Die Diebe kommen per E-Mail und tarnen sich als Bankangestellte: "Es gab in der letzten Zeit verstärkt Angriffe auf unsere Konten", schreiben sie, "bitte geben Sie zu Ihrer Sicherheit auf unserer Website Ihre Kontonummer sowie Ihre PIN und TAN neu ein." Natürlich ist mit "unsere Website" nicht die echte Site der Bank gemeint, sondern die der Betrüger: eine gefälschte, die dem Original zum Verwechseln ähnelt. Echt sind nur die Daten des Opfers, die gleich nach der Eingabe an die Diebe gesendet werden - der Zugangsschüssel zum Konto (PIN) und die Transaktionsnummer (TAN), mit der Überweisungen getätigt werden können. Und echt ist natürlich das Geld, das die Kriminellen vom Konto abheben werden.
Tipps zum Schutz vor Phishing
Schutzprogramme: In einigen Fällen tragen "Phishing"-Mails Trojaner im Anhang, die Ihre Tastaturangaben ausspionieren sollen. Gehen Sie deshalb nur mit einer aktuell gehaltenen Anti-Viren- und Firewall-Software ins Netz. Überprüfen Sie regelmäßig, ob es Updates gibt, die Sicherheitslücken in Windows stopfen. Erleiden Sie einen Schaden durch "Phishing"-Mails, müssen Sie nachweisen, dass Sie nicht grob fahrlässig gehandelt haben. Ohne Schutzprogramme haben Sie schlechte Karten.
Direkter Kontenzugriff: Wollen Sie auf Ihr Konto zugreifen, tippen Sie die www-Adresse der Bank von Hand ein oder nutzen Sie Ihre gespeicherten Lesezeichen/Favoriten - nur so können Sie sicher sein, dass Sie tatsächlich auf den Seiten der Bank landen. Lassen Sie nur ein einziges Fenster Ihres Browsers geöffnet.
Sichere Verbindung: Überprüfen Sie, ob eine sichere Verbindung zu Ihrer Bank besteht. Dies ist an einem https:// in der Adress- und an einem Schloss-Symbol in der Statusleiste des Browsers erkennbar. Sind Sie unsicher, ob Sie wirklich auf der Website Ihrer Bank sind, doppelklicken Sie auf das Schloss, dann sehen Sie das Sicherheitszertifikat der Seite. Dort sollte eine unabhängige Stelle (zum Beispiel Verisign) bestätigen, dass Sie sich auf der echten Seite befinden. Sollte überhaupt keine sichere Verbindung bestehen, brechen Sie sofort ab.
Kontenkontrolle: Überprüfen Sie regelmäßig Ihren Kontostand. Besonders, wenn Ihnen etwas merkwürdig vorgekommen ist - wenn zum Beispiel nach der Eingabe von PIN und TAN die Verbindung unterbrochen wurde. Sollten Sie ein Problem feststellen, wenden Sie sich an Ihre Bank.
Passwort gut wählen: Können Sie Ihr Passwort frei wählen, basteln Sie sich auf jeden Fall ein sicheres (siehe Kasten "Wie man ein schwer zu knackendes Passwort bastelt")
Phishing-Attacke ignorieren: Keine Bank und auch nicht Ebay werden Sie je per Mail oder Telefon nach Ihren Zugangsdaten fragen oder Sie darum bitten, diese auf einer Webseite einzugeben (auch nicht, "um Sicherheitsprobleme zu lösen", wie einige "Phishing"-Mails behaupten). Auch wenn Ihnen die E-Mail seriös erscheint - Finger weg: Die Absenderangaben einer Mail können leicht gefälscht werden.
Links und Formularen misstrauen: Folgen Sie nie einem Link in einer E-Mail, um zu einer Website zu gelangen, in der Sie Konteninformationen oder Passwörter eingeben sollen - dieser Link könnte gefälscht sein. Geben Sie außerdem nie Daten in Formulare auf Websites ein, außer Sie sind sich sicher, auf einer echten Seite zu sein.
Zugangsdaten schützen: Hüten Sie Ihre PINs, TANs und Passwörter. Speichern Sie diese niemals auf der Festplatte ab - Dritte könnten Sie einsehen, oder ein Virus könnte Sie klauen. Nutzen Sie bei sensiblen Websites das Angebot Ihres Browsers nicht, sich Passwörter für Sie zu merken.
"Phishing" heißt die Methode, Online-Kontodaten und persönliche Passwörter zu stehlen. Dieses "password-fishing", das Angeln nach sensiblen Informationen im Netz, hat sich in den vergangenen Monaten zur großen Gefahr im Internet entwickelt: 176 Angriffe auf Kunden von Banken oder Auktionshäusern im Netz gab es im Januar, im Juli waren es 1974, Tendenz steigend. 2003 sollen in den USA rund 1,2 Milliarden Dollar Schaden entstanden sein - wobei bis zu fünf Prozent aller Empfänger von "Phishing"-Mails auf den Trick hereinfielen. Hierzulande sind Kunden der Deutschen Bank angegriffen worden, die Postbank konnte Überweisungen von 21.000 Euro gerade noch stoppen. Kontoinhaber hatten ihre PIN und TAN auf "Phisher"-Websites leichtfertig in fremde Hände gegeben.
Das klingt bedrohlich.
Es kommt jedoch noch schlimmer, denn "Phishing" wird in der nächsten Zeit zu noch größeren Schäden führen: Denn erstens begnügen sich die Betrüger nicht damit, wie bei Spam lediglich ein paar Dollar pro Mail abzuschöpfen - sie wollen die Kontrolle über das Konto ihres Opfers übernehmen. Damit sind 40 Millionen deutsche Online-Konten in Gefahr. Zweitens ist die "Phishing"-Methode besonders tückisch und effizient, weil sie digitale Tatwerkzeuge kombiniert: "Phishing"-Mails werden - wie Spam - meist von Rechnern unschuldiger Leute verschickt, deren PCs durch Viren und Würmer gekapert wurden und nun zum Versand missbraucht werden. Außerdem hängen die "Phisher" ihren Nachrichten manchmal noch ein Programm an, das unbemerkt vom Nutzer jede seiner Tastatureingaben protokolliert und den Tätern verrät. "Phishing" ist eine kombinierte hochkriminelle Attacke.
Die Masche ist dabei immer die gleiche: Als Erstes fälschen die "Phisher" die Absenderadresse der Mail, sodass sie für den Empfänger aussieht, als hätte sie seine Bank verschickt. Im Text der Mail wird ihm dann wortreich erklärt, dass es unbedingt nötig sei, dass er die Zugangsdaten zu seinem Konto auf einer Website eingibt. Diese Website ist in der Mail mit einem Link versehen, der viele dazu verführt, einfach daraufzuklicken. Im Falle des "Phishing"-Angriffs auf Kunden der Deutschen Bank führte dieser Link zum Beispiel zur Website www.deutschebankvalidate.info - eine Site, die mit der Deutschen Bank nichts zu tun hatte, aber selbst auf den zweiten Blick exakt so aussah.
Diese "Phishing"-Sites melden die Kriminellen unter falschen Namen an und bezahlen sie mit gestohlenen Kreditkarten. Den Inhalt der Website legen sie meist auf PCs ahnungsloser Nutzer ab, die sie nach bekannter Methode unter Kontrolle gebracht haben. Die Diebe verstecken sich auf diese Weise hinter den gekidnappten Rechnern und sind schwerer aufzufinden. Außerdem existieren ihre Websites meist nur wenige Tage im Internet. Dann verschwinden sie wieder, ohne allzu viele Spuren zu hinterlassen - wenn überhaupt.
Wie man ein schwer zu knackendes Passwort bastelt
Betrüger haben es zwar verstärkt auf die Zugangscodes von Online-Bankkonten abgesehen - viel leichter zu knacken jedoch sind die alltäglich verwendeten Passwörter vieler Internetnutzer. Es braucht eben keinen "Phishing"-Angriff auf Herrn Müllers Ebay-Zugang, wenn sein Passwort "mueller" lautet. So leichtfertig sollten Sie nicht sein: 1. Verwenden Sie für jeden Zugang ein Passwort. Auch wenn Sie fürchten, dass Sie sich nicht alle merken können. Überlegen Sie sich ein Schema, das den Namen der Website einschließt, für das Sie ein Passwort brauchen: Schon "EBmuellerAY" zum Beispiel ist besser als "mueller". 2. Benutzen Sie keine Wörter, die im Duden vorkommen. Die können mit spezieller Software in Minuten geknackt werden. Und: Verwenden Sie nichts, was jeder mit ein wenig Aufwand herausbekommen würde - nicht den Namen Ihres Haustieres, kein "robbiewilliams" und auch kein "fcstpauli". 3. Helfen Sie sich mit Eselsbrücken. Wenn Sie Probleme haben, sich gute Passwörter auszudenken, greifen Sie zu einem Lied, dessen Text Sie nie vergessen werden - sagen wir: "Yesterday". Das beginnt mit "Yesterday all my troubles seemed so far away". Das wäre als Passwort "Yamtssfa". Da kommt keiner so schnell drauf.
All diese Umstände machen es Banken und ihren Ermittlern schwer, "Phishing"-Sites zeitig aufzuspüren und zu schließen; es bleibt den Betrügern genug Zeit, eine Menge Opfer darauf zu locken und das Geld ins Ausland zu überweisen. Experten gehen davon aus, dass bei mehr als zwei Drittel der weltweiten "Phishing"-Attacken die Spur nach Osteuropa und Asien führt.
Ein Satz zur Beruhigung: Bislang ist in Deutschland kein Fall bekannt, in dem ein Bankkunde Geld verloren hat. Das jedoch liegt nur daran, dass Sicherheitssysteme der Banken Alarm schlugen oder Transaktionen gerade noch gestoppt wurden.
Die Attacken der "Phisher"
jedoch werden vielfältiger. Längst haben sie nicht nur Bankkunden im Visier. Damit Sie nicht auf "Phishing"-Mails hereinfallen, müssen Sie sich nur eine Regel zu Herzen nehmen: Keine Bank, keine Kreditinstitut, kein Auktionshaus wie Ebay, kein AOL und kein Amazon wird Sie jemals per E-Mail oder per Telefon nach ihren persönlichen Zugangscodes und PINs oder TANs fragen, geschweige denn Sie darum bitten, diese auf einer Website anzugeben. Bekommen Sie eine solche Mail, lächeln Sie kurz über die plumpe Dreistigkeit, klicken nicht auf das Anhängsel und werfen Sie sie in den Papierkorb. Am besten, Sie löschen Sie sofort, ohne sie angesehen zu haben.
Im Web
www.bankenverband.de: Der Verband bietet als "Verbraucher-Special" eine kostenlose Broschüre zur Sicherheit beim Online-Banking an
www.Bsi-fuer-Buerger.de: Das Bundesamt für Sicherheit in der Informationstechnik informiert über aktuelle Gefahren - jetzt auch mit einem Newsletter
www.antiphishing.org: Hintergründe und Analysen aktueller Entwicklungen in der "Phishing"-Szene (engl.)
pages.ebay.de/sicherheitsportal: Hier erfahren Sie, wie Sie Ihr Ebay-Konto sicherer machen und wo Sie der Firma mutmaßliche Betrüger melden können
Eines noch sollten Sie wissen: Sie sind auch beim Thema "Phishing" gut beraten, Ihren Computer mindestens mit einem Antivirus-Programm zu schützen und Ihr Betriebssystem auf dem neuesten Stand zu halten. Wer nämlich dafür haftet, wenn ein "Phishing"-Angriff mal klappt, ist noch nicht abschließend geklärt. Sicher ist nur, dass es besser ist, wenn Sie im Notfall gegenüber Ihrer Bank nachweisen können, dass Sie nicht grob fahrlässig gehandelt haben. Und das tun Sie, wenn Sie nicht sorgfältig mit Ihren Daten umgehen und Ihren PC nicht pflegen.
