Internetfischer Schutz wie

Fhishing ist eine Betrugsmethode, die nicht sehr oft erfolgreich ist. Wenn aber doch, richtet sie besonders große Schäden an. Phisher räumen ganze Konten leer, und oft genug bleibt der geschädigte Bankkunde auf dem Schaden sitzen: Wer sich nicht schützt, ist selbst schuld.

Trojaner wirken so:

Wie das Trojanische Pferd in der griechischen Mythologie verbergen Computer-Trojaner ihre eigentliche Aufgabe (und Schädlichkeit!) hinter einer Verkleidung. Meist treten sie als harmlose Software auf: Bildschirmschoner, Videodatei, Zugangsprogramm. Sie werden zum Beispiel als E-Mail-Anhang verbreitet. Wer das Programm startet, setzt damit immer eine verborgene Schadfunktion ein: Meist besteht diese aus der Öffnung einer so genannten Backdoor, einer Hintertür, die das Computersystem gegenüber dem Internet öffnet und durch die weitere Schadprogramme nachgeladen werden.

Schaden ist groß:

Im Jahr 2006 wurden laut Bundesverband Informationswirtschaft, Telekommunikation und neue Medien (Bitkom) über 3200 Menschen Opfer von Phishing. Durchschnittlich konnten die Betrüger etwa 4000 Euro erbeuten, der Bitkom geht von einem Gesamtschaden von über 13 Millionen Euro aus.

1. Mit immer ausgeklügelteren Methoden machen Internetkriminelle Jagd auf arglose Surfer. So genannte Phisher locken ihre Opfer auf gefälschte Onlinebanking-Seiten oder jubeln ihnen Trojaner unter, um an Onlinebanking-Daten, also TAN- und PIN-Nummern zu gelangen. Wer die einmal preisgegeben hat, hatte die längste Zeit Geld auf dem Konto: Die Betrüger benutzen die Zugangsdaten, um das gesamte Guthaben an sogenannte Finanzagenten zu überweisen.

Viele dieser Agenten werden durch Internet-Stellenanzeigen angeworben, in denen lukrative Nebenbeschäftigungen in Aussicht gestellt werden. Der "Agent" hebt die Beute in Bar ab, überweist sie per Western Union ins Ausland. Der Phisher braucht das so gewaschene Bargeld nur noch in Empfang nehmen. Der ganze Vorgang hinterlässt kaum verwertbare Spuren.

Der erste Auftrag kommt sofort, die Polizei nach zwei Wochen

2. Teil: So schützen Sie sich vor Phishing-Angriffen

Die Arbeitsgruppe Identitätsschutz im Internet e.V. führt zehn Gebote auf, deren Einhaltung maßgeblich für den Schutz vor Phishing ist. Eine detaillierte Anleitung finden Sie auf der Website des Vereins.

  1. Pflegen Sie die Browser-Software regelmäßig mit aktuellen Sicherheits-Updates.
  2. Überprüfen Sie das Sicherheitszertifikat der Web-Seite.
  3. Überprüfen Sie, ob die Website gesichert ist, bevor kritische Daten eingegeben werden: Die URL sollte mit "https://" und nicht nur mit "http://" beginnen.
  4. Gehen Sie niemals über einen angebotenen Link zu der gewünschten Website, geben Sie stattdessen immer die entsprechende URL in den Browser ein.
  5. Deaktivieren Sie Javascript im Browser, um Cross-Site-Scripting zu vermeiden, und den Windows Skripting Hosts (WSH), um die Ausführung von ungewollten Skripten zu unterdrücken.
  6. Öffnen Sie möglichst keine Mails von unbekannten Absendern und wenn doch, klicken Sie auf keinen darin enthaltenen Link und bestätigen Sie niemals Kontonummern, Passwörter oder andere geheime Daten nach einer Mail-Aufforderung - entsprechende Institute oder Firmen würden ein solches Vorgehen aus Sicherheitsgründen nie wählen.
  7. Verifizieren Sie auffällige Mails von vertrauten Adressaten (wie zum Beispiel der eigenen Bank) mit einem kurzen Anruf.
  8. Schließen Sie den Browser, falls die gewünschte Website in der Regel eine Authentifizierung verlangt und plötzlich ohne eine solche auszukommen scheint.
  9. Installieren Sie Webfilter, die ihren Sperrkatalog ständig um gefälschte Web-Seiten erweitern.
  10. Setzen Sie aktuelle Anti-Virenprogramme und Firewalls ein. Verwenden Sie die neuesten Signaturen.

Teil: Welche Rechte und Pflichten gilt es zu beachten?

Wer sich nicht ausreichend gegen Phishing schützt, kann nicht mit einer Schadensbegleichung der Bank rechnen, da er möglicherweise grob fahrlässig  gehandelt hat. Ein aktuelles Urteil des Landgerichts Köln verlangt, dass beim Onlinebanking ein verständiger, technisch durchschnittlich begabter Anwender eine aktuelle Virenschutzsoftware und eine Firewall verwendet, regelmäßige Sicherheitsupdates für sein Betriebssystem und die verwendete Software einspielt.

Außerdem müsse der Nutzer die Warnungen der Banken beachten und niemals PIN und TAN auf Anforderung per Telefon oder Mail herausgeben. Deutliche Hinweise auf gefälschte E-Mails oder Internetseiten seiner Bank muss er erkennen - zum Beispiel bei sprachlichen Mängeln, deutlich falschen Internetadressen, Adressen ohne https:// oder dem fehlenden Schlüsselsymbol in der Statusleiste des Browsers.

4. Teil: Was tun, wenns brennt?

Wer auf Kontoauszügen entdeckt, dass plötzlich all sein Geld auf ein unbekanntes (Privat)konto überwiesen wurde oder wer glaubt, gerade auf einen Phishingangriff hereingefallen zu sein, soll sich sofort bei seiner Bank melden. Wer nicht fahrlässig

gehandelt hat, bekommt den Schaden von der Bank beglichen.

TELEFON-HOTLINE FÜR PHISHING-OPFER

Die Arbeitsgruppe Identitätsschutz im Internet e.V. bietet dienstags und donnerstags in der Zeit von 15 bis 18 Uhr unter 0234/32- 28058 eine Hotline an für Opfer eines Phishing Angriffs oder einer anderen Form des Identitätsmissbrauchs.

http://www.spiegel.de/netzwelt/web/0,1518,533809-3,00.html