Newsletter abonnieren

Phishing

Was ist Phishing?

Nachdem wir uns schon mit Viren, Trojanern, Spyware und Spam herumschlagen müssen, gibt es seit einiger Zeit eine neue Gefahr im World Wide Web: das Phishing. Das Kunstwort Phishing kommt aus dem englischen und setzt sich aus den Wörtern „password“ und „fishing“ zusammen. Es bedeutet so viel wie „nach Passwörtern angeln“. So versuchen Betrüger mit gefälschten E-Mails und manipulierten Webseiten nicht nur Ihre Passwörter ausfindig zu machen, sondern auch Ihre persönlichen Daten. Interessant sind dabei Ihr Name, Anschrift, Geburtstag, Bankverbindungen, Kreditkartennummer und Ihre Zugangsdaten zum Online-Banking.

Wie gehen die Gauner vor?

Sie als ahnungsloser Bürger erhalten eine gefälschte, aber täuschend echt aussehende E-Mail von einer vermeidlichen echten Bank oder einer Firma. In dieser vermeidlich seriösen E-Mail werden Sie gebeten, über einen bestimmten Internetlink eine Webseite zu besuchen. Hinter diesem Link verbirgt sich jedoch nicht die Webseite einer echten Bank, sondern eine ganz andere Webseite. Diese Webseite kann zum Beispiel einer Banken-Homepage sehr ähneln. Selbst die Webseiten-Adresse unterscheidet sich nur minimal von der eigentlichen originalen Webseiten-Adresse der Bank. Auf der manipulierten Seite werden Sie nun aufgefordert, zum Beispiel Ihre Kreditkartennummer einzugeben, ein abgelaufenes Passwort zu erneuern oder aus Sicherheitsgründen Ihre persönlichen Daten erneut einzugeben. Falls Sie in eine solche Falle tappen sollten, dann ist der Ärger vorprogrammiert.

Zusammenfassend: Sie erhalten eine E-Mail, die Sie durch einen Link auf eine bösartige Webseite lockt, um Ihre Daten dort einzugeben und letztendlich frei zu geben.

Die meisten dieser Phishing-Mails kommen übrigens aus den USA. China und Russland folgen auf den Plätzen zwei und drei, allerdings mit großem Abstand, wie die nachfolgende Grafik zeigt:

Statistik der Top10 Länder von denen Phishing-Attacken ausgehen
Quelle: Statista.com

Achtung: kein Schadenersatz, wenn TAN verraten wird

Wer auf eine Phishing-Mail reagiert und eine gültige TAN übermittelt, geht im Schadensfall leer aus. Zu diesem Urteil kam das Amtsgericht München in dem unter dem Aktenzeichen 132 C 49/15 verhandelten Fall einer Frau, die auf eine Phishing-Mail reagierte, indem sie auf den darin enthaltenen Link klickte und online ihre Konto- sowie Adressdaten eingab. Im Anschluss darauf meldete sich eine angebliche Mitarbeiterin der Bank bei ihr, die kurze Zeit später per SMS die Freigabenummer (TAN) für eine Überweisung in Höhe von 4.444 Euro. Das Gericht urteilte auf grobe Fahrlässigkeit, die Bank muss den entstandenen Schaden daher nicht ersetzen.

Wie erkennt man Phishing-Mails bzw. -Seiten?

Früher konnte man eine Phishing-Mail schnell ausfindig machen, denn fast alle waren in einem sehr schlecht verständlichen Deutsch verfasst. Das lag daran, dass die Betrüger aus dem Ausland kamen und die E-Mails von einem Computerprogramm oder von einem Laien übersetzt wurden. Doch leider werden die Phishing-Mails heutzutage immer perfekter und die „Phishing-Banden“ treten mit immer besseren Technologien auf. Somit steigt ständig die Gefahr, dass man auf einen solchen Betrug hereinfällt.

Seit neustem ist das Phishing nicht nur noch auf das Internet beschränkt, sondern die Betrüger sind auch auf der Jagd nach Nutzern der Internettelefonie (VoIP). Diese neue Art von Datenklau nennt sich auch „Vishing“ („Voice Phishing“).

Ein erheblicher Schaden entsteht auch bei den Banken, in dessen Namen die Betrüger auftreten, denn der Image-Verlust für sie ist immens.

Tendenzen beim Phishing

Dass Phishing im Vormarsch ist, zeigen folgende Zahlen der Bitkom, die in Zusammenarbeit mit den Landeskriminalämtern entstanden sind:

Die Zahl der Phishing-Opfer ist 2006 um 23 Prozent auf 3250 Fälle angestiegen. Auf diese Weise ist ein Schaden von 13 Millionen Euro entstanden, was einen Durchschnitt von 4000 Euro pro Angriff ausmacht.

Das Bundeskriminalamt verweist jedoch auf andere Zahlen:

Laut seiner Statistik gab es 62.000 Straftaten in der Internet- und Kommunikationstechnologie. Des Weiteren gab es laut seiner Statistik 118.000 Straftaten, die als Tatmittel das Internet verwendeten. Laut BKA ist die Zahl der Phishing-Opfer 2006 mit etwa 3000 im Vergleich zu 2005 gleich geblieben. Die unterschiedlichen Zahlen sind darauf zurück zu führen, dass es viele Fälle nicht bis zum BKA schaffen, sondern bei den Landeskriminalämtern hängen bleiben.

Die Anzahl der Phishing-Fälle in Deutschland steigt laut Statistik des Bundeskriminalamtes weiter an:

Bedienhinweis: Einzelne Datenreihen lassen sich durch Klick auf die betreffende Überschrift aus- und wieder einblenden.

Quellen:


Quellen: Bundeskriminalamt

Wie schützen Sie sich am besten vor diesen Angriffen?

Wenn Sie nun folgende Hinweise berücksichtigen, dann gehen Sie ein sehr geringes Risiko ein, Opfer zu werden:

  • Halten Sie Ihren Browser, E-Mail-Client unbedingt auf dem neusten Softwarestand bzw. installieren Sie auf jeden Fall vom Hersteller angebotene Patches
  • Installieren Sie unbedingt ein Virenprogramm und eine Firewall. Halten Sie diese immer aktuell.
  • Achten Sie bei Geldgeschäften im Internet auf eine Verschlüsselte Verbindung (SSL). Im Browser erscheint dann ein „Schlosssymbol“ bzw. in der Adressleiste erscheint „https“ statt „http“.
  • Klicken Sie niemals auf einen Link auf einer E-Mail. Geben Sie stattdessen die Adresse selbst in die Adressleiste ein.
  • Öffnen Sie nur E-Mail-Anhänge von Absendern, die Ihnen vertraut sind.
  • Seriöse Banken oder Auktionshäuser fordern Sie niemals dazu auf, Ihre persönlichen Daten bzw. PIN/TAN über eine E-Mail oder sogar am Telefon zu aktualisieren.
  • Verwenden Sie beim Online-Banking iTANs oder mTANs statt der TANs

Sollten Sie dennoch Opfer einer Phishing-Attacke werden, melden Sie den entstanden Schaden sofort Ihrer Bank, die in den meisten Fällen sogar eine eigens dafür eingerichtete Hotline anbietet. Je schneller dies geschieht, umso größer ist die Chance, dass Sie Ihr Geld zurückbekommen.

In den meisten Fällen erstatten die Banken den Phishing-Schaden, aber ein Rechtsanspruch besteht nicht. Des Weiteren fordern die meisten Banken Sie auf, diese Straftat bei der Polizei anzuzeigen.

Urteil stärkt Verbraucher-Rechte: Bank trägt Beweislast bei Phishing-Angriffen

Das Landgericht Oldenburg (Az.: 8 O 1454/15) hat in einem Phishing-Fall zugunsten des betroffenen Kunden entschieden. Diesem entstand infolge von unberechtigten Überweisungen ein Schaden von mehr als 11.000 Euro. Die Bank lehnte ein Schadenersatz ab mit der Begründung, dass der Kläger grob fahrlässig gehandelt habe. Die Richter sahen dies anders. Denn nicht der Kunde müsse nachweisen, dass er Opfer von Phishing geworden ist und die Zahlung autorisiert hat. Nur das Kreditinstitut müsse beweisen, dass der Kunde den Vorgang veranlasst habe. Die elektronische Aufzeichnung von Zahlungsvorgängen reicht nicht aus. Im Übrigen spricht auch kein Anscheinsbeweis für eine autorisierte Zahlung, wenn die Legitimation unter Verwendung der dem Kläger zur Verfügung gestellten Benutzernamen, PIN und TAN erfolgt. Denn die Verwendung der korrekten Zugangsdaten allein sei noch kein Beweis. Der Kunde war auf ein heimtückisches Vorgehen hereingefallen.

Hinweis: Stand 02/2016, Urteil noch nicht rechtskräftig