Meine Favoriten

Ein Hacker stiehlt ein Passwort beim Phishing
Freepik.com

Digitale Sicherheit: So erkenne ich Phishing-Angriffe und schütze mich davor

Carsten Funke von der Sparkasse Bremen erläutert aktuelle Betrugsmaschen und gibt praktische Tipps

Pling! Eine neue E-Mail blinkt im Postfach. „Ihre Lieferung hängt beim Zoll fest und muss freigegeben werden. Bitte zahlen Sie die Zollgebühren umgehend per Kreditkarte.“ Wer sich nun unter Stress setzen lässt und seine Daten eingibt, ist auf dem besten Wege, auf eine Betrugsmasche namens Phishing hereinzufallen. Carsten Funke aus dem Kernteam Compliance der Sparkasse Bremen erklärt, wie Phishing funktioniert, welche aktuellen Betrugsmaschen im Umlauf sind und wie eine gesunde Portion Vorsicht dabei helfen kann, sicher im Internet zu agieren.


Inhaltsverzeichnis


Können Sie kurz erklären, was unter Phishing und Datendiebstahl zu verstehen ist?

Carsten Funke: Die Bezeichnung Phishing wird für alle Aktivitäten benutzt, die dazu dienen, an Informationen über Personen und Zugangsdaten zu IT-Systemen zu kommen. Das Wort ist angelehnt an das Fischen, nur dass es hier nicht um Wasserbewohner, sondern um alle Arten von Daten geht, die für Unbefugte nützlich sein können. Im Hackerjargon wird das „F“ dabei gerne durch ein „Ph“ ersetzt.

Damit kommen wir auch schon zum Datendiebstahl: Selbst wenn die Daten eigentlich noch da sind – es hat sie jetzt zusätzlich jemand anderes. Und dessen Ziel ist es üblicherweise, damit Schaden anzurichten und Geld zu erbeuten. Das eine führt also zum anderen: Phishing ist die Vorbereitung für den Datendiebstahl.


„Menschen werden auf betrügerische Webseiten in nachgemachtem, vertrautem Design gelockt.“


Carsten Funke
Informatiker Carsten Funke ist seit 20 Jahren in verschiedenen Funktionen in der Sparkasse für IT-Sicherheit verantwortlich. Er gibt Tipps, wie man sich vor Phishing schützen kann.

Welche Arten von Phishing-Angriffen sind derzeit am häufigsten?

Der häufigste Angriff kommt per E-Mail ins Haus. Mehr oder weniger gut gestaltete Massen-E-Mails enthalten Links zu Webseiten, auf die man klicken soll, oder Dateianhänge, die geöffnet und ausgeführt werden sollen. Diese nisten sich dann entweder auf dem heimischen Rechner ein, oder verweisen wiederum weiter ins Internet. Gerne werden aber auch SMS, WhatsApp und andere Messenger-Nachrichtendienste verwendet, um Menschen auf betrügerische Webseiten in nachgemachtem, vertrautem Design zu locken.

Allen Maschen gemein ist, dass üblicherweise unter einem Vorwand die Aufforderung kommt, persönliche Daten wie Zugangsdaten zu Computersystemen, zum Online-Banking, Telefonnummern, Personalausweis- und Kreditkartendaten anzugeben. Dabei wird gerne Druck aufgebaut – indem zum Beispiel behauptet wird, eine wichtige Sendung sei im Zoll hängengeblieben und müsse schnellstens per Kreditkarte gegen eine Gebühr freigemacht werden. Wenn wir unter Stress geraten, denken wir weniger nach, ob das alles plausibel ist – ein Vorteil für die Angreifenden.

Mithilfe der Telefonnummern folgt dann manchmal auch ein persönliches Nachhaken. Spezialisierte Callcenter im Ausland rufen unter gefälschten Nummern an. Und die potenziellen Opfer werden mit allerlei Psychotricks dazu gebracht, auf das bösartige Spiel einzugehen.


„Man sollte jeder E-Mail gedanklich misstrauen.“


Woran erkennt man diese Betrugsversuche?

Ältere Person sitzt am Laoptop und klickt auf einer Maus
Vor dem Klicken prüfen: Ist der Link plausibel? Freepik.com

Die Erkennung wird zunehmend schwieriger: Waren die Nachrichten früher noch gespickt mit Rechtschreibfehlern und fragwürdiger Grammatik, nimmt die Qualität immer mehr zu. Nicht zuletzt Textgeneratoren auf Basis künstlicher Intelligenz machen es immer einfacher, plausible Texte in allen Sprachen zu verfassen. Es werden auch echte Nachrichten verwendet, die bei früheren Phishing-Raubzügen erbeutet wurden. Dann erhalten Sie eine Nachricht zurück, die Sie selbst irgendwann verschickt haben – mit einer Entschuldigung, dass man sich jetzt erst melde, und einem Link, unter dem angeblich angeforderte Dokumente bereitgestellt werden. Dazu kommt die Schwierigkeit, dass plausible E-Mail-Adressen immer noch recht einfach zu fälschen sind.

Was also tun – worauf muss ich achten, um mich zu schützen?

Gedanklich sollte man wirklich jeder E-Mail misstrauen und eine Reihe von Punkten gedanklich abhaken:

  • Ist die Absendeadresse plausibel? Hat sie zum Beispiel subtile Schreibfehler?
  • Ist das Anliegen plausibel und mir gegebenenfalls bekannt?
  • Versucht man, mich unter Druck zu setzen oder über Gebühr zum Handeln zu drängen?
  • Erwarte ich diese E-Mail?
  • Wenn ein Link in der Mail ist: Lieber den Browser von Hand starten und über einen Favoriten die Website aufrufen oder per Hand die bekannte Adresse eintragen oder via Suchmaschine finden. Dabei darf man ruhig abwägen: Wenn ich mir gerade einen Link für eine Passwortrücksetzung habe zuschicken lassen, kann ich natürlich weitgehend vertrauensvoll auf den (üblicherweise langen und komplexen) Link klicken. Wenn die Mail unerwartet kommt – lieber einen anderen Weg nutzen.
  • Gegebenenfalls beim Absendenden rückfragen, ob die Mail wirklich von dort stammt.
  • Bei telefonischen Kontakten gelten ähnliche Regeln. Ob Phishing oder Enkeltrick – ein gesundes Misstrauen schadet nie.

„Alle aktuellen Betrugsmaschen konzentrieren sich auf die Seite der Kundinnen und Kunden.“


Welche Maßnahmen der Sparkasse Bremen schützen die Kundinnen und Kunden?

Online-Banking
Beim Online-Banking gibt es verschiedene Maßnahmen, um die eigenen Konten zu schützen. Sparkasse Bremen

Zum einen sichern wir unsere IT-Systeme nach aktuellen Standards und dem Stand der Technik, sodass Datendiebstahl bestmöglich ausgeschlossen wird. Die Sparkasse Bremen hat eine lange Erfolgsgeschichte sicheren IT- und Online-Banking-Betriebs ohne erfolgreiche Angriffe auf die eigene Infrastruktur.

Deshalb konzentrieren sich alle aktuellen Betrugsmaschen auf die Seite der Kundinnen und Kunden. Diesen stellen wir aktuelle Online-Banking-Sicherheitsverfahren mit geringstmöglichen Angriffsflächen zur Verfügung. Leider kommt Sicherheit nicht ohne Kosten: Je sicherer das Verfahren, desto aufwändiger die Freigabe – desto geringer aber auch die Wahrscheinlichkeit, dass ein Angriff erfolgreich ist.

Die wichtigste Aufgabe der Kundinnen und Kunden ist es dabei, die angebotenen Maßnahmen auch zu nutzen. Bevor Sie eine Überweisung freigeben, fragen Sie sich also noch einmal:

  • Stehen die korrekten Überweisungsdaten auf der Anzeige zur Freigabe?
  • Hat mich jemand dazu gedrängt, irgendetwas freizugeben, das ich gar nicht verstehe? Was mache ich hier eigentlich?
Sicherheit im Internet

Aktuelle Informationen zum sicheren Online-Banking finden sich auf der Website der Sparkasse Bremen.

Zu den aktuellen Sicherheitshinweisen

Wen kann ich bei der Sparkasse Bremen kontaktieren, wenn mir eine Nachricht merkwürdig vorkommt?

Digitale Sicherheit – Passwort
So bitte nicht! Auch Passwörter sollten klug gewählt werden und möglichst keine leicht zu erratenden Zahlen oder Namen enthalten. Freepik.com

Ihr persönlicher Berater beziehungsweise ihre persönliche Beraterin bei der Sparkasse sollte immer Ihr erster Kontakt sein. Sie können sich aber auch an unsere Servicenummer 0421 179 – 0 wenden.

Vermutliche Phishing-E-Mails können Sie gerne an die Adresse warnung@sparkasse.de weiterleiten. Das zentrale Computernotfallteam der Sparkassenorganisation überwacht dort aktuelle Phishing- und Schadsoftwarewellen. Die Ergebnisse fließen in die Informationen auf unserer Homepage ein.

Eine Bitte: Es ist nicht nötig, jede E-Mail weiterzuleiten, von der Sie glauben, dass es eine Phishing-E-Mail sein könnte. Da wir die meisten sowieso bereits kennen, können Sie sie einfach löschen.

Falls doch einmal etwas passiert sein sollte: Was muss ich tun, wenn ich vermute, Opfer eines Phishing-Angriffs geworden zu sein?

Melden Sie sich am besten als Erstes direkt bei der deutschlandweiten zentralen Sperr-Hotline 116 116, um den Online-Zugang zu Ihren Konten vorerst zu sperren. (Dort können Sie nach einem Verlust auch Ihre Bank- und Kreditkarten sperren lassen.) Danach kontaktieren Sie uns auf den genannten Wegen.


„Wir erkennen vermeintlichen Betrug bestenfalls schon, bevor wirklich ein Schaden entstanden ist.“


Wie verhindert die Sparkasse Bremen Betrug dieser Art?

Eine junge Frau sitzt vor dem Laptop
Wer einige Maßnahmen beachtet und eine gesunde Portion Vorsicht walten lässt, kann sicher digital unterwegs sein. Freepik.com

Ich vertrete eher die präventive Seite, aber mein Kollege Bastian Böttjer aus dem Kernteam Online-Services & Prozesse kann berichten, dass viele Fälle schon dadurch verhindert werden, dass unsere Kundschaft die beschriebenen präventiven Maßnahmen umsetzt. Sie reagiert also gar nicht erst auf Phishing-Angriffe und gibt keine Daten weiter. Damit die Kundinnen und Kunden stets wachsam und aufmerksam bleiben, informieren wir sie laufend und weisen im persönlichen Gespräch, innerhalb des Online-Bankings sowie in unseren E-Mail-Newslettern auf das Thema Sicherheit im Internet hin.

Auch in Fällen, bei denen unsere Kundschaft bereits Daten an Kriminelle weitergegeben hat, konnten wir Schaden abwenden. Unsere Sicherheitsmaßnahmen sorgen schließlich dafür, dass wir bestenfalls vermeintlichen Betrug schon erkennen, bevor wirklich ein Schaden entstanden ist. Hier reagieren wir dann proaktiv und präventiv, sperren beispielsweise Online-Banking-Zugänge, bis wir den Sachverhalt mit den betroffenen Personen klären konnten. So verhindern wir laufend Betrugsfälle.


Digitalführerschein vermittelt Wissen – auch zur Sicherheit im Online-Banking


Das Bundesministerium des Innern und für Heimat bietet den Digitalführerschein an, ein kostenloses Bildungsangebot für mehr Digitalkompetenz. Eine Kooperation mit der Sparkassen-Finanzgruppe erweitert ihn um den Aspekt „Sicherheit im Online-Banking“. Wem empfehlen Sie, einen Digitalführerschein zu machen?

Eigentlich jeder und jedem. Unserer Kundschaft bieten wir daher den Digitalführerschein auf unserer Webseite an. In Digitalien ändert sich alles so rasant, dass man jederzeit und immer noch etwas dazulernen kann: Die Angebote ändern sich laufend, und das nutzen dann wiederum auch Betrügerinnen und Betrüger aus. Im schlechtesten Fall kann man sich nach dem Abschluss des Digitalführerscheins gratulieren, dass man alles schon wusste. Im besten Fall hat man etwas dazugelernt, das einen vielleicht vor einem Problem bewahrt.

Angebot für mehr Digitalkompetenz

Der Digitalführerschein (DiFü) ist ein kostenfreies Bildungs- und Zertifizierungsangebot für Digitalkompetenz, gefördert vom Bundesministerium des Innern und für Heimat (BMI). Er bietet einen niedrigschwelligen Zugang zu digitaler Bildung. In Zusammenarbeit mit der Sparkassen-Finanzgruppe wurde der DiFü um das Modul „Sicherheit im Online-Banking“ erweitert. Nutzerinnen und Nutzer können ihr digitales Grundwissen testen, in ihrem eigenen Tempo vertiefen und anschließend digitale Dienste sicher im privaten und beruflichen Umfeld nutzen. Nach Bestehen einer Prüfung erhalten sie das offizielle Zertifikat, den Digitalführerschein.

Zum Digitalführerschein

Das könnte Sie auch interessieren

Autorenbild Alena Mumme

Von Alena Mumme

Ich bin Tagenbaren – meine Eltern und Großeltern sind also wie ich in Bremen geboren und aufgewachsen. Nur spannende Reisen locken mich aus meiner gemütlichen Heimatstadt.

Mehr Artikel von Alena

Nutz doch die SPOT App!