Erst Mitte Juli landete die jüngste Nachricht des angeblichen "Volksbanken-Raiffeisen-Sicherheitsteams" in meiner Mailbox. Ich möge doch bitte mein Online-Konto erneut "verifizieren" und drei gültige Transaktionsnummern eingeben - nur zu meiner eigenen Sicherheit. Sonst müsste das Konto leider gesperrt werden.
Natürlich hatten die Volks- und Raiffeisenbanken gar nichts mit dieser Mail zu tun und wenn ich als Kontoinhaber den Anweisungen gefolgt wäre, hätte ich mit Sicherheit viel Geld verloren. Es handelt sich um nichts anderes als einen plumpen Trick, um an mein Geld zu gelangen. Es ist eine "Phishing-Mail". Betrüger versuchen damit, vertrauliche Kontoinformationen "abzufischen", um dann zum Beispiel das Guthaben per Geldanweisung ins Ausland zu transferieren und bar abzuheben. Phishing ist ein Kunstwort aus "fishing" und "phreaking", der in den 70er-Jahren beliebten kostenlosen Nutzung von Telefonsystemen in den USA durch Ausnutzung von Schwachstellen in der Technik.
Seit Millionen Menschen ihre Bankgeschäfte online erledigen, blüht das Geschäft mit der Gutgläubigkeit im World Wide Web. Im Januar 2005 hat das Sicherheitsunternehmen Messagelabs den bisherigen Höhepunkt der Phishing-Aktivitäten festgestellt. Damals diente weltweit im Schnitt eine von 127 E-Mails als Vehikel für digitalen Trickbetrug.
Inzwischen werden die Attacken immer gezielter und sind zudem schwerer zu entdecken. Waren früher dilettantische Mails oft schon an ihrem Kauderwelsch zu entlarven ("Sehr geehrten Kunden von Konto... "), werden die Methoden heute immer mehr verfeinert und auf weitere Bereiche wie Auktionskonten oder Online-Shopping-Konten ausgedehnt. Äußerst beliebt und lukrativ für dunkle Geschäfte sind Zugangsdaten zu Paypal- oder Ebay-Konten. Sind die Zugangsdaten ert mal gestohlen, werden auf fremden Namen und gegen Vorkasse (Barabhebung im Ausland) schnell mal jede Menge vermeintliche Schnäppchen verkauft und natürlich nie geliefert. Der echte Konteninhaber muss hinterher dem Staatsanwalt nachweisen, dass er nichts mit den Betrügereien zu tun hatte.
Die Methoden der Phisher werden dabei immer trickreicher. Ganz gezielt werden heute Vereine, kleine Gruppen oder Firmen konkret und namentlich angesprochen, um mehr Vertrautheit herzustellen und die Hemmschwelle bei den Empfängern zu senken. Solche maßgeschneiderten Versuche nennt man "Spear-Phishing". So wie ein Fischer, der ganz gezielt mit dem Speer einzelne Fische aufspießt, statt einfach ein Netz auszulegen. Die neueste Masche ist "Voice Fisching" oder "Vishing". Dabei wird kein Link mehr in der E-Mail angegeben, sondern eine Telefonnummer. Unter der Nummer fragt dann eine sonore Computerstimme Kontodaten oder Kreditkarteninformationen ab. Experten fürchten, dass mit der Ausbreitung der Internettelefonie auch der Trickbetrug per Web-Phone explodieren wird, wenn anonyme Phishing-Computer in Minuten Tausende Telefonanschlüsse völlig kostenlos abtelefonieren können.
Was kann man dagegen tun? Das wichtigste überhaupt: Angemessenes Misstrauen. Denn das Grundprinzip ist immer ähnlich: Jemand, der persönliche Daten bereits hat, braucht sie unter irgend einem Vorwand angeblich noch einmal. Man muss also zuerst immer unterstellen, dass solche Mails ein Trickbetrug sind.
Zudem sollte man wichtige Internet-Adressen (etwa die der eigenen Bank) immer per Hand eingeben oder ein selbst erstelltes Lesezeichen im Browser nutzen. Niemals sollte man sich von Dritten weiter verbinden lassen. Schnell landet man so auf fremden Servern.
Ratsam ist außerdem, moderne Software zu nutzen. Sie weist häufig deutlich verbesserte Schutzfunktionen gegen Phishing auf. Selbst Virenjäger haben heute Funktionen, um bereits bekannte Phishing-Seiten zu blocken. Denn: Die Gefahr ist groß, dass eingeschleuste Schadprogramme (so genannte "Spyware" oder "Trojaner"), auch ohne dass es einer Phishing-Mail bedarf, sensible Daten klauen und an geheime Empfänger im Internet senden.
Der Autor arbeitet in Düsseldorf als Redakteur beim "Handelsblatt". Im Ressort Unternehmen und Märkte befasst er sich vor allem mit IT- und Medienthemen.