicherheit steht in keinem Verhältnis noch mal aufs Handy zu schauen um 6 Buchstaben und Zahlen ein zu geben.
    Bin gespannt, wann das geknackt wird.

    • Ja, eigentlich ist der zusätzliche „Aufwand“ die Sicherheit wert. 🙂 Und klar, an und für sich sehe ich das Konto als kleine Schatzkammer. Woraus ich wirklich nicht schlau wurde und was im Artikel deshalb eher nebenher erwähnt ist: Wieso startet man zig Spiele parallel?

      Gruß

      Daniel

  2. Ha ha DANKE! Ich habe mal meinen“vergessenen“ Steam-Account neu gesichert, auch wenn ich stark bezweifle, dass jemand damit glücklich geworden wäre.

    • Ich denke mit Screenshots von 1. Kaufbelegen und 2. Lizenzschlüsseln bzw. Steam-Keys. Denn nur der Eigentümer kann über die Kaufbelege und Keys verfügen. Insofern: Immer schön aufbewahren!!!

  3. Yeah, mich hat es nun auch getroffen (während mein PC zur Reparatur bei Mindfactory war – Mainboard defekt). Habe dadurch natürlich erstmal nichts „mitgekriegt“. Ansonsten fast identische Story. Der „Hijacker“ sitzt in meinem Fall ironischerweise ebenfalls in Russland. Da ich meine alte „WON-ID bzw. Steam-ID“ kenne, habe ich den „neuen unrechtmäßigen Besitzer“ schnell ausgfindig machen können. Aber meine Story ist noch nicht beendet. Heute das Ticket an Steam eröffnet mit haufenweise Screenshot (über Käufe und Keys usw.). … Ich hoffe, Steam reagiert schnell bevor es zu spät ist.

    • Hey Phoenics,

      ich drücke die Daumen, dass Steam zügig reagiert. Die Belege sollten eigentlich ausreichen, um zu belegen, dass der Account dir gehört. Gib ihnen ein, zwei Tage, dann sollte das Konto wieder in deinen Besitz übergehen.

      Gruß

      Daniel

  4. Hallo, mir wurde vor 2 Tagen alles geklaut, mir hat jemand per Email einen Keylogger geschickt, wodurch ich meinen PC neu aufsetzen musste etc. es begann mit einer email die sich selber nach dem öffnen gelöscht hatte. Das ging soweit dass mein Google Konto mit ca 90 Log In Daten gehackt wurde, und somit meine Blizzard, Steam, Amazon, Papyal, Online banking Daten etc alles weg war. heute sitz ich hier mit einer neuen email, gesperrte Bank konten zur vorsicht, geserrtem Amazon konto, neuen Passwörtern, wobei die meisten noch nicht geändert sind, 2 von meinen Blizzard accounts habe ich so halbwes wieder, und heute habe ich mir einen neuen Steam account gemacht, und siehe da, Die FL ist gelöscht, 1 Neuer drinn und mein alter account ist online und spielt munter meine spiele im Multiplayer, habe ich sofort gemeldet und bisher nichts passiert. auch bei deiner Beschreibung dem Captcha etc. kam die 2te Verifizierung mit Paypal etc leider nicht… Bitte hilf mir, diese Schweine müssen bestraft werden. der Höhepunkt by the way war dass er diue versandadresse von amazon ändern wollte, und testweise Kanabis grinder etc zu mir bestellt hat. ich flipp völlig aus ich will diesen Mistkerl unbedingt drann griegen, und vorallem meinen Account zurüück, wo auch nicht grade wenig geld rein geflossen ist.. belege etc häätte ich natrlich über das paypalkonto schonmal mehr als genug, und kann meine Freunde und Email adressen natüüürlich auch aufzählen, ich habe nur angst dass er meine Community Gruppen verlässt und den namen ändert, dann find ich meinen account wenn es blöd läuft vlt niewieder…. es wäre sehr nett wenn du mir irgendwie helfen könntest :SSSS

    • Hallo,

      zunächst einmal ist es eine Sauerei, dass dir ein Keylogger sämtliche Tastenanschläge abgriff. Was hier hilft, sind zunächst einmal neue Passwörter, Sicherheitsabfragen und auch eine Anzeige (wenngleich die wenig Aussicht auf Erfolg hat). Das bei Steam beschriebene Vorgehen kenne ich ja auch zu gut. Freundesliste ist gelöscht, Kommentare weg etc. Je nach Lage braucht Steam ein bis drei Tage, dann sollte eigentlich alles da sein. Und keine Angst: Selbst, wenn er die Mail-Adressen austauscht: Steam bewahrt auch die alten Login-Adressen auf, so dass nachweisbar ist, dass dir der Account gehörte.

      Zuversichtlich bleiben!

      Daniel Wendorf

  5. Hallo,

    wollte einfach mal danke sagen.
    Ohne die Anleitung hätte ich es nicht geschafft meine Steam Account wieder zu bekommen.

Schreibe einen Kommentar

Hinterlasse hier deinen persönlichen Kommentar. Wir freuen uns über deine Meinung.

Deine E-Mail-Adresse wird nicht veröffentlicht. Pflichtfelder sind markiert *

*