Schutz vor Phishing und Trojanern

Bildschirmabdruck zu Viruswarnmmeldung

Datenschutz

Foto: Marco Laux

Der Handel im Internet wächst. Die Hälfte aller Internetnutzer wickeln Bankgeschäfte online ab. Dabei geben User oft viele Daten ein: Geburtsdatum, Passwörter, Kontoverbindungen. Solche persönlichen Daten sind lohnende Ziele für Betrüger. Der Online-Handel bemüht sich, seine Kunden zu schützen. Doch auch die Verbraucherinnen und Verbraucher können einiges tun, um sich gegen Datendiebe zu wappnen.

Nur so viel Daten wie nötig

Generell gilt: Gehen Sie sparsam mit Ihren Daten um. Machen Sie nur Angaben, die wirklich notwendig sind, um ein Geschäft abzuwickeln. Geben Nutzerinnen und Nutzer leichtfertig viele persönliche Daten preis, haben es Datendiebe deutlich leichter. Verantwortungsvoller Umgang mit persönlichen Angaben ist besonders in sozialen Netzwerken wichtig, dort finden sich sehr viele persönliche Daten.

Phishing - das Wort setzt sich aus "Password" und "Fishing" zusammen, auf Deutsch heißt es so viel wie "nach Passwörtern angeln". Passwörter oder andere vertrauliche Daten sind das Ziel der Betrüger. Immer öfter versenden Betrüger, als seriöse Firma oder Bank getarnt, gefälschte E-Mails. Die Empfänger werden aufgefordert, einem Link zu folgen. Der führt zu einer täuschend echt nachgebauten Internetseite oder einem Formular.

Der Kunde soll dann vertrauliche Daten wie Passwörter, Zugangsnummern oder Kreditkartennummern eingeben - weil angeblich das Passwort erneuert werden müsse, die Kreditkarte ablaufe oder aus Sicherheitsgründen Kontoinformationen bestätigt werden müssten. So verschaffen sich Kriminelle Zugang zu vertraulichen Daten. Für Verbraucher gilt deshalb: Wer eine solche Nachricht bekommt, sollte immer beim Absender nachfragen. Eine seriöse Bank fordert ihre Kundschaft niemals per Mail auf, persönliche Daten wie PINs (persönliche Identifikationsnummern) und TANs (Transaktionsnummern) sowie Kreditkartennummern einzugeben.

Anzeichen für möglichen Angriff

  • Die E-Mails im HTML-Format zeigen einen "offiziellen Link" an, hinter dem sich tatsächlich ein ganz anderer Link verbirgt. Um diesen Link zu entdecken, muss man den Quelltext der HTML-Mail lesen. Das funktioniert über einen Klick mit der rechten Maustaste im Nachrichtenfeld und der Auswahl des Menüpunktes "Quelltext anzeigen".

  • Das Log-in dauert bei gefälschten Links oftmals ungewohnt lange.

  • Es werden mehr Informationen abgefragt als nötig. Zum Beispiel werden ein zusätzlicher Nachweis oder unnötige persönliche Informationen verlangt.

  • Im Browser ist kein Schlosssymbol zu finden: Seriöse Webseiten, die vertrauliche Informationen abfragen, verschlüsseln die Seite mit dem Netzwerkprotokoll "Secure Sockets Layer" (SSL). Es wird durch ein Schlosssymbol in der unteren Leiste der Seite angezeigt.

Am besten ist es, die Adresse eines Unternehmens oder eines Kreditinstituts direkt in den Browser einzugeben oder gespeicherte Lesezeichen zu verwenden. Beginnt die Internetadresse mit "https://", ist das ein Indiz, dass es sich um eine geschützte Seite handelt. Nutzer sollten auf ihrem PC oder Smartphone keine Zugangs- und Transaktionsdaten speichern.

Es ist außerdem riskant, fremde Rechner für Online-Geschäfte zu nutzen. Denn Browser speichern Daten der letzten Verbindungen in einem Zwischenspeicher ab, dem sogenannten Cache. Wer Geschäfte etwa im Internetcafé abwickelt, riskiert, dass Kriminelle später diese Informationen im Cache nutzen.

Einfallstor "Schadprogramme"

Datendiebe setzen zum Ausspähen persönlicher Daten auch sogenannte "Trojanischen Pferde" ein. Das sind Schadprogramme, die sich harmlos getarnt Zugang zum Computer und damit zu persönlichen Informationen verschaffen. Sie werden zum Beispiel in E-Commerce-Angeboten eingesetzt, um andere Internetnutzer zu betrügen.

Oder es werden Auftragsdaten gefälscht und umgeleitet: Führt der Nutzer etwa eine Überweisung durch, fängt das Schadprogramm die Auftragsdaten ab, verändert Betrag und Kontonummer des Empfängers und leitet die manipulierten Daten an die Bank weiter. Erst der Blick auf denn nächsten Kontoauszug macht den Schaden sichtbar.

Die meisten Schadprogramme verfügen inzwischen über mehrere Schadfunktionen. So kann beispielsweise ein Trojanisches Pferd sogenannte Backdoor- und Spyware-Funktionen haben. Das sind heimliche Programme, die auf einen Fernzugriff abzielen. Sie können unbemerkt die Eingaben des Benutzers am Computer protokollieren.

Ausgenutzt werden hierzu Sicherheitslücken in Webbrowsern wie Internet Explorer, Mozilla Firefox oder in installierten Zusatzkomponenten (Plug-ins).

Clevere Konfiguration und sichere Software

So schnell man sich im Internet durchklicken kann, so breit ist die Datenspur, die man dabei hinterlässt. Das liegt vor allem an der "Redseligkeit" der Rechner.

Der sogenannte Proxy Server des eigenen Internetproviders speichert die IP- Adresse, die Identifikationsnummer jedes Rechners und die Inhalte, auf die er zugreift. Zusätzlich fragt der Proxy Server häufig die Browserversion des Nutzers ab sowie Daten zum Betriebssystem und zur Konfiguration des Rechners.

Um sich in diesem zwangsläufig öffentlichen Raum so sicher wie möglich zu bewegen, bedarf es entsprechender Software und richtiger Einstellungen.

Gegen Bedrohungen wie Trojanische Pferde, Viren oder Wanzen gibt es mittlerweile Softwarelösungen. Unternehmen bieten sie im Internet zum überwiegenden Teil für Privatanwender kostenlos an:

  • Firewalls schützen vor unberechtigtem Zugriff von außen,
  • Kryptografie-Programme verschlüsseln Daten,
  • digitale Signaturen ermöglichen bei elektronischen Rechtsakten, die Echtheit der Identität zu prüfen,
  • Antivirusprogramme filtern Viren aus und spüren Trojanische Pferde auf,
  • Spamfilter fischen unerwünschte Werbung aus dem Posteingang.

Man sollte stets darauf achten, für jede der genannten Gefahren Sicherheitsvorkehrungen zu treffen und nicht nur für eine. Wichtig sind auch regelmäßige Updates der auf dem Rechner installierten Software, insbesondere der Antiviren-Schutzprogramme und des Betriebssystems.

Grundsätzlich gilt: Auf dem Smartphone sind dieselben Sicherheitsvorkehrungen erforderlich wie auf dem Computer zu Hause.

Schlagwörter