Phishing – Was ist das? Und wie geht man damit um?

Beim Phishing wird die Gutgläubigkeit von Internetnutzern durch Betrüger ausgenutzt, um sensible Daten wie Passwörter zu erhalten. Kann man sich davor schützen?

Phishing. Das bedeutet: Geklaute Zugangsdaten, PINs und Passwörter. Läuft es schlecht, dann bedeutet es weiter: Identitätsdiebstahl, Rechnungen für nie erworbene Dinge, Ansprüche vermeintlicher Gläubiger, Strafanzeigen – und neben Geld kostet das vor allem eine Menge Nerven.

Vermutlich kennt jede Person, die halbwegs regelmäßig das Internet nutzt, jene E-Mails, die in gebrochenem Deutsch daherkommen, sich z.B. als Kommunikation eines Zahlungsdienstleisters ausgeben und um die Übermittlung von Informationen bitten. Das natürlich im Tarnmodus: So scheint dem Betreiber eines großen Online-Marktplatzes auch zwei Jahre nach der DSGVO in fast regelmäßigen Abständen einzufallen, dass die Kontoinformationen wegen des Inkrafttretens der Grundverordnung geupdatet werden müssten. Folgt man als Empfänger dem Link der E-Mail, gelangt man zu einer mal mehr, mal weniger täuschend echt aussehenden Seite, die natürlich die Zugangsdaten verlangt – schließlich muss ja die Identität bestätigt werden. Hat man das nun erledigt, ist es erstmal zu spät. Das Kind ist im Brunnen, der Drops gelutscht und die Zugangsdaten sind bei weiß Gott wem.

Phishing erkennen – gar nicht so einfach

Phishing ist ein ernstes und ernstzunehmendes Problem. Es trifft nicht nur Menschen, für die das Internet Neuland ist, sondern auch erfahrene Nutzer und Unternehmen. Das haben Mitte dieses Jahres beispielsweise diverse Gewerbetreibende erfahren müssen, denen per E-Mail und unter dem Absender eines Mitarbeiters der EU-Kommission Anträge für Corona-Unterstützungen gesendet worden waren. Echt waren die jedoch nicht, vielmehr waren Betrüger am Werk.

Längst ist es nicht mehr so, dass Phishing-E-Mails nach Betrug aussehen. Layout, Rechtschreibung und selbst die Art der Ansprache werden oft haargenau nachempfunden. Auch beziehen Betrüger in manchen Fällen den Adressaten der Nachricht in die Gestaltung ein: Eine Phishing-Mail wird nicht immer nur an eine große Anzahl von Empfängern versendet. Manche Betrüger wählen ihr Opfer ganz konkret aus und passen ihre Kommunikation an. E-Mails sind dabei zudem nicht der einzige Überbringer jener Versuche, den Empfänger der Nachricht hinters Licht zu führen: Auch SMS oder soziale Netzwerke werden dazu genutzt.

Unternehmer im Fadenkreuz

Wozu Cyberkriminelle die erhaltenen Daten nutzen, lässt sich pauschal nicht beantworten. Gängig ist das Abfragen von Zugangsdaten zu Online-Diensten, um entsprechend Zugang zum Konto des Betroffenen zu erhalten und im Anschluss Zahlungen oder Bestellungen auszulösen. So liegt der Fall in der Regel bei Verbrauchern. Was hier bereits eine mehr als unangenehme Angelegenheit ist, kann für Unternehmer noch weitreichendere Konsequenzen haben: Hier ist es vielleicht nicht nur das Kundenkonto, sondern das Verkaufskonto eines Online-Händlers, das von Kriminellen gekapert wird. Immer wieder kommt es dann vor, dass sich dort plötzlich etliche Artikel zu niedrigen Preisen finden, welche zu Hauf gekauft werden. Natürlich existieren sie aber nicht, erreichen den Kunden nie, und die Einnahmen wandern schneller als gedacht in die Tasche des Betrügers. Der Online-Händler hat nun diverse Probleme. Wütende Kunden, offene Forderungen und ein Prestigeverlust sind nur einige davon.

E-Mails lesen mit offenen Augen – schwieriger als gedacht

Wer sich nicht von der Gefahr unterkriegen lassen will, der muss vor allem die Augen offen halten und sich vor Betriebsblindheit schützen. Immer dann, wenn ein Dienst insbesondere per E-Mail oder gar auf einem eher unüblichen Kommunikationsweg deutlich macht, dass es einer Handlung bedarf, sollten die Warnleuchten angehen. Zur weiteren Prävention von „Unfällen“ ein paar Tipps:

  • Rechtschreibung, Ansprache und Sprache sowie Layout können ein Indiz sein. Oftmals sind die Nachrichten recht nachdrücklich und sprechen von dringendem Handlungsbedarf oder Konsequenzen.
  • In modernen E-Mail-Programmen wird nur der vom Absender der E-Mail hinterlegte Name angezeigt, nicht jedoch direkt auch die Adresse selbst. Prüfen Sie daher die Absenderadresse in Ihrem Client. Passt diese zum angegeben Absendernamen?
  • Anstatt den meist in der E-Mail vorhandenen Link zu nutzen, rufen Sie die Website des vermeintlichen Absenders händisch auf und prüfen Sie, ob dort tatsächlich eine entsprechende Aktion gefordert wird.
  • Oftmals erscheint statt einem ausgeschriebenen Link nur ein Button. In vielen Browsern erscheint der Link jedoch, wenn mit dem Cursor über die Schaltfläche gefahren wird (ohne zu klicken!). Handelt es sich um eine seriöse URL?
  • Öffnen Sie Anhänge nur bei absoluter Sicherheit über die Echtheit der Nachricht. Besondere Skepsis ist bei ZIP-Dateien geboten. Angehängte Dateien können zusätzlich Schadsoftware enthalten, die nicht als solche erkennbar ist.
  • Nutzen Sie geeignete Programme zur Vermeidung von Virenbefall und Co.
  • Weitere Tipps, die Unternehmer beachten können, um sich sicher im Internet zu bewegen, gibt es auch in unserem Beitrag „How to: IT-Sicherheit für Betreiber von Online-Shops

… und wenn es zu spät ist?

Kommt nun der Verdacht auf, dass es sich um Phishing handelt, nachdem z.B. Zugangsdaten auf der verlinkten Seite angegeben wurden, sollte möglichst keine Zeit verloren werden. Die Zugangsdaten des jeweiligen Dienstes sollten umgehend geändert werden. Auch sollte der jeweilige Anbieter kontaktiert werden. Ist bekannt, dass die Bearbeitung von E-Mails dort etwas mehr Zeit in Anspruch nimmt, sollte im Zweifel zum Hörer gegriffen werden. Bei Fragen zur Situation kann außerdem das Bundesamt für Sicherheit in der Informationstechnik weiterhelfen, sowie auch eine Anfrage bei der Polizei.

Erhärtet sich der Verdacht, dass die Daten auch genutzt werden, sollte spätestens dann eine Strafanzeige erfolgen. Womöglich wird nie herausgefunden, wer der Betrüger nun war. Doch spätestens, wenn weitere Vorfälle, wie z.B. unbefugte Einkäufe, hinzukommen oder Mahnungen eintreffen, kommt einer erstatteten Strafanzeige eine essentiell wichtige Bedeutung zu, um irgendwie darlegen zu können, tatsächlich unbescholten zu sein.

Der Händlerbund hilft!
Die rechtliche Absicherung ihrer Internetpräsenzen verursacht vielen Online-Händlern einen enormen Mehraufwand. Der Händlerbund steht Ihnen bei juristischen Fragen als kompetenter Partner zur Seite. Wenn Sie sich als Händler jetzt für die umfangreichen Rechtsdienstleistungen des Händlerbundes entscheiden, erhalten Sie mit dem Rabattcode crifbuergel#HB einen Nachlass von 3 Monaten auf das Mitgliedschaftspaket Ihrer Wahl. Jetzt informieren!

Über den Autor

Melvin Dreyer ist seit Mitte 2018 als juristischer Fachredakteur für den Händlerbund tätig. Während er sich im Studium besonders mit Steuerrecht auseinander gesetzt hat, berichtet und berät der Diplom-Jurist nun regelmäßig zu rechtlichen Neuigkeiten und Fragestellungen rund um E-Commerce, IT- und Europarecht.

Herausgeber:  CRIF Bürgel GmbH, Friesenweg 4, 22763 Hamburg, presse@crifbuergel.de, www.crifbuergel.de

Impressum

CRIF Bürgel GmbH
– Niederlassung Zentrale –
Leopoldstraße 244
80807
München
Fax:  040 89803-777/778
X