AGIDAT

Beratung zu Datenschutz und Informationssicherheit

von

Vorsicht vor Phishing E-Mails

Was ist Phishing?

Unter dem Begriff Phishing (Neologismus von fishing, engl. für ‘Angeln’) versteht man Versuche, über gefälschte Webseiten, E-Mails oder Kurznachrichten an persönliche Daten eines Internet-Benutzers zu gelangen und damit Identitätsdiebstahl zu begehen. Ziel des Betrugs ist es, mit den erhaltenen Daten beispielsweise Kontoplünderung zu begehen und den entsprechenden Personen zu schaden. Es handelt sich dabei um eine Form des Social Engineering, bei dem die Gutgläubigkeit des Opfers ausgenutzt wird. Der Begriff ist ein englisches Kunstwort, das sich aus password harvesting (Passworte sammeln) und fishing (Angeln, Fischen) zusammensetzt und bildlich das Angeln nach Passwörtern mit Ködern verdeutlicht. Die Schreibweise mit Ph- entstammt ferner dem Hacker-Jargon (vgl. Phreaking).

Quelle: Wikipedia

Wie kann ich mich und das Unternehmen schützen?

Sehen Sie sich dieses Video zum Thema Phishing an:

Schutzmaßnahmen des BSI

Bringen Sie Ihre Software immer auf den aktuellen Stand!

Sicherheitslücken in Programmen, insbesondere in Browsern, können von Datenfischern ausgenutzt werden. Die meisten Hersteller steuern dagegen, in dem sie ihre Software laufend aktualisieren und bekannt gewordene Lücken schließen. Sie sollten diese Aktualisierungen (“Patches”) unbedingt so rasch wie möglich von den Webseiten der Hersteller herunter laden und installieren. Über neue Patches informieren viele Hersteller über automatische Update- und Warndienste, wichtige Neuerungen erfahren Sie auch im Newsletter “Sicher • Informiert” , den das BÜRGER-CERT des BSI alle zwei Wochen veröffentlicht.

Überprüfen Sie den Sicherheitsstatus von Webseiten, auf denen Sie persönliche Informationen eingeben!

Dabei sollten Sie besonders auf zwei Punkte achten:

  • Auf gesicherten Seiten erscheint in der Statuszeile des Browsers ein Schlosssymbol. Dieses Symbol zeigt an, dass bei der Übertragung von Informationen das Verschlüsselungsverfahren SSL zum Einsatz kommt (nähere Informationen zu SSL im Bereich “Browser”). Wenn Sie auf das Schlosssymbol klicken, öffnet sich ein Fenster (“Zertifikat”) mit Informationen über den Betreiber der Webseite. Der dort angegebene Namen der Webseite muss mit jenem in der Statuszeile übereinstimmen. Außerdem muss das Zertifikat von einer anerkannten Stelle ausgestellt worden sein. Es existiert mittlerweile eine große Zahl an privaten wie öffentlichen Anbietern von Zertifikaten. Die Bundesnetzagentur ist als Behörde zuständig und veröffentlicht auf ihrer Webseite die Namen jener Anbieter, die von ihr geprüft wurden. Ihr Browser zeigt eine Warnmeldung an, wenn ein Zertifikat abgelaufen ist oder eine unsichere Herkunft hat.
  • Achten Sie darauf, dass der in der Adresszeile angegebene URL mit “https” und nicht wie sonst üblich mit “http” beginnt – das ist ein starkes Indiz dafür, dass eine durch SSL gesicherte Verbindung aufgebaut wurde. Leider können Betrüger auch das “https” in der URL fälschen. Als Sicherheitscheck hilft es hier, nach einem Klick mit der rechten Maustaste den Bereich “Seiteninformationen” aufzurufen und die Quelle dort nachzuschlagen.

Banken oder seriöse Firmen fordern ihre Kunden niemals per E-Mail oder per Telefon zur Eingabe von vertraulichen Informationen auf!

Geldinstitute, Online-Auktionshäuser wie eBay, aber auch sonstige seriöse Wirtschaftsunternehmen wissen, dass E-Mails von Betrügern leicht gefälscht werden können. Daher werden sie ihre Kunden niemals per E-Mail dazu auffordern, darin angeführte Links anzuklicken und dort vertrauliche Daten einzugeben. Wenn Sie eine derartige E-Mail erhalten, dann können Sie davon ausgehen, dass es sich um einen Phishing-Angriff handelt. Wenn Sie unsicher sind, dann setzen Sie sich telefonisch oder brieflich mit Ihrem Geschäftspartner oder Ihrer Bank in Verbindung, aber verfolgen Sie keinesfalls die in der Nachricht angegebenen Internetlinks.

Das Gleiche gilt für dubiose Telefonate: Seriöse Geschäftspartner oder Banken werden sich niemals von sich aus telefonisch bei Ihnen melden und Sie zur Eingabe von Passwörtern, PIN oder TAN über die Tastatur oder per Sprachcomputer auffordern!

Beachten Sie die generellen Sicherheitsregeln, die für das Internetsurfen und den E-Mail-Verkehr gelten!

  • Klicken Sie generell niemals auf in E-Mails enthaltene Links, sondern tippen Sie die Internetadressen gewünschter Seiten immer manuell ein!
  • Reagieren Sie nicht auf vermeintliche Anrufe Ihrer Bank, in denen Sie zur Eingabe von PIN oder TAN aufgefordert werden – etwa mit der Behauptung, Ihre Kreditkarte sei verloren gegangen.
  • Schalten Sie die Funktion “Aktive Inhalte ausführen” generell aus. Wenn Sie darauf nicht verzichten wollen, so stellen Sie über die entsprechenden Funktion in den Sicherheitseinstellungen zumindest sicher, dass Ihr Browser in jedem Einzelfall bei Ihnen anfragt, ob Aktive Inhalte ausgeführt werden dürfen. Nähere Informationen dazu erhalten Sie im Bereich “Browser”.
  • Öffnen Sie E-Mails und darin enthaltene Anhänge nur dann, wenn Sie aus vertrauenswürdiger Quelle stammen.
  • Setzen Sie eine Firewall und Virenschutzsoftware ein und bringen Sie diese regelmäßig auf den aktuellen Stand.
  • Achten Sie darauf, dass Sie auch die Softwareaktualisierungen für Ihr Betriebssystem und andere von Ihnen eingesetzte Programme laufend installieren oder nutzen Sie automatische Update-Dienste.

Kontaktieren Sie Ihre Bank oder Ihren Geschäftspartner, wenn Sie befürchten, dass Sie einem Phishing-Angriff zum Opfer gefallen sind!

Die für Sicherheitsfragen zuständigen Mitarbeiter können den Vorfall verfolgen und prüfen, ob Schaden entstanden ist. Falls tatsächlich bereits Summen unberechtigt überwiesen worden sind, so wenden Sie sich bitte umgehend an die Polizei.

Ärger haben auch die Unternehmen, in deren Namen die Betrüger auftreten. Denn sie erleiden oft einen Image-Schaden. Phishing zu bekämpfen ist schwer, da sich die gefälschten von den echten Seiten kaum unterscheiden und somit viele Nutzer sich täuschen lassen. In einigen Ländern haben sich viele Firmen bereits zur Anti-Phishing Working Group zusammengetan. Auf ihrer Internetseite kann man Phishing-Mails melden und nachlesen, welche schon bekannt sind. In Deutschland hat sich eine neue interdisziplinäre Vereinigung aus Wissenschaftlern der Ruhr-Universität Bochum des Phishing-Problems angenommen. Die “Arbeitsgruppe Identitätsmissbrauch im Internet” (A-I3) stellt auf ihrem Online-Portal nicht nur aktuelle Informationen zu Themen der IT-Sicherheit bereit, sondern auch konkrete Hilfestellungen und Tools.

Vorsicht, Phishing! Betrügerische E-Mails erkennen

Nutzen Sie folgende Infografik als Erinnerung, wie Sie Phishing-Angriffe erkennen können.

Infografik: Vorsicht, Phishing! Betrügerische E-Mails erkennen. Mit fünf Prüf-Punkten: Gefälschte Absender-Adresse, Abfrage vertraulicher Daten, Vorgetäuschter dringender Handlungsbedarf, Links zu gefälschten Webseiten, Sprachliche Ungenauigkeiten.Infografik: Vorsicht, Phishing! Betrügerische E-Mails erkennen

Quelle: Bundesamt für Sicherheit in der Informationstechnik