Die Bezeichnung «Phishing» setzt sich aus den englischen Wörtern «password» und «fishing» zusammen, bedeutet also etwa «nach Passwörtern angeln». Doch wie verhindern Internetnutzer, dass Betrüger ihre geheimen Daten und damit ihr Geld abfischen? Nachstehend die wichtigsten Hinweise des Bundesamts für Sicherheit in der Informationstechnik:
- Wie funktioniert Phishing?
Als bekannteste Masche gelten massenhaft verschickte E-Mails, die denen von Banken oder anderen Unternehmen gleichen. Darin steht dann beispielsweise, dass aus Sicherheitsgründen Kontoinformationen aktualisiert werden müssten. Der Empfänger wird dazu verleitet, einen Link in der E-Mail anzuklicken, der zum Beispiel zu einer gefälschten Banken-Internetseite führt. Gibt der Empfänger dort seine Daten ein, fangen die Betrüger diese ab und greifen auf das Konto zu.
- Wie erkennt man Phishing-E-Mails?
In solchen E-Mails werden vertrauliche Daten abgefragt, direkt oder über einen Link. Die Anrede ist oft unpersönlich, also ohne Namen, gehalten. Der Empfänger wird zeitlich unter Druck gesetzt, oder es wird mit der Sperrung des Kontos gedroht. Der Text ist manchmal, aber nicht immer, in schlechtem Deutsch verfasst. Banken oder seriöse Unternehmen fordern dem Bundesamt zufolge niemals per E-Mail oder telefonisch zur Angabe vertraulicher Informationen auf.
- Woran sind Phishing-Internetseiten zu erkennen?
Wenn die Adresse der Internetseite der echten Adresse beispielsweise einer Bank ähnelt, aber zusätzlich Zahlen oder Begriffe wie «Servicestelle» enthält, sollte das misstrauisch machen. Außerdem werden auf Phishing-Seiten oft in einem Login-Bereich TAN-Codes abgefragt.
- Wie können sich Internetnutzer schützen?
Alle Programme, besonders der Internetbrowser, der Virenschutz und die Firewall, sollten mit Hilfe von Aktualisierungen der Hersteller auf dem neuesten Stand gehalten werden. Der Sicherheitsstatus der Internetseite sollte geprüft werden. Auf gesicherten Seiten erscheint in der Statuszeile des Browsers ein Schlosssymbol. Da dieses aber gefälscht werden kann, sollte man auf das Symbol klicken, worauf sich ein Fenster öffnet. Der dort angegebene Name der Seite muss mit dem in der Statuszeile übereinstimmen. Außerdem muss das Sicherheits-Zertifikat von einem anerkannten Anbieter ausgestellt worden sein. Die Bundesnetzagentur veröffentlicht auf ihrer Seite eine Liste der Anbieter, die sie geprüft hat.
Die Adresse sollte nicht nur mit «http», sondern mit «https» beginnen, auch dies können Betrüger aber fälschen. Hier hilft es, mit einem Rechts-Klick auf die Seite die «Seiteninformationen» aufzurufen und dort die Quelle zu prüfen.
