Schieb schreibt: Wie Sie sich vor Phishing schützen

Unser Gastautor Jörg Schieb beleuchtet regelmäßig wichtige Themen aus der IT-Welt. Diesmal knöpft er sich ein Thema vor, das nicht nur ärgerlich, sondern auch folgenreich sein kann: Phishing.

Von Jörg Schieb

Wir machen immer mehr online. Wir erledigen unsere Bankgeschäfte im Netz, kaufen per Mausklick ein, speichern wichtige Daten in der Cloud. Das ist bequem, spart Zeit und ist in der Regel auch sicher. Ich erledige fast alles online und fühle mich gut dabei. Wenn da nicht die sogenannten Cyberbetrüger wären. Unsichtbare Kriminelle, die sonstwo sitzen und mit allen Mitteln versuchen, an sensible Daten zu kommen, etwa, um mein Onlinekonto zu plündern oder auf meine Rechnung einzukaufen. Die traurige Wahrheit ist: Wo sich Menschen tummeln, da sind auch Diebe und Betrüger nicht weit – das war schon immer so und ist im Internet nicht anders.

Sensible Daten sind äußerst wertvoll – und entsprechend begehrt

Was sich jeder Internetbenutzer immer wieder klar machen muss: Daten sind extrem wertvoll. Betrüger versuchen deshalb mit allen nur denkbaren Tricks, uns übers Ohr zu hauen, es hinzubekommen, dass wir möglichst selbst die sensiblen Daten verraten. Denn dann können sich die Datendiebe aufwändige Hackattacken oder Schnüffelaktionen auf der Festplatte sparen. Natürlich verrät niemand wissentlich oder freiwillig sensible Daten. Deshalb werden E-Mails oder Nachrichten verschickt, die offiziell aussehen und uns zur Herausgabe von Zugangsdaten jeder Art veranlassen.

Solche Mails oder Nachrichten werden mit dem Überbegriff “Phishing” überschrieben. Da landen E-Mails im Briefkasten, die aussehen, als wären sie von der Bank, von eBay, Amazon, Paypal oder einem anderen großen Onlinedienst. Optik und Layout sehen vertraut aus, man wird aufgefordert, sich einzuloggen – landet aber auf einer fingierten Webseite, die ebenfalls in der Regel authentisch aussieht, aber von den Betrügern betrieben wird. Trägt man dort seine Zugangsdaten ein, hat man sie den Betrügern in die Hände gespielt. Die können dann mit den Daten alles Mögliche anstellen.

Wachsam sein: Die beste Methode, nicht auf Phishing reinzufallen

Die meisten Phishing-Angriffe richten sich auf die Zugangsdaten von Banken. Klar, Bargeld abzuräumen ist natürlich die Idealvorstellung aller Cyberkriminellen. Das Problem: Einen Phishing-Angriff als solchen zu erkennen, ist gar nicht immer einfach. Aber, und das ist die gute Nachricht, es ist durchaus möglich. Oft enthalten die Mails Rechtsschreibfehler oder andere auffällige Unstimmigkeiten, etwa bei der Verwendung der Firmen-Logos. Auch sollte man wissen, dass keine Bank der Welt seine Kunden per E-Mail auffordert, persönliche Daten einzugeben, aus welchen Gründen auch immer. Seriöse Onlineshops machen das ebenfalls nicht.

Doch selbst, wenn Optik und Layout perfekt nachgeahmt sind: Irgendwann wird man auf eine Webseite weitergeleitet. Auch die ist in punkto Layout und Gestaltung dem Original nachempfunden, oft verblüffend genau. Allerdings: Die Webadresse ist eine andere. Hier gibt es die größte Chance, den Angriff zu erkennen. Man wird auf eine dubiose Webadresse geschickt, die nur dem Anschein nach zum eigentlichen Absender passt, aber nicht in Ordnung ist. Im Zweifel das Zertifikat überprüfen (bei https-Verschlüsselung). Oder, noch besser: Die Webseiten von Banken, Paypal und wichtigen Onlinediensten nicht aus einer Mail aufrufen, sondern direkt eingeben oder per Lesezeichen ansteuern.

Schutz gegen Phishing

Es gibt auch Phishing-Filter für gängige Browser wie Internet Explorer oder Firefox. Diese Filter, sofern eingeschaltet, warnen den Benutzer, sollte er auf einer bekannten Phishing-Seite landen. Doch viel wichtiger: Auch alle Provider betreiben einen enormen Aufwand, um neue Phishing-Angriffe zu erkennen und aus dem Mail-Strom herauszufiltern. 98% aller eingehenden E-Mails sind heutzutage Spam, darunter eben auch viele Phishing-Mails. Bekannte Angriffe werden gleich gefiltert und blockiert, damit der User sie erst gar nicht zu sehen bekommt. Die Mehrzahl aller Phishing-Angriffe verpufft also. Zum Glück.

Auch die Provider unternehmen enorme Anstrengungen, um Spam und Phishing einzudämmen. Sie tauschen sich untereinander aus, um betrügerische Absender zu entlarven und möglichst rasch zu blockieren, sie betreiben Datenbanken wie phishtank.com, um Phishing-Angriffe zu dokumentieren. Sie entwickeln selbstlernende Filter, um Spam zu enttarnen und Phishingangriffe ins Leere laufen zu lassen. Nur ein kleiner Teil der Attacken kommt überhaupt bei den Usern an.

Jeder kann die Internetkriminalität eindämmen helfen

Trotzdem kann es passieren, dass man eine Phishing-Nachricht erhält. Übrigens gibt es solche Phishing-Angriffe heute nicht mehr nur per E-Mail, sondern auch in sozialen Netzwerken oder in Messenger-Diensten. Doch wenn alle an einem Strang ziehen, die Provider im Hintergrund, die User im Vordergrund, wenn man sichere Passwörter verwendet und im Idealfall auch noch Schutz-Software, lässt sich die Internetkriminalität weiter eindämmen. In einer idealen Welt sind alle so wachsam, dass es sich für die Betrüger gar nicht mehr lohnt, zu betrügen.

Deshalb: Lieber einmal zu oft skeptisch sein. Und sich immer fragen: Wer will da was von mir – und warum eigentlich? Idealerweise in einem solchen Fall keinen Link anklicken, sondern direkt zur Webseite gehen und immer die angesprungene Webadresse im Auge behalten. Wer das beachtet, kann Phishing als unangenehmes Phänomen beobachten, wird aber nicht selbst zum Opfer. Und das ist entscheidend.

Über den Autor:

Jörg Schieb ist Buchautor und Journalist aus Düsseldorf, unter anderem arbeitet und moderiert er für das WDR Fernsehen, den WDR Hörfunk, wdr.de, Deutschlandradio Kultur, Stiftung Warentest und viele andere.