Account-Sicherheit und Datenschutz
Die Spielewelt hat sich gewandelt. Reichte es früher noch aus, eine Disk in ein Laufwerk zu legen, wird mittlerweile für nahezu alles ein Account benötigt. Stores wie Epic Games, Steam, Uplay, der Microsoft oder PlayStation Store benötigen Accounts, um erworbene digitale Spiele ihrem Eigentümer zuzuordnen. Spielekonsolen benötigen zwingend einen Account, hinzu kommen noch etliche Spiele, die ebenfalls einen Account erfordern, um Fortschritte und Errungenschaften zu speichern.
Damit ist das Ende noch lange nicht erreicht, denn Messenger-Tools wie Discord oder Line und Community-Foren wie Reddit erfordern ebenfalls Accounts. Viele Accounts sind zum Teil noch miteinander verknüpft. So können Konsolen-Accounts mit Spiele-Accounts verbunden werden, oder es werden gar Social-Media- oder Google- und Apple-Accounts direkt als Login für bestimmte Spiele, vor allem im mobilen Bereich, verwendet.
Nur wenige Account-Betreiber geben sich mit Email-Adresse, Nutzername und Passwort zufrieden. Oft werden auch Adressdaten bis hin zu sensiblen Daten wie Zahlungsinformationen abgefragt und von den Usern online hinterlegt. Wie behält man aber den Überblick über diese Vielzahl an Accounts und die darin hinterlegten Daten? Was kann man tun, damit eben diese Daten nicht in die falschen Hände geraten?
Eine der wichtigsten Grundregeln ist, sichere und für jeden Account unterschiedliche Passwörter zu verwenden. Passwörter sollten grundsätzlich möglichst lang und komplex sein – eine möglichst zufällige Mischung aus Zahlen, Sonderzeichen und Buchstaben in Klein- und Großschreibung ist schwer zu knacken. Simple Passwörter wie Geburtsdaten, Namen oder simple Tastaturfolgen wie QWERTZ sollten unbedingt vermieden werden.
Mittlerweile gibt es Passwort-Manager, die nicht nur dazu geeignet sind, entsprechende Passwörter zu generieren, sondern diese auch zu speichern, sodass man sich nicht an jedes Passwort selbst erinnern muss. Natürlich müssen diese Passwort-Manager ebenfalls mit einem besonders sicheren Master-Passwort geschützt werden, damit nicht von Fremden darauf zugegriffen werden kann.
Sofern angeboten, sollten unbedingt Zwei-Faktor-Authentisierungen genutzt werden. Die meisten seriösen Anbieter verfügen über solch einen Service, bei dem zusätzlich zu klassischen Login-Daten wie Benutzername und Passwort noch eine externe App oder ein Tool benötigt wird. Oft wird das auch dadurch gelöst, dass via SMS oder E-Mail ein zusätzlich generierter Code verschickt wird, der beim Login mit angegeben werden muss. Also ganz ähnlich wie bei TAN-Generatoren beim Zugriff aufs Online-Banking. Der zusätzlich Aufwand ist minimal, die Verbesserung der Account-Sicherheit aber enorm.
Sollte es dennoch mal schief gehen und ein Account wird gehackt, gilt es, Schadensminimierung zu betreiben. Also, sofern noch Zugriff besteht, die Login-Daten umgehend ändern und überprüfen, auf welche persönlichen Daten zugegriffen wurde. Dazu gehört dann auch, ggf. Zahlungsdienste wie Kreditkarten schnellstmöglich zu sperren und schlussendlich den Hersteller oder dessen Support zu kontaktieren, um auch seitens des Anbieters nötige und mögliche Maßnahmen zu veranlassen.
Datendiebstahl im Internet
Die Vielzahl an Daten, die von Usern in ihren Accounts im Internet hinterlegt wurden, locken zahllose Interessenten an. Nicht alle davon sind kriminell, aber oft stecken direkte finanzielle Interessen hinter der Datenbeschaffung im Internet. Wer über Hacks, Phishing oder Schadsoftware Zugriff auf Spiele-Accounts bekommt, kann damit viel Schaden anrichten und sich bereichern, erst recht, wenn dabei auch noch Zahlungsinformationen wie Kreditkartendaten erbeutet werden.
Besondere Vorsicht gilt gegenüber Phishing-Mails. Gerade bei größeren Datenleaks landen die eigenen Email-Adressen oft in Datenpools, die auch von Versendern von gefälschten Emails verwendet werden. Derartige Phishing-Mails sehen meist fast genauso aus wie die Emails von seriösen Anbietern, dienen aber ausschließlich dazu, Account-Daten und Passwörter über Fake-Logins abzugreifen. Daher sollten Emails, in denen nach einem Login gefragt wird oder ein Login-Link verschickt wird, mit besonderer Vorsicht behandelt und gründlich überprüft werden, zum Beispiel auf Rechtschreibfehler, seltsame Absenderadressen und ähnliches.
Gehackte Steam-Accounts mit Hunderten von erworbenen Spielen sind beim Weiterverkauf einige Tausend Euro wert. Sollte jemand beispielsweise alle Zusatzinhalte des Train Simulator auf seinem Account haben, sind allein das schon über 1.000 Euro. Gestohlene Accounts zu Mobile-Spielen werden mitunter für mehrere Hundert Euro an interessierte Spieler verscherbelt. Auch In-Game-Items locken immer wieder Hacker an. So wurden enorm viele World-of-Warcraft-Accounts zu dem Zweck gehackt, die Ausrüstung der betroffenen Spielercharaktere zu In-Game-Gold zu machen und selbiges bei Ebay und anderen Plattformen zu verkaufen. Raumschiffe aus Star Citizen werden zum Teil für vierstellige Preise gehandelt.
Eine weitere Gefahr sind Daten-Leaks oder gezielte Angriffe auf große Unternehmen. So gab es beispielsweise im Jahr 2020 über 160.000 unberechtigte Zugriffe auf Nutzerkonten der Nintendo-Onlinedienste. 2019 erbeuteten Hacker gar Daten von 218 Millionen Nutzern von Zynga-Spielen. Ein Datenleck des Betreibers Gamigo im Jahre 2012 umfasste mehrere Millionen Mail-Adressen und Passwörter. Fatal, insbesondere dann, wenn die Login-Daten seitens des Users nicht nur für eine Plattform genutzt werden.
Auch in diesem Fall gilt, schnellstmöglich Schadensbegrenzung zu betreiben, Login-Daten und Passwörter zu ändern und Zahlungsmittel im Auge zu behalten. Auch der Kontakt zum Hersteller bzw. dessen Support ist überaus empfehlenswert, denn nicht selten gibt es die Möglichkeit, Account-Inhalte oder In-Game-Items über Backups wiederherzustellen, natürlich nachdem alle anderen Unsicherheitsfaktoren des Accounts beseitigt wurden.
Bezahlmodelle: Kostenfalle Ingame-Käufe
Neben Account-Hacks und Datendiebstahl gibt es aber noch weitere Aspekte, die direkt auf den Geldbeutel des Spielers abzielen. Dabei werden mitunter ausgefeilte psychologische Muster eingesetzt, um zum Beispiel Suchtfaktoren, Sammeltrieb oder schlicht den Ehrgeiz von Spielern zu reizen. Andere wiederum setzen bewusst auf undurchsichtige Zahlungsmodelle, um dem Spieler mehr Geld aus der Tasche zu ziehen, als er eigentlich ausgeben will.
Vor allem bei Mobile-Spielen sind derartige Modelle sehr verbreitet. Spieler werden mit kostenlosen Downloads angelockt, trickreiche Spielmechaniken verleiten dann aber zum Kauf von digitalen Inhalten in Form von Mikrotransaktionen. Gerade bei Spielen mit Sammelfaktor wie Ultimate Team in der FIFA-Serie oder Raid: Shadow Legends zieht das enorm. Welcher Bayern-Fan möchte nicht mit der kompletten Mannschaft antreten? Welcher Rollenspieler möchte nicht die stärksten Helden haben? Vor allem auch jüngere Spieler sind hierfür sehr anfällig.
Dabei kommen oft undurchsichtige Lootbox-Systeme zum Einsatz, bei denen der Spieler im Grunde gar nicht weiß, was er für sein Geld bekommt. Lootboxen sind immer noch heiß diskutiert, da sie immer wieder mit Glücksspiel und Spielsucht in Verbindung gebracht werden. Bekommt man in Lootbox 1 nicht das, was man will, kauft man die nächste. Das kann schnell zum Teufelskreis werden. Spiele mit Pay-2-Win-Mechaniken zielen wiederum bereits in ihrem Kern darauf ab, den Spielern Geld abzuknöpfen, indem sie zahlende Spieler von Grund auf bevorteilen bzw. nur solche Spieler gewinnen können, die sich Vorteile erkaufen.
Direkten Schutz davor gibt es kaum, denn in diesen Fällen werden ganz persönliche Verhaltensmuster angesprochen. Zumindest sollte man darauf achten, nur Apps und Spiele von seriösen Anbietern zu nutzen und auch etwaige Datenzugriffe oder Freigaben, speziell bei Mobile-Spielen, so weit zu limitieren wie nur irgend möglich. Gegen das eigene Kaufverhalten schützt allerdings nur wenig. Der beste Tipp ist hierbei, auf Spontankäufe zu verzichten und nach Möglichkeit ein paar Stunden oder eine Nacht drüber nachdenken, ob man das „Objekt der Begierde“ wirklich benötigt und vergleichen, ob der jeweilige Preis für das Produkt, den Dienst oder den Ingame-Kauf wirklich angemessen ist.
Resümee
Risiken gibt es also genügend, aber glücklicherweise auch genügend Möglichkeiten, sie zu minimieren. Es liegt beim Benutzer selbst, Vorsicht walten zu lassen und angebotene Möglichkeiten zu nutzen. Sollte man beispielsweise in E-Mails dazu aufgerufen werden, Login-Daten zu nutzen, ist das grundsätzlich in Zweifel zu ziehen. Phishing-Mails sind mittlerweile so gut gemacht, dass sie kaum von seriösen Mails zu unterscheiden sind. Am besten also die Links vor dem anklicken überprüfen oder im Zweifelsfall direkt auf der Webseite oder in der App des Anbieters einloggen.
Anwendungen, Betriebssysteme und Schutzprogramme sollten immer auf dem neusten Stand sein. Mittels Updates werden immer wieder Sicherheitslücken geschlossen oder Sicherheitsprobleme beseitigt. Wenn Anbieter eine sogenannte Zwei-Faktor-Authentisierung zur Verfügung stellen, sollte diese unbedingt genutzt werden. Beim Hinterlegen von Daten ist Sparsamkeit angesagt. Am besten so wenig sensible Daten wie möglich angeben und Zahlungsinformationen nur dann standardmäßig hinterlegen, wenn dies zwingend notwendig ist und Sicherungssysteme, wie eben eine Zwei-Faktor-Authentisierung, möglich sind.
Wichtig ist und bleibt, auf starke und sichere Passwörter zu setzen und niemals das gleiche Passwort für verschiedene Accounts einzusetzen. Das klingt zunächst enorm aufwendig. Mittlerweile gibt es aber Passwort-Manager, die das Generieren und Verwalten von Passwörtern mit wenigen Klicks ermöglichen. Die eigene Bequemlichkeit sollte nicht die eigene Sicherheit gefährden. Nehmt euch einmalig für jeden Account einen kurzen Moment und schützt damit langfristig eure Daten und Achievements.
Erste Anlaufstelle bei Problemen ist natürlich der jeweilige Anbieter und dessen Support. Auch das BSI (Bundesamt für Sicherheit in der Informationstechnik) engagiert sich im digitalen Verbraucherschutz und steht für Information und Hilfestellungen zur Verfügung. Das BSI ist über folgende Kanäle erreichbar und liefert dort reichlich Informationsmaterial, bzw. steht bei Fragen hilfreich zur Seite: