KommentarDas größte Risiko sind wir selbst

Hacker wissen, wie wir ticken. Sie wissen, dass wir ständig beschäftigt sind. Wir werden von Emails, Textnachrichten und Geschichten über Eichhörnchen in Lederhosen überhäuft. Und das lenkt uns so sehr ab, dass wir manchmal gar nicht mehr darauf achten, was wir da gerade anklicken. Es ist zu einem Geschäftsmodell geworden, uns mit Tricks dazu zu bringen, dass wir wertvolle Informationen herausrücken. Und das passiert rascher als man „Nein, nein, nein, was habe ich nur gemacht?!“ sagen kann.

Internet-Betrügereien werden Phishing genannt. Wenn Sie denken, dass Sie schon alles darüber wissen, haben Sie sich geirrt. Die grammatisch fragwürdigen Emails von exotischen „Apotheken“ und nigerianischen „Prinzen“ sind Schnee von gestern. Heute gibt es derart heimtückische Techniken, dass sie jeden von uns wie einen Trottel aussehen lassen können.

Nehmen wir John Podesta, den Wahlkampfmanager von Hillary Clinton. Im Frühjahr 2016 bekam er eine Email, die angeblich von Google kam und in der er aufgefordert wurde, seinen Account neu aufzusetzen. Als er das getan hatte, bekamen Hacker Zugang zu seinem Mail-Archiv. Der Rest ist Geschichte.

Es traf im letzten Jahr auch andere, wie das Unternehmen Snap, wo die Identitätsprofile von Mitarbeitern gestohlen wurden und Dutzende von Firmen, bei denen Steuerformulare abhanden kamen. Nach Angaben von Oren Falkowitz, Chef der Cybersicherheitsfirma Area 1 Security, beginnen 97 Prozent aller Cyber-Angriffe mit Phishing: „Darin liegt das größte Risiko.“

Wer nach wie vor denkt, er selbst sei gegen derlei Gefahren gewappnet, sollte sich einen jüngsten Fall beim Email-Anbieter Gmail vor Augen führen. Man bekommt eine Email von einem Bekannten mit einer normal aussehenden Datei im Anhang. Wenn die Datei angeklickt wird, öffnet sich ein Browser-Fenster, in dem eine Google-Anmeldung angezeigt wird. Es steht sogar „accounts.google.com“ in der Addresszeile. Wer jetzt seine Logindaten eingibt, kann sich als gehackt betrachten.

„Phishing ist ziemlich einfach und profitabel.“

Und wie funktioniert das? Nun, der Anhang der Mail war lediglich eine Bilddatei, die direkt zu einer Login-Maske auf einer Phishing-Seite führt. Nur ein winziges Detail weist darauf hin, nämlich eine Codezeile mit dem Text „data:text/html“ im Addressbalken.

Niemals war die Gefahr größer, einem Online-Betrug aufzusitzen. Das heißt nicht, dass es keine Gegenmittel gibt. Doch die alten Mittel, mit denen mögliche Angriffe entdeckt und verhindert werden konnten, reichen nicht mehr aus.

„Für die meisten Angreifer ist das einfach ein Weg Geld zu verdienen“, sagt Mike Hanley von der Sicherheitsfirma Duo. Oft werden Opfer dazu verleitet, einen Link oder einen Anhang anzuklicken, der eine Erpressung in Gang setzt. Die Daten der Nutzer werden dann von außen geblockt, bis sie sich freikaufen. In anderen Fällen, vor allem bei Firmen-Accounts, geht es darum, Logins und Passwörter abzugreifen, um sich später unbemerkt im Netzwerk umsehen zu können. Es gibt einen florierenden Markt für diese Art von Daten, wie Alex Holden von Hold Security bestätigt. Die Preis für Logins großer Unternehmen fangen danach bei 50 Dollar an.

Mitunter werden für eine Handvoll erfolgreicher Betrügereien Tausende von Emails versandt. Die Anti-Phishing Working Group, eine Interessengemeinschaft der Industrie, geht davon aus, dass im Jahr 2016 diesbezüglich ein neuer Rekord aufgestellt wurde. Mit bis zu 5000 neuen Phishing-Seiten – pro Tag. Dagegen vorzugehen ist eine Sisyphusarbeit. Wird eine Site dichtgemacht, macht irgendwo schon die nächste auf.

Eine besondere Form ist das Spear-Phishing, bei dem eine ganz bestimmte Person angegriffen wird. Das wird umso einfacher je mehr private Informationen in den sozialen Netzwerken verfügbar sind. Es kommt vor, dass Hacker sich als Chef ausgeben, der seine Personalabteilung um Akten einzelner Mitarbeiter bittet. Ein Fall von Identitätsdiebstahl zum Schaden der Angestellten.

„Die Techniken ändern sich andauernd“

Der übliche Weg beim Internetbetrug ist die Emails, in der mit Links oder Anhängen gelockt wird. Doch zunehmend werden auch andere Mittel genutzt: Textmitteilungen, WhatsApp-Nachrichten, Facebook-Posts oder Suchmaschinen. Es kann vorkommen, dass sich bösartige Software in Anzeigen verbirgt, auf die interessierte Nutzer arglos klicken.

Einst konnte man betrügerische Nachrichten mit ein bisschen Übung erkennen – anhand von Rechtschreibfehlern, seltsamer Gestaltung oder verdächtigen Email-Adressen. Doch es wird immer leichter, Email-Adressen zu fälschen oder Webdesigns perfekt zu imitieren. Selbst die Webadresse in der Broser-Zeile oder das Fehlen eines Schloss-Symbols als Sicherheitsmerkmal taugen nicht mehr immer zur Erkennung. Es gibt Phishing-Angriffe, für die gesicherte Websites verwendet werden. Oder die Hacker stiften mit besonders langen Adressen Verwirrung.

Je stärker beschäftigt die Leute sind, desto eher werden sie zum Opfer. Die Sicherheitsfirma Duo schickt regelmäßig Phishing-Mails an Firmenangestellte, um sie für das Problem zu sensibilisieren. In einer Testphase mit über 1000 Unternehmen klickten 26 Prozent der Empfänger auf ihnen zugesandte Links. 14 Prozent gaben sogar ihre persönlichen Login-Daten ein.

Beim Internetbetrug geht es vor allem um Psychologie – darum, die soziale Seite des Menschen auszunutzen. „Die Techniken ändern sich andauernd“, sagt Daniel Ingevaldson, Chef der Softwarefirma Easy Solutions. „Aber sie alle zielen darauf ab, das Vertrauen der Menschen zu missbrauchen.“ Sie appellieren an unseren Wunsch nach Verantwortung oder nutzen unsere Beziehung zu anderen Menschen aus.

Was also kann man dagegen tun? Es ist immer gut, auf der Hut zu sein. Wenn sich eine Mail seltsam anfühlt, greifen Sie lieber zum Hörer, bevor Sie einen Anhang öffnen oder auf einen Link klicken. Am besten klicken Sie gar nicht auf den Link: Wenn Sie zum Beispiel aufgefordert werden, sich bei Google oder Facebook anzumelden, tippen Sie die Adresse einfach selbst in Ihren Browser oder öffnen Sie die entsprechende App.

Doch sich gegen Phishing zu wehren ist ein bisschen wie der Kampf gegen Verkehrsunfälle. Wir können unsere Aufmerksamkeit schulen, aber es gibt Grenzen. „Es ist relativ sinnlos, von den Menschen perfektes Verhalten zu verlangen“, sagt Area 1-Mann Falkowitz. „Es gibt technische Lösungen für dieses Problem.“

Software immer aktuell halten

Bekannte Phishing-Websites werden schon jetzt in Browsern wie Edge, Chrome, Safari oder Firefox automatisch geblockt, auch wenn es manchmal etwas dauert, bis sie entdeckt werden. Zudem gibt es einen neuen Mail-Standard namens DMARC, der das Fälschen von Adressen erschwert. Der ist allerdings noch nicht weit verbreitet. Entwickler arbeiten an Programmen, die gefährliche Emails und Websites schon abweisen, bevor sie uns erreichen. Und große Internetfirmen wie Google, Microsoft und Facebook reagieren automatisch auf verdächtige Login-Vorgänge, indem sie eine zusätzliche Authentifizierung des Nutzers verlangen.

Natürlich kann man sich auch selbst helfen, vor allem indem man die Software immer aktuell hält. So ist der weiter oben erwähnte Gmail-Trick in der neuesten Version des Chrome-Browsers nicht mehr möglich. Wir können uns auch schützen, indem wir überall unterschiedliche Passwörter verwenden, wofür man einen Passwort-Manager wie Dashlane oder LastPass benötigt – es sei denn man ist Rain Man. Besonders wichtig ist es, den Email-Account zu schützen, da er genutzt werden kann, um andere Passwörter zurückzusetzen.

Der wichtigste Schritt aber ist: Ziehen Sie eine Extra-Sicherheitsschicht ein, die sogenannte Zwei-Faktoren- Authentifizierung. Auch die hilft nicht immer, aber sie macht ein gestohlenes Passwort weniger wertvoll. Diese Systeme werden schon von vielen Unternehmen genutzt und haben in der Regel eines gemeinsam: Sie nutzen neben dem generellen Login einen Extra-Code, der per SMS zugesandt oder von einer App oder einem Sicherheits-Dongle generiert wird.

Google, Facebook, Apple, Microsoft, LinkedIn, Twitter und viele andere bieten dieses Zwei-Faktoren-System bereits an. Bisher wird es nur von wenigen Leuten genutzt, aber gerade auf dem Smartphone sollte es eigentlich automatisch eingeschaltet sein. Natürlich bedeutet das, dass es manchmal länger dauert sich einzuloggen. Doch wer das nicht nutzt, kann ganz andere Probleme bekommen.

Copyright The Wall Street Journal 2017


Geoffrey A. Fowler ist Kolumnist beim Wall Street Journal.