Umgang mit Phishing-Mails Was soll mir schon passieren?

Phishing-Mails überfordern viele Internetnutzer.

(Foto: )

"Bitte aktualisieren Sie Ihren Onlinebanking-Zugang." Solche unseriösen Phishing-Mails überschwemmen derzeit Hunderttausende Postfächer. Die beste Reaktion: Nicht anklicken. Trotzdem lassen sich immer noch viele davon verunsichern. Warum eigentlich?

Von Mirjam Hauck

Zurzeit überschwemmen Cyberkriminelle wieder die E-Mail-Postfächer. Die vermeintlichen Absender: Telekom, Sparkasse oder Vodafone. Der Inhalt: Anschreiben inklusive Link, mit dem sich die bald fällige Rechnung als PDF oder die dringend notwendige Kontoaktualisierung aufrufen lasse. Tatsächlich verbirgt sich dahinter ein Trojaner, der den Rechner infiziert. Der übernimmt im schlimmsten Fall die Kontrolle über den PC und greift beispielsweise sensible Online-Banking-Daten ab.

Solche Phishing-Wellen schwappen regelmäßig übers Land, begleitet von Warnungen, etwa von Verbraucherschutzzentralen, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) oder den verschiedenen Antivirensoftware-Herstellern, mit dem Tenor: Nicht anklicken! Und eigentlich, sollte man meinen, dürfte ob dieser Regelmäßigkeit mittlerweile jedem Internetnutzer bekannt sein, dass Banken und Mobilfunkanbieter keine solchen Aufforderungen per Mail verschicken - und er nicht völlig unbedarft irgendwo draufklicken sollte.

Korrektur lesende Angestellte

Doch so einfach ist es nicht. Die Cyberkriminellen haben aufgerüstet und ihre Methoden verfeinert. Die neuen Phishing-Mails sind längst nicht mehr so schlecht gemacht und mit Rechtschreibfehlern gespickt wie noch vor einiger Zeit. Das liegt auch daran, dass die Übersetzungssoftware besser geworden ist. Manche cyberkriminellen Netzwerke haben mittlerweile ganze Firmen aufgebaut, inklusive Grafikern und muttersprachlichen Angestellten. "Die lesen die Mails quasi noch einmal Korrektur und entfernen die Fehler", sagt Christian Funk, Virus-Analyst bei Kaspersky.

Zum anderen verwenden die Angreifer Mechanismen, mit denen sie Verhaltensweisen ausnutzen, die tief in uns Menschen verankert sind. Das nennt sich Social Engineering und dahinter verbirgt sich eine Methode, mit der Hacker die Menschen teilweise manipulieren. Das BSI stuft Social Engineering als eine der größten Cyber-Gefahren ein.

Die Angreifer wissen um die Psyche des Menschen. Sie nutzen aus, dass wir längst nicht so rational und selbstbestimmt handeln, wie wir es gerne von uns annehmen. Sie nutzen aus, dass wir uns emotional ansprechen lassen und dass wir Autoritäten grundsätzlich vertrauen. Die Sparkasse ist dann diese Autorität. Wir glauben, dass sie weiß, was gut für uns ist, und sei es, auf einen an sich dubiosen Link zu klicken. Zudem sind wir neugierig und suchen Herausforderungen. Was für den einen das schnelle Fahren auf einer Bergstraße ist, ist für den anderen, wissen zu wollen, was sich hinter einem Link verbirgt, der den großen Gewinn verspricht.