IT-Sicherheit: Zehn Tipps gegen Phisher

IT-Sicherheit Zehn Tipps gegen Phisher

27. Mai 2014

Um nicht Opfer von Cyberangriffen zu werden, löschen viele Onliner pauschal selbst berechtigte Warn-E-Mails. Dabei lassen sich Phishing-Attacken auch klüger abwehren. Zehn Tipps, wie sie den Betrügern entgehen.

Facebook Twitter Xing LinkedIn Whatsapp Mail

Zehn entscheidende Tipps, wie sie getarnte Attacken im elektronischen Posteingang identifizieren können.

Bild: dpa

Sie sind gemein, mittlerweile erstaunlich gut gemacht und längst die Pest in unserer elektronischen Post: Phishing-E-Mails, in denen uns Online-Betrüger dazu verleiten wollen, unsere Kundendaten, Passwörter oder PIN-Codes zu verraten. Auf oft verblüffend gut nachgeahmten Webseiten sollen wir – so die oft verwendete Formulierung – „aus Sicherheitsgründen die Kontodaten bestätigen“, da es angeblich „zu Fremdzugriffen durch Dritte“ gekommen sei.

Alternativ verschicken die Angreifer Nachrichten, die angeblich aktuelle Rechnungen enthalten, bei denen die Dateianhänge aber mit Schadsoftware verseucht ist, die beispielsweise die Eingabe der Kontodaten protokolliert und die Informationen dann heimlich an die Hacker weiterleitet. Gerade erst schwappte wieder eine Welle mit gefälschten Telekom- und Vodafone-Rechnungen durchs Netz und in die elektronischen Postfächer.

Techniken zur digitalen Selbstverteidigung

1 / 7

E-Mails verschlüsseln

Die Technik für eine solche Verschlüsselung gibt es seit Jahren. Sie hat nur zwei Nachteile: Erstens macht es Mühe, sie zu benutzen, und zweitens muss der Empfänger dieselbe Technik einsetzen.

Fakt ist, dass E-Mails grundsätzlich kein besonders sicheres Kommunikationsmedium sind, aber durch ihre weite Verbreitung unverzichtbar bleiben. Auch wenn es aufwendig klingt: Sie sollten darüber nachdenken, zumindest im Mailverkehr mit wichtigen Partnern beidseitige Verschlüsselung einzusetzen.

Bild: dpa

2 / 7

Verabschieden Sie sich aus sozialen Netzwerken

Soziale Netzwerke sind nicht sicher, können es nicht sein und wollen es wohl auch nicht. Deshalb muss sich jeder Nutzer darüber im Klaren sein, dass für die Nutzung von Facebook & Co. mit dem Verlust von Privatsphäre bezahlt wird.

Viele Unternehmen fragen sich inzwischen: Brauchen wir das wirklich? Hier macht sich zunehmend Ernüchterung über den Nutzen sozialer Netzwerke breit.

Bild: dpa

3 / 7

Springen Sie aus der Wolke

Vermutlich sitzt die NSA zwar nicht in den Rechenzentren von Google oder Microsoft, aber sie könnte Internet-Service-Provider überwachen und damit auch Daten auf ihrem Weg in die Wolke beobachten. Unabhängig davon, was die NSA tatsächlich tut, wissen wir, dass Behörden auf Cloud-Server zugreifen können.

Halten Sie Ihre Daten in einer Private Cloud oder gleich im eigenen Rechner. Zu aufwendig? Nicht zeitgemäß? Auf jeden Fall besser, als beklaut zu werden.

Bild: dpa

4 / 7

Schalten Sie alles Unnötige ab

Wer Smartphones und Tablets benutzt, weiß, dass solche Geräte ständig im Hintergrund irgendwelche Kontakte und Kalender synchronisieren, Browser-Historien anlegen und viele mehr. Richtig gefährlich kann dieses ständige Sich-einwählen in Verbindung mit GPS-Daten sein. Google weiß nämlich, in welcher Bar Sie letzte Woche waren.

Wichtig ist erstens, die GPS-Funktion immer wieder zu deaktivieren, zweitens in Google Maps sämtliche Funktionen, die Standorte melden und Standorte mit anderen teilen, zu deaktivieren.

Bild: dpa

5 / 7

Eine Methode, um Bewegungsprofile zu vermeiden, ist die Benutzung eines guten alten Navis statt eines Smartphones zur Orientierung. Navis lassen sich – anders als Telefone – auch vollkommen anonymisiert einsetzen.

Bild: REUTERS

6 / 7

Web-Browsing verstecken

Der Einsatz eines Secure-socket layers (SSL) zur Datenverschlüsselung im Internet ist nicht völlig sicher, aber auf jeden Fall deutlich sicherer, als nichts zu tun. Eine Möglichkeit, SSL zu nutzen, ist die HTTPS Everywhere-Browsererweiterung der Electronic Frontier Foundation. Gibt es aber leider nur für Firefox und Chrome.

Noch mehr Sicherheit bietet das Tor Browser Bundle, aber es kann das Surf-Erlebnis unter Umständen deutlich verlangsamen.

Bild: dpa

7 / 7

Keine Messages über externe Server

Instant Messaging über Google Hangouts, Skype und ähnliches landet zwangsläufig in den Händen Dritter, weil solche Nachrichten grundsätzlich nicht direkt, sondern über einen Server ausgeliefert werden.

Bild: REUTERS

Fast immer ist die Aufforderung garniert mit der Drohung, das Konto, der Account, der Onlinezugang oder der Telefonanschluss werde kurzfristig gesperrt, wenn man nicht sofort reagiere/die Nutzerdaten prüfe/die Rechnung begleiche. Die Lösung des Problems dagegen sei nur einen Klick entfernt, man müsse bloß dem in der Nachricht eingebetteten Link folgen...

Bekannte Masche

Die Masche ist – eigentlich – stets die gleiche und hinlänglich bekannt. Dennoch gelingt die Überrumpelung immer noch erstaunlich oft.

Selbst wenn sich die Zahl der gemeldeten Fälle in der letztverfügbaren Kriminalstatistik 2012 auf knapp 3.500 knapp halbiert hatte, gehen Sicherheitsspezialisten davon aus, dass die Dunkelziffer um ein Vielfaches höher liegt. Dafür spricht auch, dass die Zahl der Cybercrime-Delikte insgesamt weiter stark ansteigt.

Cyber-Kriminalität Attacken auf Online-Banking steigen um 19 Prozent

Die Zahl der sogenannten Phishing-Fälle ist im vergangenen Jahr gestiegen, wie das BKA mitteilte. Online-Kriminelle haben sich offenbar mittlerweile auf gängige Sicherheitsverfahren im Online-Banking eingestellt.

Zugleich aber wächst bei den deutschen Surfern das Bewusstsein für das Phishing-Risiko. Viele Onliner löschen daher inzwischen rigoros E-Mails mit verdächtigen Betreff-Zeilen wie etwa „WICHTIG: PASSWORT PRÜFEN“, „ID wurde aus Sicherheitsgründen deaktiviert“ oder „ACHTUNG KONTOSPERRE“.

Die Kehrseite der Totalverweigerung: Mit allen potenziell riskanten Nachrichten verschwinden auch jene in den Orkus, in denen Telefonkonzern, Bank oder Online-Händler tatsächlich vor neuen Sicherheitsrisiken, Spam- oder Phishing-Attacken warnen wollen.

So etwa heute früh der Onlineriese Ebay, der seine Kunden nach dem millionenfachen Diebstahl von Kundendaten nun zur Änderung der Nutzerpasswörter auffordert. Meine erste Reaktion beim Blick auf den Betreff „Wichtig: …“ war denn auch die Annahme, es sei der nächste Phishing-Versuch.

„Wir stecken da in einem Zielkonflikt“, heißt es denn auch unisono bei Online-Händlern, Bankern, Web-Shops oder Cloud-Dienstleistern: „Wir warnen unsere Kunden per E-Mail vor Phishing-Attacken, die sie ebenfalls per E-Mail erreichen.“

Statt also pauschal alles zu löschen, was möglicherweise ein Phishing-Versuch sein könnte, sollten Onliner wissen, wie sie getarnte Attacken im elektronischen Posteingang identifizieren können und wie sie das Risiko, den Betrügern in die Falle zu gehen, durch das richtige Verhalten beim Konto-Check noch zusätzlich minimieren können. Hier die entscheidenden Tipps: