Es begann ohne ein Vorzeichen oder eine Ankündigung. Noch am Montag spielte Daniel Wendorf mit Freunden über Steam. Einen Tag später war sein Konto gekapert. Was er erlebte und wie er es letztlich wiederbekam.
Feierabend! Und zur Entspannung ein paar Runden Formel 1 fahren, ein taktisches Manöver in X-COM planen oder den Verlauf der Menschheitsgeschichte in Civilization VI ändern. Also schnell rein in den Steam-Account und losgespielt. Über Sicherheit machte ich mir keine Gedanken. Klar, man liest öfter von Sicherheitslecks, Konto-Diebstahl und zwielichtigen Betrügereien – und wie man dem vorbeugen könne. Aber so nah mir meine Spielesammlung nach dem Feierabend war, so weit weg waren die Gedanken daran, dass mich eines Tages ein solcher Diebstahl treffen könnte.
Bis zu diesem Tag, an dem es auch mich erwischte – und ein Drama in fünf Akten begann.
Weil viele von euch sind auf der Suche nach einer schnellen Antwort oder haben Fragen zu einem bestimmten Detail. Wir empfehlen euch, den Artikel durchzulesen. Zum einen, weil ihr dadurch erfahrt, was geschehen ist und aktuell passiert. Zum anderen, weil ihr dann zu einer Lösung gelangt, die künftigen Möchtergern-Hijackern die Tour vermasselt.
Wollt ihr dennoch nicht alles lesen, klickt euch direkt zum jeweiligen Kapitel:
- 1. Akt: Sicherheit ist groß geschrieben? Klar, aber nicht immer.
- Wie ihr die Zwei-Faktor-Authentifizierung einrichtet
- 2. Akt: Schwupps, weg!
- Wie die Diebe Accounts stehlen
- 3. Akt: Freunde in der Not
- Vernetzung ist alles
- 4. Akt: Der lange Weg zurück zum Account
- Wie ihr zum korrekten Support-Formular auf Steam kommt
- Bringt es etwas, viele Support-Anfragen bei Steam zu stellen?
- 5. Akt: Das dreiste Nachspiel
- Steam unterband das Schlimmste
1. Akt: Sicherheit ist groß geschrieben? Klar, aber nicht immer.
Email-Zugriff, Google-Konto, Facebook-Zugang oder Online-Banking. Alle wichtigen Logins im Internet habe ich mir vor Ewigkeiten mit der Zwei-Faktor-Authentifizierung gesichert. Heißt: Neben dem eigentlichen Passwort verlangt der Betreiber noch eine weitere Ziffern- und Buchstabeneingabe, um „reinzukommen“. Was ich nicht sicherte, das war mein Steam-Account.
Falls ihr Steam nicht kennt: Das ist eine Plattform, auf der Nutzer ihre PC-Games registrieren, verwalten und runterladen. Austausch mit Freunden und Spielern aus aller Welt wickelt ein interner Messenger ab, in einem virtuellen Inventar bunkert ihr kosmetische Gegenstände und Spiele, die ihr verschenken, tauschen oder verkaufen könnt.
Wie ihr die Zwei-Faktor-Authentifizierung einrichtet
Zeitgemäße Nutzersicherheit beginnt im Netz mit der Zwei-Faktor-Authentifizierung. Die stellen zusätzliche Apps und Telefonnummernverknüpfungen sicher. Neben Logindaten erhaltet ihr ein temporäres Passwort oder einen speziellen Login-Code.
Empfehlenswert ist Googles Authenticator für Android und – Überraschung – Apples iOS. Diese App deckt viele gängige Dienste ab. Manche Dienste wie Blizzards Battle.net (Google Play | Apple iOS) oder eben Steam (Google Play | Apple iOS) setzen auf eigene Lösungen.
Meist sind die Authentifikator-Optionen in den Sicherheitseinstellungen eurer Anbieter zu finden. Zur Not bemüht ihr die FAQ-Sektion. Einmal eingeschaltet, braucht ihr immer zwei Schlüssel. Das mag weniger komfortabel sein als der flotte Login, steigert aber die Sicherheit.
2. Akt: Schwupps, weg!
Rückblickend gesehen war es ein gravierender Fehler, Steam nicht über die Zwei-Faktor-Authentifizierung zu sichern. Inhaber Valve empfiehlt dies ausdrücklich. Aus guten Gründen. Die Plattform geriet in den vergangenen Jahren öfter mit der gleichen Meldung in die Schlagzeilen: Nutzerdaten und Logins entwendet. Der Betreiber wälzt die Verantwortung auf die Nutzer ab. Wer sich nicht vor Missbrauch schützt – so der Tenor – ist selber Schuld.
Nüchtern betrachtet, war mein Account eine echte Zocker-Schatzkammer. Etwas mehr als 1.000 Spiele (viele davon über Pressearbeit erhalten), ein proppenvolles Inventar mit kosmetischen Gegenständen und zwei Dutzend Games zum Verschenken.
Und dann kam eben jener Dienstag. Von einen auf den anderen Moment konnte ich mich nicht mehr einloggen. Passwort? Falsch. Eine Minute später war der Nutzername geändert. Verdammt.
Wie die Diebe Accounts stehlen
Vorbei sind die Zeiten, in denen Datendiebe nach dem Erbeuten einer Email-Adresse automatisiert hunderte von Passwörtern ausprobieren, um sich Zugriff zu verschaffen. Mittlerweile setzen sie auf kleine Tools, die Tastenanschläge ausspionieren oder Datenbankserver angreifen.
Es gibt eine Reihe weiterer Möglichkeiten, die wir hier nicht vertiefen wollen. Was ihr tun könnt, um euch (nachträglich) abzusichern, sind regelmäßige Besuche von Seiten wie haveibeenpwned. Dort gebt ihr eure Email-Adresse(n) ein und erhaltet sofort eine Rückmeldung, ob und wann zuletzt Passwörter über Datenbank-Attacken abgegriffen worden sein könnten.
3. Akt: Freunde in der Not
Dass ein Login mal nicht funktionierte, war mir nicht neu. Es konnte durchaus vorkommen, dass Steam Probleme mit der Nutzerverwaltung hatte. Dass etwas im Argen lag, erfuhr ich nur Minuten später. Beim Passwort-Reset zeigte Steam an, dass eine russische Email-Adresse hinterlegt sei.
Kurz darauf meldete sich ein Freund und fragte, seit wann ich denn Counter-Strike spielen würde. Zur Erklärung: Das Spiel ist Bestandteil meiner Bibliothek, aber ich mag es nicht sonderlich. Das wusste er und konnte deshalb reagieren.
Er fragte außerdem, wieso ich meinen Steam-Namen änderte und fügte einen Screenshot bei. Er bestätigte, was ich bereits befürchtete: Der Account war weg. Immerhin kannte ich „meinen“ neuen Namen. Der Steam-Dieb bekam erste Konturen. Er verpasste sich einen fancy Namen, klatschte sich die Zahl 225 ans Ende. Über seinen Profileintrag ließ er wissen, dass er aus Russland käme. Es waren flüchtige Fehler – und nicht seine letzten.
Vernetzung ist alles
Mit Hinblick auf Steam ist es gut, Freunde zu haben, die euch kennen. Denn sie können euch notfalls darüber informieren, wie euer alter Account neuerdings heißt und was der Hijacker damit anstellt. In diesem Fall war die Information eines Freundes Gold wert. Dieser gab mir mit der ungewöhnlichen Spiele-Aktivität und der Namensänderung zwei wichtige Informationen an die Hand.
4. Akt: Der lange Weg zurück zum Account
Da der Hijacker das Profil auf „öffentlich“ beließ, waren seine nächsten Schritte gut nachvollziehbar. Er hatte den Namen geändert und der Reihe nach die Freundesliste geleert, sowie einige Kommentare zu Spielen gelöscht. Ein Vorgehen, von dem man häufiger liest, denn dem Hijacker geht es zunächst darum, alle Verbindungen zum vorherigen Account-Leben zu kappen.
Andere Muster hingegen waren und sind mir unverständlich. So startete er parallel bis zu zehn (!) Spiele und zockte diese für je ein bis zwei Stunden. Danach waren andere Titel an der Reihe.
Nach einem halben Tag füllte er die Freundesliste neu. Und zwar mit jemandem, der dieselbe Zahl (die erwähnte 225) trug und dessen Profil ebenfalls auf „öffentlich“ stand. Ein kurzer Blick in dessen Spieleliste zeigte, dass eben dieser Account Spiele aus meinem Inventar bekam. Meine Freundesliste kannte ich zum Glück auswendig; ich konnte sie in einem Textdokument niederschreiben.
Es war höchste Zeit, meinen Account zurückzuholen. Steams Support ist unter Spielern berüchtigt, weil viele Wege in Sackgassen münden. Und auch bei mir fühlte es sich zunächst wie eine Zeitschleife an. Plattformbetreiber Valve fragte, warum ich mich nicht einloggen konnte. Egal, welche Antwort ich anklickte, irgendwie endete es im Nichts. Erst im Netz wurde ich fündig und fand eine Schritt-für-Schritt-Anleitung, um letztlich beim Support zu landen. Dann ging es ans Ausfüllen der einzelnen Felder.
Wie ihr zum korrekten Support-Formular auf Steam kommt
Der Kontaktweg zum Steam-Support ist beschwerlich. Geht zunächst über diesen Link und gebt in das obere Feld euren Accountnamen oder die Email-Adresse ein. Löst das Captcha und klickt auf „weiter“. Sofort erscheint eine Fehlernachricht, dass ihr euch nicht mehr einloggen könnt. Klickt dann auf „Passwort vergessen“ und schon seid ihr auf dem eigentlichen Hilfsformular.
Ihr könnt eure Adresse nicht mehr nutzen? Versucht die Eingabe eures Accountnamens. Fruchtet das nicht, klickt ihr auf „Passwort vergessen“ und landet letztlich im Support-Formular. Zwischenziel erreicht!
Was Steam dann abfragt, erschlägt euch auf den ersten Blick. Sammelt die Informationen am besten vorab und gebt sie dann in einem Vorgang ein.
Grundlegende Informationen (notwendig):
- Die erste Email-Adresse, mit der ihr euren Account registriert habt
- Eine Telefonnummer, die ihr hinterlegt habt.
Um Spielekäufe zu belegen (nicht notwendig, aber hilfreich):
- Den Namen eures Paypal-Accounts
- Eine PayPal-Rechnungsnummer (mit 17 Stellen)
- Die mit PayPal verknüpfte Email-Adresse
Zusätzliche, optionale Informationen:
- Nennt einen digital (!) erworbenen Steam-Code, den ihr irgendwann registriert habt
- Beschreibt, was mit eurem Account passiert ist.
- Hängt eine Bilddatei an. In dieser muss der Code eines im Einzelhandel (!) erworbenen Spieles abfotografiert sein. Unter den Steam-Key schreibt ihr die euch zugewiesene Ticketnummer.
Eindeutige Identifizierung
Was Steam hier verlangt, sind doppelt und dreifach Belege dafür, dass der Account euch gehört. Das mag zunächst lästig erscheinen, sichert euch aber gegen Retourkutschen ab.
Und ehrlich: Mir half es, den Puls zu senken. Denn die Nachweise bekam ich mit etwas Suchen alle zusammen. Dann hieß es, abzuwarten. Drückt der Schuh und werdet ihr ungeduldig, könnt ihr, wie ich, einen Blick auf die Support-Statistik werfen. Er zeigt euch, wie lange eine Anfrage durchschnittlich braucht.
Die Wartezeit nutzte ich und notierte, was der Dieb mit meinem Konto veranstaltete. Welche Spiele er zockte, ob er neue Freunde hinzufügte, das Inventar lehrte.
Dann, nach knapp zwei Tagen, kam die erlösende Email.
Der Support meldete sich und teilte mit, dass der gestohlene Steam-Account mir gehöre und dem Hijacker entzogen sei. Eine zweite Nachricht mit einem temporären Passwort komme sofort. Nach der Re-Aktivierung solle ich unbedingt die Zwei-Faktor-Authentifizierung über Steam Guard einrichten. Das musste man mir nicht zweimal sagen.
Bringt es etwas, viele Support-Anfragen bei Steam zu stellen?
Immer wieder stoßen wir in den Kommentaren auf die Fragen, ob es sinnvoll sei, mehrere Support-Anfragen zu stellen. Die klare Antwort: Nein. Belasst es bei genau einer Anfrage, zu der euch Steam eine Ticket-Nummer gibt. Denn auch wenn der erste Versuch „abgeschmettert“ scheint, ist noch nicht alles verloren.
Sollte die Mitarbeiterin oder der Mitarbeiter des Supports Zweifel haben, dass euch der Account gehört, fragt nach, welche anderen Belege ihr einreichen könnt, um die Zweifel zu zerstreuen.
Viele Anfragen zu stellen, bringt euch jedoch nicht weiter.
5. Akt: Das dreiste Nachspiel
Nach dem Login dauerte es keine Minute, ehe ich eine Nachricht des Hijackers auf Russisch bekam. Ich solle ihm seinen Account wiedergeben, herrschte er mich an. Da sei meiner, entgegnete ich. Daraufhin schmiss er nicht nur mit Beleidigungen um sich, sondern auch noch mit Drohungen. Er werde sich an den Steam Support wenden! Dem konnte ich zum Glück nun gelassen entgegensehen, denn ich hatte ja mehrere stichhaltige Beweise vorgelegt und mittlerweile auch Steam auf meiner Seite.
Während ich seine Verbindungen nach und nach kappte, schrieb er munter weiter. Ich könne doch meinen Klarnamen nennen, dann könne man sich über Social Media austauschen und über den Account verhandeln. Und hey, er habe Geld dafür ausgegeben. Als das war mir herzlich egal. Seine Intention offenbar: Weitere Informationen über mich sammeln und mein Konto weiter verfolgen.
Ich löschte die Alias-History (die festhält, unter welchen Namen ich früher spielte), nahm seine Freunde von der Liste und teilte ihm mit, dass es vorbei sei. Ich bannte und blockierte ihn, setzte den Namen zurück und begann, meine Freunde erneut einzuladen.
Das Nachspiel war damit nicht noch nicht beendet. Schließlich hatte er das Spiele-Inventar geplündert. Ich kontaktierte Steam einmal mehr und bat, mir die zu Unrecht entwendeten Titel wiederzugeben. Anders als bei kosmetischen Artikeln und virtuellen Sammelkarten ist die Policy hier eindeutig.
Steam unterband das Schlimmste
Da er den Authenticator einsetzte, war es ihm nicht möglich, die Inventargegenstände zu versilbern. Bei jeder Neuanmeldung oder Änderung der Zwei-Faktor-Authentifizierung greift eine 15-tägige Sperre, innerhalb derer der Handel ausgesetzt ist.
Ich bekam alles wieder, verlor keinen einzigen Gegenstand, und der Dieb stand mit nichts da. Glück gehabt!
Eine letzte Kuriosität: Steam summiert die Spieldauer der letzten 14 Tage. Der Hijacker startete bis zu zehn Spiele gleichzeitig. So kam er binnen zwei Tagen »Besatzungszeit« auf mehr als 600 Spielstunden. Dabei haben zwei Wochen nur 336 Stunden. Ob der Spieleflut schaltete er keinen einzigen Erfolg frei. Ob er die Übernahme genießen konnte? Das bezweifle ich.
Die Lehren, die ich aus dem Debakel um meinen gestohlenen Steam-Account zog, könnten kaum weiter reichen. Nun sicherte ich auch meinen letzten Account ab, und sei er noch so unbedeutend. Außerdem schwor ich mir, künftig öfter im Netz zu schauen, in welchem Umfang Diebe Daten absaugen und ob eine meiner Adressen davon betroffen ist.
Und genau das würde ich euch auch raten!