Umgang mit Phishing-Mails:Was soll mir schon passieren?

spam mails newsletter

Phishing-Mails überfordern viele Internetnutzer.

"Bitte aktualisieren Sie Ihren Onlinebanking-Zugang." Solche unseriösen Phishing-Mails überschwemmen derzeit Hunderttausende Postfächer. Die beste Reaktion: Nicht anklicken. Trotzdem lassen sich immer noch viele davon verunsichern. Warum eigentlich?

Von Mirjam Hauck

Zurzeit überschwemmen Cyberkriminelle wieder die E-Mail-Postfächer. Die vermeintlichen Absender: Telekom, Sparkasse oder Vodafone. Der Inhalt: Anschreiben inklusive Link, mit dem sich die bald fällige Rechnung als PDF oder die dringend notwendige Kontoaktualisierung aufrufen lasse. Tatsächlich verbirgt sich dahinter ein Trojaner, der den Rechner infiziert. Der übernimmt im schlimmsten Fall die Kontrolle über den PC und greift beispielsweise sensible Online-Banking-Daten ab.

Solche Phishing-Wellen schwappen regelmäßig übers Land, begleitet von Warnungen, etwa von Verbraucherschutzzentralen, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) oder den verschiedenen Antivirensoftware-Herstellern, mit dem Tenor: Nicht anklicken! Und eigentlich, sollte man meinen, dürfte ob dieser Regelmäßigkeit mittlerweile jedem Internetnutzer bekannt sein, dass Banken und Mobilfunkanbieter keine solchen Aufforderungen per Mail verschicken - und er nicht völlig unbedarft irgendwo draufklicken sollte.

Korrektur lesende Angestellte

Doch so einfach ist es nicht. Die Cyberkriminellen haben aufgerüstet und ihre Methoden verfeinert. Die neuen Phishing-Mails sind längst nicht mehr so schlecht gemacht und mit Rechtschreibfehlern gespickt wie noch vor einiger Zeit. Das liegt auch daran, dass die Übersetzungssoftware besser geworden ist. Manche cyberkriminellen Netzwerke haben mittlerweile ganze Firmen aufgebaut, inklusive Grafikern und muttersprachlichen Angestellten. "Die lesen die Mails quasi noch einmal Korrektur und entfernen die Fehler", sagt Christian Funk, Virus-Analyst bei Kaspersky.

Zum anderen verwenden die Angreifer Mechanismen, mit denen sie Verhaltensweisen ausnutzen, die tief in uns Menschen verankert sind. Das nennt sich Social Engineering und dahinter verbirgt sich eine Methode, mit der Hacker die Menschen teilweise manipulieren. Das BSI stuft Social Engineering als eine der größten Cyber-Gefahren ein.

Die Angreifer wissen um die Psyche des Menschen. Sie nutzen aus, dass wir längst nicht so rational und selbstbestimmt handeln, wie wir es gerne von uns annehmen. Sie nutzen aus, dass wir uns emotional ansprechen lassen und dass wir Autoritäten grundsätzlich vertrauen. Die Sparkasse ist dann diese Autorität. Wir glauben, dass sie weiß, was gut für uns ist, und sei es, auf einen an sich dubiosen Link zu klicken. Zudem sind wir neugierig und suchen Herausforderungen. Was für den einen das schnelle Fahren auf einer Bergstraße ist, ist für den anderen, wissen zu wollen, was sich hinter einem Link verbirgt, der den großen Gewinn verspricht.

Warum die Fehler passieren

"Aus evolutionärer Perspektive ist die menschliche Psyche noch nicht auf das Internet und seine Gefahren eingestellt", sagt Astrid Carolus, Medienpsychologin an der Universität Würzburg. "Die meisten Menschen nutzen das Internet noch nicht länger als 20 Jahre. Dieser Zeitraum ist aus evolutionärer Sicht weniger als ein Wimpernschlag."

Dann sind wir sauer auf unseren Computer, wenn er nicht richtig funktioniert. Obwohl wir eigentlich wissen, dass es ein Ding und kein menschliches Wesen ist. Oder es passieren Fehler, wenn wir mit der riesigen Datenflut konfrontiert sind und Entscheidungen unter Zeitdruck treffen sollen.

Tatsächlich kommt das moderne Mediennutzungsverhalten den Cyberkriminellen zugute. Wer zwischendurch an der Supermarktkasse mit dem Smartphone die E-Mails checkt, fällt leichter auf eine Phishing-Mail herein. Weil er sich gar nicht die Zeit nimmt, die Gefahr zu erfassen und zu recherchieren, ob der Absender vertrauenswürdig ist. Zumal die Phising-Mails längst auch eine persönliche Anrede enthalten, der Nutzer eben nicht mehr mit einem allgemeinen "Sehr geehrter Kunde" angeschrieben wird. Womöglich findet sich sogar die komplette Adresse des vermeintlichen Kunden darin.

Kein Bewusstsein für Daten

Die Nutzer selbst machen es den Kriminellen aber auch einfach, sich ihr Vertrauen zu erschleichen. Zwar sagen laut einer aktuellen Studie von TNS-Infratest fast alle befragten Internetnutzer (93 Prozent), dass sie im Netz so wenig persönliche Daten wie möglich eingeben. Aber ist das wirklich so? Machen nur sieben Prozent zumindest manchmal bei Gewinnspielen mit, die Angaben von Straßennamen und Hausnummer bis Geburtsdatum fordern? Sind nur sieben Prozent bei sozialen Netzwerken wie Facebook mit mehr oder weniger öffentlichem Profil aktiv?

"Wir haben noch kein richtiges Verständnis dafür, was Daten überhaupt sind und was ihr Wert sein könnte", sagt Astrid Carolus. Sie kosten nichts und so geben sie viele einfach schnell irgendwo ein, um dafür eine kurzfristige Belohnung zu bekommen. Wie beispielsweise die Aussicht, ein neues iPhone zu gewinnen. Was soll mir schon passieren? Nach dieser Devise handeln immer noch viele.

Zur SZ-Startseite

Lesen Sie mehr zum Thema

Jetzt entdecken

Gutscheine: