Handelsblatt

MenüZurück
Wird geladen.

17.12.2015

16:41 Uhr

Phishing zu Weihnachten

Wie Sie sich gegen Datendiebe schützen

VonChristof Kerkmann

Vor Weihnachten ist es besonders übel: Cyberkriminelle versuchen, Nutzern die Daten für Paypal oder das Online-Konto zu stehlen. Zwischen den vielen Angeboten sind gefälschte Mails kaum zu erkennen. Wie man sich schützt.

Verbraucherzentralen warnen

Online-Shopping: Vorsicht bei zu günstigen Angeboten!

Verbraucherzentralen warnen: Online-Shopping: Vorsicht bei zu günstigen Angeboten!

Ihr Browser unterstützt leider die Anzeige dieses Videos nicht.

DüsseldorfAls Christina D. die E-Mail öffnete, bekam sie einen Schock: Es habe „verdächtige Aktivitäten“ auf ihrem Paypal-Konto gegeben, sie müsse umgehend ihre Daten verifizieren, lautete die Warnung. Es sah so aus, als habe jemand mit russischem Namen versucht, sich bei ihr zu bedienen. „Im ersten Moment wollte ich es gleich durchführen“, berichtet die Handelsblatt-Leserin. Als sie den Link auf dem Firmenrechner anklickte, meldete sich jedoch das Anti-Virus-Programm. Die E-Mail war gefälscht – Kriminelle wollten offenbar die Daten von Christina D. stehlen.

Es ist ein Fall, wie er im Moment häufiger vorkommen dürfte. „Online-Shopping ist gerade in der Vorweihnachtszeit sehr beliebt – auch bei Cyber-Kriminellen“, warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI). Viele Postfächer seien voll mit Gutscheinen und Angeboten, die so eine perfekte Tarnung für Phishing-E-Mails bieten. Wie im Fall von Christina D. versuchen die Angreifer, mit solchen gefälschten Nachrichten die Zugangsdaten zu Online-Banking, Bezahldiensten oder E-Mail-Konto zu stehlen.

Die Methoden der Kriminellen werden dabei immer ausgefeilter. Welche Warnzeichen es gibt und wie Nutzer sich schützen können:

Erste Regel: Absender anschauen

Wollen die schon wieder Geld haben! Josef K. ärgerte sich mächtig über Amazon. Gerade erst hatte er die Prime-Mitgliedschaft gekündigt, nun meldete eine E-Mail eine weitere Abbuchung. Doch ein genauer Blick zeigte, dass die Nachricht nicht vom Online-Händler stammte: Die Adresse gehörte offenbar einer Privatperson, hinter dem @ stand die Domäne me.com von Apple. Und im Anhang war garantiert keine Abrechnung.

Ob bei Rechnungen oder Warnungen, der erste Blick sollte immer dem Absender gelten. Häufig verwenden Kriminelle gekaperte E-Mail-Konten von Privatnutzern wie in diesem Fall. Oder sie legen Adressen an, die nach der Firma klingen sollen. Dabei verändern sie Details und ersetzen Buchstaben durch kyrillische Zeichen oder ein O durch eine Null. Oder sie hängen an den Namen der Bank einen offiziösen Zusatz an.

Daher sollten Nutzer auch bei einer plausibel klingenden Adresse nicht gleich Vertrauen fassen. Wenn die Bank niemals E-Mails schickt oder sich ein Händler meldet, der gar nicht die E-Mail-Adresse haben dürfte, ist höchste Vorsicht angebracht.

Schutz gegen Datendiebe

Passwörter gut schützen

Es klingt offensichtlich: Nutzer sollten ihre Passwörter gut schützen. Doch nicht wenige kleben ein Post-it mit Zugangsdaten an den Monitor oder speichern sie gar in einer Datei auf dem Rechner. Beides ist riskant – wenn Eindringlinge ins Büro oder auf den Rechner gelangen, können sie auch auf die E-Mails oder das Content Management System zugreifen.

Erst lesen, dann klicken

Es ist der Klassiker: In der E-Mail wird ein lustiges Katzenbild oder ein sensationelles Video angekündigt. Lädt man den Anhang herunter oder klickt auf den Link, fängt man sich aber einen Virus ein. Daher gilt nach wie vor die Regel, Anhänge und Links kritisch zu prüfen, ebenso Nachrichten von unbekannten Absendern.

Vorsicht mit USB-Sticks

Eine beliebte Angriffsmethode: Hacker lassen präparierte USB-Sticks auf dem Parkplatz oder in der Kantine liegen – und hoffen darauf, dass arglose Mitarbeiter das Gerät an den PC anschließen. Diese Masche funktioniert erschreckend gut. Die Lehre daraus: Nutzer sollten mit unbekannten Speichermedien extrem vorsichtig umgehen.

WLAN nur mit Verschlüsselung

Ob im Café oder am Flughafen: Wer mit seinem Smartphone oder Notebook ein öffentliches WLAN-Netzwerk nutzt, geht ein Risiko ein. Wenn man vertrauliche Daten abrufen will, sollte man das beispielsweise möglichst nur mit einer SSL-Verbindung tun. Weitere Tipps gibt das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Schutz gegen Mitleser

In der Bahn oder im Flugzeug können Mitreisende ohne Probleme einen Blick auf das Notebook oder Smartphone erhaschen – und bekommen so möglicherweise sensible Informationen mit. Sicherheitsexperten raten daher, sich nach sogenannten Schultersurfern umzusehen und im Zweifelsfall die Datei geschlossen zu lassen. Zudem raten sie dringend davon ab, das Gerät auch nur kurz aus dem Auge zu lassen.

Gesunde Skepsis bei Apps

Apps können das Leben leichter machen, aber auch unsicherer: Viele Anwendungen fragen Informationen ab, die die Nutzer vermutlich nicht weitergeben wollen. Gerade Android-Nutzer sollten genau überprüfen, welche Berechtigungen ein Programm einfordert und im Zweifelsfall lieber die Finger davon lassen. Gleiches gilt für PC-Nutzer, die Programme aus dem Nutzer herunterladen und installieren. Besonders illegale Kopien sind häufig verseucht.

Code fürs Smartphone

Es mag zwar vielleicht nerven, wenn man jedes Mal einen Code eingeben muss, bevor man das Smartphone nutzen kann. Doch eine Sperre ist höchst nützlich, wenn das Gerät verloren geht oder gestohlen wird. Viele Firmen schreiben eine solche physische Absicherung vor. Im Büro kann es durchaus sinnvoll sein, den Rechner zu sperren, während man eine Besprechung hat oder in die Mittagspause geht.

Software aktuell halten

Auch dieser Tipp ist bekannt, er wird aber trotzdem oft nicht beherzigt: Nutzer sollten die Software auf ihrem Rechner immer aktuell halten. Das gilt nicht nur für den Virenscanner, sondern auch das Betriebssystem und Anwendungsprogramme wie Browser oder Textverarbeitung. Potentiell können Angreifer viele Lücken ausnutzen, um schädliche Software auf das Gerät zu schleusen.

Zweite Regel: Anmutung prüfen

Schon die Anrede ist eine Warnung. „Lieber Kunde“, hieß es in einer Phishing-Mail, die im November kursierte. Und weiter: „Bitte beachten Sie, dass Ihre Apple ID wird in weniger als 48 Stunden ablaufen“. Deshalb: „Es muss eine Prüfung durchzuführen Ihrer Daten.“ Die unpersönliche Anrede und die holprige Sprache zeigen, dass diese Nachricht nicht vom iPhone-Hersteller stammen kann. Auch die Anmutung einer E-Mail sagt viel aus – würde sich eine Bank so amateurhaft präsentieren?

Allerdings ist es nicht immer so einfach. Auch wenn es immer noch Phishing-Versuche gibt, die nach Google Translate klingen und wenig offiziell aussehen: Die Fälscher haben in den vergangenen Jahren viel dazugelernt. „Beim Phishing geht es um sehr viel Geld, teilweise steckt die Organisierte Kriminalität dahinter“, erklärt Martin Gaedke, Professor für Informatik an der Universität Chemnitz. Schließlich versuchten die Kriminellen, sich Geld zu überweisen oder auf Kosten des Nutzers Produkte zu bestellen. Weil der Ertrag lohnenswert sei, werde auch in die Qualität der Fälschungen investiert.

So gebe es nachgemachte Webseiten, die legitimen Online-Shops verblüffend ähneln, samt Produkten und Nutzerbewertungen. „Dann fühlt man sich erstmal sicher“, sagt Gaedke – zu Unrecht natürlich. Werkzeuge erleichtern es den Kriminellen, solche Köder zu erstellen – auch in der Cyberkriminalität beweist die Arbeitsteilung ihre Stärken.

Direkt vom Startbildschirm zu Handelsblatt.com

Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.

Auf tippen, dann „Zum Startbildschirm“ hinzufügen.

×