Die Empörung des Anrufers kennt schier keine Grenzen. Wenn er schon eine E-Mail von seiner Hausbank bekomme, dann solle die Nachricht doch bitteschön in korrektem Deutsch abgefasst sein, schimpft er.
Zudem seien auf seiner Liste mit Geheimzahlen für Bankgeschäfte im Internet nur noch sieben Nummern übrig. In der elektronischen Nachricht werde er aufgefordert, zehn Zahlen in ein Formular einzugeben.
Die Mitarbeiterin des Instituts kann dem Mann helfen: Er braucht keine neue Liste mit Geheimzahlen; denn er war gerade dabei, auf Hacker hereinzufallen, die sein Bankkonto plündern wollten.
Diese Art kriminellen Handelns heißt unter Fachleuten ,,Phishing'', was eine Zusammensetzung der englischen Begriffe ,,Password'' und ,,Fishing'' ist und übersetzt ,,Angeln nach Zugangswörtern'' bedeutet. Solche Attacken entwickeln sich zum teuren Problem für Banken - so viele Betrugsversuche wie derzeit gab es noch nie.
Immer neue Varianten
Das Phänomen Phishing ist beinahe so alt wie das Internet selbst. Seit die Kriminellen im Netz erkannt haben, dass sie über Massensendungen von E-Mails kostengünstig ihre Opfer erreichen, gibt es immer neue Betrugsvarianten.
Derzeit ist das Problem besonders schlimm: Der Sicherheits-Dienstleister Messagelabs hat vor wenigen Wochen zum ersten Mal mehr Phishing-Mails im Umlauf gezählt als Computerviren.
Demnach handelt es sich bei jeder hundertsten E-Mail um einen Betrugsversuch, lediglich bei jeder 120. um eine mit einem schädlichen Programm im Anhang. So verdrängen die Phishing-Mails ein Problem, das lange Zeit die Nummer eins der Gefahren für alle Computerbenutzer war.
Zu Beginn waren die Phishing-Nachrichten in der Regel in gebrochenem Deutsch verfasst und somit leicht erkennbar. Inzwischen verstehen es die Bösen im Netz allerdings perfekt, den Stil von Banken, Web-Firmen wie dem Auktionshaus Ebay, Internetdienstleistern wie T-Online oder auch von Bundeskriminalamt oder GEZ zu imitieren.
Geld aus der Tasche ziehen
Sie kopieren zudem das echte Logo des Unternehmens oder der Organisation in die gefälschte Nachricht und fordern dazu auf, private Daten über eine Internetseite preiszugeben. ,,Es wird versucht, über solche Angriffe den Leuten das Geld aus der Tasche zu ziehen'', erklärt Roger Fischlin, Verantwortlicher für Informationstechnik-Dienste bei den Forschungsinstituten der Fraunhofer-Gesellschaften.
Dabei hat nicht nur die Frequenz zugenommen, mit der die Kriminellen zuschlagen, auch ihre Methoden sind deutlich perfider geworden. Sie belassen es nunmehr nicht beim bloßen Versenden von elektronischen Nachrichten.
,,Häufig werden jetzt auch digitale Schädlinge eingesetzt'', sagt Candid Wüest, Virenexperte beim Sicherheitsunternehmen Symantec. Solche Programme heißen im Fachjargon Trojaner, weil ihr Auftrag wie bei der Kriegslist der alten Griechen gut verschleiert ist.
Schadprogramme
Zum Ende des vergangenen Jahres hat sich die Zahl solcher Schadprogramme nach Angaben der Anti-Phishing Working Group um annähernd 90 Prozent erhöht.
Die Trojaner kommen auf den heimischen Computer, indem sie sich als Anhang einer E-Mail tarnen, oft als angebliche Rechnung einer Firma. Einmal installiert, spionieren sie die Eingaben des Nutzers aus und leiten diese über das Internet an ihre Programmierer weiter. Die Hintermänner haben dann Zugriff auf persönliche Daten, beispielsweise die Geheimzahlen für Online-Bankgeschäfte.
Fachleute raten daher immer wieder dazu, Schutzprogramme auf den eigenen Rechner wie eine Antiviren-Software und eine elektronische Schutzmauer zu laden und stets aktuell zu halten - genauso wie bei Neuerungen des vorhandenen Betriebssystems, in der Regel Windows von Microsoft.
Schweigen über Schäden
Über das Ausmaß der Schäden bei Bankkunden herrscht Stillschweigen. Nach Branchenkreisen handelt es sich allein in Deutschland um einen hohen einstelligen Millionenbetrag pro Jahr. Hinzu kommen die Kosten für Schutzmaßnahmen.
Die Banken wollen beim technischen Wettrüsten im Netz nicht aufgeben. Sie reagieren auf die neuen Ideen der Betrüger. ,,Wir schlagen mit den Möglichkeiten der Technik zurück'', erklärt Martin Schönau, Produktverantwortlicher bei der Fiducia IT, dem größten Informationstechnik-Dienstleister für Genossenschaftsbanken.
Dabei arbeite die Branche inzwischen enger zusammen, auch mit den Ermittlungsbehörden. ,,Das war vor zwei Jahren noch deutlich schwieriger.'' Bei einem Phishing-Alarm könne die betrügerische Web-Seite nun innerhalb von wenigen Stunden vom Netz genommen werden, selbst wenn der Angriff nicht aus Deutschland kommt.
Dennoch sei es wie beim Rennen zwischen Hase und Igel, erklärt Schönau: ,,Es bleibt ein Wettlauf zwischen den Angreifern und denen, die sich wehren."