Daten­klau verhindern So schützen Sie sich vor Phishing

0
Daten­klau verhindern - So schützen Sie sich vor Phishing
Der Haken an der Sache: Phishing-Nach­richten dienen Angreifern dazu, Ihre Anmelde-Daten zu stehlen. © Getty Images

Mit gefälschten Mails und Websites fischen Angreifer online nach Login-Daten. Wir erklären, wie Sie sich schützen und wann Bank oder Versicherung Schäden begleichen.

Lesen Sie auf dieser Seite:

Phishing: Daten­diebstahl mit System

Beim Phishing versuchen Betrüger, ihren Opfern unter falscher Identität und falschem Vorwand Anmelde-Daten zu entlo­cken – also Pass­wörter, E-Mail-Adressen und Account-Namen. Gelingt ihnen das, können sie die Online-Konten kapern und im Namen der Betroffenen Bestel­lungen tätigen, Zahlungen auslösen oder Nach­richten versenden.

Ein typisches Beispiel: Eine E-Mail fordert Bank­kunden auf, neuen Sicher­heits­maßnahmen zuzu­stimmen. Die Absender drohen an, das Konto zu sperren oder Mahn­gebühren zu erheben, falls eine Antwort ausbleibt. Ein Link in der Mail führt auf die vermeintliche Website der Bank. Geben die Empfänger dort ihre Online­banking-Zugangs­daten ein, landen Nutzer­name und Pass­wort direkt in den Händen der Betrüger. Im schlimmsten Fall räumen sie damit das Konto leer. In anderen Szenarien nehmen die Angreifer per SMS, Messenger-Nach­richt oder über Social-Media-Platt­formen Kontakt auf. Mal geben sie sich als Kind des Empfängers aus, mal als Chef oder als Kunden­service-Mitarbeiter. Wir erklären ihre Maschen, wie Sie Phishing-Mails erkennen und sich vor Angriffen schützen. Aktuelle Warnungen vor neuen Phishing-Fallen finden Sie im Phishingradar der Verbraucherzentrale.

Tipp: Falls Ihre Daten bereits entwendet wurden, lassen Sie betroffene Konten sperren und ändern Sie Ihre Pass­wörter. Wir erklären, wann Ihre Bank oder Ihre Hausratsversicherung einspringt.

So erkennen Sie Phishing: 12 Regeln für mehr Sicherheit

Daten­klau verhindern - So schützen Sie sich vor Phishing
Fiel fast auf Phishing rein: test-Redak­teur Martin Gobbin. © Stiftung Warentest

„Ihre Apple-ID wurde aus Sicher­heits­gründen gesperrt.“ Solche Mails erhielt Stiftung-Warentest-Redak­teur Martin Gobbin. Die Nach­richten hatten keine Recht­schreib­fehler, enthielten ein Apple-Logo und wirkten auch sonst authentisch. Dennoch ließen sie sich mit etwas Know-how als versuchter Daten­klau entlarven. Wie das geht, was Phishing ist und wie Sie sich davor schützen, erklärt Ihnen unser Redak­teur anhand von zwölf Regeln.

1. Verdächtige Mails am Rechner prüfen

Wie viele andere Menschen lese ich meine E-Mails inzwischen meist per Smartphone statt am Computer. Für Angreifer ist das hilf­reich, denn am Handy ist es schwerer, die typischen Anzeichen von Phishing – selt­same Link- und Absender-Adressen – zu entdecken. In meiner Mail-App war es etwa nicht ohne Weiteres möglich, mir die tatsäch­liche E-Mail-Adresse des Absenders anzeigen zu lassen. Falls Ihnen eine E-Mail verdächtig erscheint, unter­suchen Sie die Nach­richt daher lieber am Computer statt am Handy. Manche Hinweise auf Phishing sind aber auch auf dem Smartphone sofort zu erkennen: Fake-Mails lassen sich mitunter an Schreib­fehlern, ungelenker Sprache, kyril­lischen Buch­staben oder am Erzeugen von Zeit­druck erkennen („Handeln Sie sofort! Sonst ist Ihr Konto in Gefahr.“).

2. Auf die Absender-Endung achten

Daten­klau verhindern - So schützen Sie sich vor Phishing
Dickes Ende. Der Absender-Name lautet „Apple“, aber die Endung der E-Mail-Adresse zeigt eindeutig, dass die Mail nicht von Apple stammt. © Screenshot Stiftung Warentest

In meinem Fall stammten die vermeintlichen Apple-Mails von Absendern wie ftmybaw­montvlzuhulcu-jg9wltdl3qw1wljvca2l68k0ll@savagex.com. Schon die ewig­lange, kryptische Zeichen­kombination am Anfang wirkt nicht ganz koscher. Vor allem aber ist die Endung „savagex.com“ ein klares Indiz, dass es sich um eine Fälschung handelt.

Tatsäch­liche Apple-Mails haben üblicher­weise Absender, die auf „apple.com“ enden. Auch wenn die Endung nur leicht abweicht – etwa „aplle.com“ oder „apple-company.cn“ – ist das oft ein Hinweis auf einen Betrugs­versuch.

Dass der ange­zeigte Absender-Name „Apple“ lautet, hat übrigens nichts zu sagen: Der lässt sich leicht manipulieren. Die Wahr­heit steht in der Endung der E-Mail-Adresse.

3. Tatsäch­liches Ziel von Links checken

Daten­klau verhindern - So schützen Sie sich vor Phishing
Einfach mit der Maus über den Link fahren (aber nicht drauf klicken), dann sehen Sie links unten im Browser, zu welcher Adresse der Link tatsäch­lich führt. Hier führt er eindeutig nicht zu Apple. © Screenshot Stiftung Warentest

In den E-Mails waren Links, die mich angeblich zur Apple-Website leiten sollten, damit ich dort meine Anmelde-Daten eingebe. Doch Links täuschen mitunter: Ich kann Ihnen hier zum Beispiel die Adresse test.de anzeigen, den Link aber so basteln, dass er Sie tatsäch­lich ganz woanders hinführt (probieren Sie‘s mal aus!). Wenn Sie mit der Maus über einen Link fahren – ohne ihn dabei anzu­klicken –, sehen Sie unten links in der Statuszeile des Browsers die tatsäch­liche Ziel­adresse. In meinem Fall führte der vermeintliche Apple-Link zu Adressen wie dieser: https://me2.do/FMRiIln6. Für die Recherche habe ich dann getan, was Sie nicht tun sollten: Ich habe den Link geöffnet. Er brachte mich durch auto­matische Weiterleitungen schließ­lich zu URLs wie https://1wannaplay5.xyz/EtA9dRq.

Egal ob „me2.do“ oder „wannaplay“: Nach Apple sieht das alles nicht aus – sonst würde ja irgendwo mal „apple.com“ vorkommen. Doch so einfach ist es nicht immer: Ähnlich wie bei E-Mail-Endungen arbeiten Betrüger auch bei Website-Adressen oft mit subtileren Abweichungen, etwa qoogle.com statt google.com – oder amazoon.ru statt amazon.de.

Daten­klau verhindern - So schützen Sie sich vor Phishing
Am Handy ermitteln Sie die tatsäch­liche Adresse des Links, indem Sie ihn länger gedrückt halten statt nur kurz drauf zu tippen. © Screenshot Stiftung Warentest

Übrigens: Falls Sie den Link doch mal versehentlich öffnen, ist das kein Anlass zur Panik. Das bloße Aufrufen einer Phishing-Seite hat normaler­weise keine negativen Folgen, solange Sie ein aktuelles Antiviren-Programm haben und Browser-Funk­tionen wie „Safe Browsing“ verwenden. Gefahr droht erst, wenn Sie Ihre Login-Daten auf der Seite eingeben.

4. Websites im Zweifel nicht via E-Mail aufrufen

Da Links in E-Mails nicht immer vertrauens­würdig sind, sollten Sie Websites im Zweifels­fall über andere Wege aufrufen. Tippen Sie einfach die URL direkt in die Adress­zeile – oder suchen Sie die jeweilige Seite mit einer Such­maschine heraus. Sie können wichtige Adressen auch in der Lesezeichen- oder Favoriten­liste Ihres Browsers speichern.

So stellen Sie sicher, dass Sie wirk­lich dort landen, wo Sie hinwollen. Wenn dann tatsäch­lich ein Problem besteht – in meinem Fall die temporäre Sperrung meines Apple-Accounts –, wird die Seite Ihnen das nach dem Login mitteilen. Sie können natürlich auch beim Kunden­service des jeweiligen Anbieters nach­fragen, ob die erhaltene Mail wirk­lich von der Firma stammt. Verwenden Sie dazu aber keinesfalls die in der verdächtigen Mail angegebenen Kontakt­optionen, sondern die Kontakt­daten auf der Anbieter-Website.

5. Login-Daten nie im Klar­text verschi­cken

Manche Phishing-Angriffe funk­tionieren nicht über täuschend echt wirkende Websites, auf denen Sie Ihre Login-Daten eingeben sollen. Statt­dessen fordern die Angreifer Sie auf, Ihren Nutzer­namen, Ihr Pass­wort oder eine Tan-Nummer fürs Online-Banking per E-Mail (oder SMS oder Messenger-Nach­richt) mitzuteilen. Das sollten Sie keinesfalls tun, denn seriöse Anbieter würden Sie niemals bitten, Anmelde­daten im Klar­text zu verschi­cken.

6. Auch bei Nach­richten von Bekannten vorsichtig sein

Mitunter gelingt es Angreifern, E-Mail-Konten oder Social-Media-Accounts zu über­nehmen und im Namen des eigentlichen Besitzers Nach­richten zu verschi­cken. Eine solche Message erscheint dem Empfänger dann natürlich vertrauens­würdig. Wenn ein Freund, Verwandter oder Kollege Sie per Mail oder via Social Media um Anmelde- oder Zahlungs­daten bittet, sollten Sie sich die Zeit nehmen, denjenigen anzu­rufen oder IRL (in real life) zu fragen, ob diese Nach­richt wirk­lich von ihm stammt.

7. Nie Anhänge aus verdächtigen Mails öffnen

Keine der Mails, die ich von den Phishern erhielt, hatte eine Datei im Anhang. Das ist kein Wunder, denn die Mails waren ja nicht dazu gedacht, mir ein Virus unter­zuschieben, sondern sie sollten mich auf eine gefälschte Seite locken. In manchen Fällen befinden sich aber dennoch Dateien im Anhang von Phishing-Mails. Das reine Öffnen der E-Mail richtet üblicher­weise keinen Schaden an. Angehängte Dateien aus fragwürdigen Mails sollten Sie aber nie öffnen oder herunter­laden. Dahinter kann sich Schadsoftware verbergen – etwa sogenannte Keylogger, die alle Tastatur­eingaben aufzeichnen und so Ihre Pass­wörter auslesen.

8. Browser und Antiviren-Programme aktuell halten

Daten­klau verhindern - So schützen Sie sich vor Phishing
Aktuelle Browser erkennen Phishing-Seiten oft und warnen unmiss­verständlich davor. © Screenshot Stiftung Warentest

Erfreulicher­weise sind wir im Kampf gegen Phishing-Atta­cken nicht auf uns allein gestellt. Weder Chrome noch Firefox ließen mich ohne Warnungen und Umwege auf die Seiten, die in den angeblichen Apple-Mails verlinkt waren. Beide Browser warnten mich mit knall­roten Hinweisen oder weigerten sich schlicht, die Seiten zu öffnen. Auch aktuelle Anti-Viren-Programme erkennen Phishing-Versuche häufig und blockieren sie oder warnen per Pop-up-Nach­richt davor.

9. Pass­wort­manager verwenden

So wie mein kettenrauchender Biolehrer mir einst erklärte, warum Nicht­rauchen eine gute Entscheidung ist, so schreibe ich bei Stiftung Warentest regel­mäßig über die Vorteile von Passwortmanagern, nutze tatsäch­lich aber selbst keinen. Dass ich das endlich mal ändern sollte, haben mir die Phishing-Mails wieder mal verdeutlicht: Denn Pass­wort­manager sind eine besonders sichere Methode, Phishing-Angriffen auszuweichen. Sie kontrollieren vor jeder Pass­wort­eingabe auto­matisch, ob die aufgerufene URL mit der ursprüng­lich gespeicherten Adresse über­einstimmt. Werden Sie auf eine gefälschte Seite gelockt, spuckt das Programm die Anmelde­daten nicht aus.

10. Mehrere Login-Faktoren einsetzen

Wer – wie ich – zu faul ist, einen Pass­wort­manager einzurichten, sollte zumindest seine Pass­wörter gegen Miss­brauch schützen. Am besten geht das mit der Mehrfaktor-Authentifizierung (ja, die nutze ich). Selbst wenn es einem Angreifer gelingt, Ihr Pass­wort zu stehlen, bräuchte er dann zum Einloggen noch die zusätzlichen Faktoren, mit denen Sie Ihr jeweiliges Konto schützen – er müsste also zum Beispiel Zugriff auf Ihr Handy haben oder eine ziemlich gute Kopie Ihres Finger­abdrucks besitzen.

Falls Sie auch auf Mehr­faktor-Schutz verzichten wollen, kann ich Ihnen wirk­lich nicht mehr helf... Naja gut, wenn‘s denn sein muss: Befolgen Sie bitte zumindest diese Tipps für starke Passwörter. Das Aller­wichtigste dabei: Verwenden Sie nie ein Pass­wort für mehrere Konten! Ansonsten ist möglicher­weise Ihr Paypal-Konto in Gefahr, nur weil Ihr Katzenforums-Pass­wort geknackt wurde.

11. Offene WLan-Netze nur mit VPN nutzen

Vereinzelt läuft Phishing nicht über gefälschte Websites, sondern über direktes Abfangen von Daten im offenen WLan. Der Angreifer liest dabei den Daten­verkehr mit, während er sich im selben Netz befindet wie Sie. Das wird heute immer schwieriger, da sehr viele Websites und Apps Login-Daten stets verschlüsselt über­tragen. Ein Rest­risiko bleibt aber. Wenn Sie ein WLan-Netz nutzen, das nicht Sie kontrollieren – sei es in der Bahn, im Hotel oder im Café –, sollten Sie daher stets ein virtuelles privates Netz (VPN) verwenden. Das sorgt dafür, dass Ihre Daten garan­tiert verschlüsselt werden. Bei sensiblen Aktivitäten wie Online-Banking oder der Kommunikation mit dem Netz­werk Ihres Arbeit­gebers ist das besonders wichtig.

12. HTTPS nicht blind vertrauen

Möglicher­weise haben Sie gelernt, dass Sie nur Seiten vertrauen sollten, deren Adresse mit HTTPS beginnt – schließ­lich steht das „S“ für „sicher“ (secure). Das ist grund­sätzlich richtig: Seiten, die lediglich mit HTTP beginnen, sind unsicher, da sie Daten unver­schlüsselt über­tragen. Hier sollten Sie nie Anmelde-Daten eingeben. Nur leider stimmt der Umkehr­schluss nicht immer: Dass eine Website HTTPS verwendet, heißt noch lange nicht, dass sie vertrauens­würdig ist. Auch Kriminelle können ihre gefälschten Seiten schließ­lich mit HTTPS ausstatten.

Wenn es schon passiert ist - die wichtigsten Schritte im Notfall

Haben Sie den Verdacht, bereits auf eine Phishing-Mail herein­gefallen zu sein oder einen schädlichen Link geöffnet zu haben, sollten Sie sofort Ihre Pass­wörter ändern. Haben Betrü­gerinnen etwa Zugriff auf den E-Mail-Account, können sie sich sonst über die Funk­tion „Pass­wort vergessen“ Zugang zu vielen anderen Konten verschaffen. Anschließend sollten Sie natürlich nur noch neue Pass­wörter und Pins verwenden oder direkt einen Passwort-Manager nutzen.

Tipp: Nicht nur Pass­wörter sind schützens­wert – auch mit anderen persönlichen Daten sollten Sie im Netz sorg­sam umgehen. Schon mit Name, E-Mail-Adresse und Anschrift können Betrüger unter Umständen Online-Bestellungen auslösen.

Besteht die Möglich­keit, dass Banking­daten oder Zugangs­daten für Zahlungs­dienst­leister gestohlen wurden, sollten Sie außerdem so schnell wie möglich den Zugang zu allen bedrohten Bankkonten sperren lassen. Rufen Sie die kostenlose Sperr-Hotline mit der Nummer 116 116 an und halten Sie Ihre Iban bereit. Haben die Betrüger bereits Geld abge­bucht, sollten Sie den Schaden unbe­dingt Ihrer Bank melden und gegebenenfalls prüfen, ob Ihre Hausratversicherung auch Phishing-Schäden abdeckt. Viele Tarife leisten bis zu einer bestimmten Schadens­grenze oder einem Anteil der Versicherungs­summe. Erstatten Sie außerdem Anzeige bei Ihrer örtlichen Polizei­dienst­stelle oder der Online-Wache Ihres Bundes­landes, damit die Straftat verfolgt werden kann.

Wurde durch einen Phishing-Angriff Geld gestohlen, bleiben Sie nicht unbe­dingt auf dem Schaden sitzen. Zunächst einmal haftet die Bank, wenn Konto­inhabe­rinnen oder Konto­inhaber eine Zahlung nicht auto­risiert haben. Dazu gehören auch Über­weisungen mit gestohlenen Online­banking-Zugangs­daten. Sie müssen lediglich dann dafür einstehen, wenn Sie vorsätzlich oder grob fahr­lässig gehandelt haben. Ob das der Fall ist, hängt vor allem davon ab, wie Sie sich bei einem Angriff verhalten und wie professionell die Betrüger ­vorgehen. Wie Gerichte in verschiedenen Fällen entschieden haben, zeigen die folgenden Beispiele.

Grobe Fahr­lässig­keit? So entschieden Gerichte

Land­gericht Oldenburg, Urteil vom 15.01.2016
Aktenzeichen: 8 O 1454/15
Sach­verhalt: Ein Bank­kunde hatte nach eigener Aussage Probleme beim Online-Banking-Login und nutzte deshalb in Absprache mit der Bank einen anderen Internet­browser als üblich. Als er sich nach zwei Wochen wieder einloggte, stellte er fest, dass 44 unauto­risierte Über­weisungen von seinen Giro- und Spar­konten getätigt wurden. Insgesamt wurden durch eine Phishing-Attacke 11 244,62 Euro vom Konto gestohlen. Er ließ umge­hend den Konto­zugang sperren, erstattete Anzeige bei der Polizei, ließ seinen Computer „reinigen“ und setzte sein Handy zurück. Den Schaden wollte er von der Bank ersetzt bekommen – die pochte aber auf grobe Fahr­lässig­keit. Das Gericht gab dem Kunden Recht: Nach den Ergeb­nissen der Beweis­aufnahme seien zunächst der Rechner und dann auch das Mobiltelefon des Mannes mit professionell gestalteter Schadsoftware befallen gewesen – das hätte ihm nicht ohne Weiteres auffallen müssen. Die Bank musste das Geld zurück­erstatten.

Amts­gericht München, Urteil vom 05. Januar 2017
Aktenzeichen: 132 C 49/15
Sach­verhalt: Eine Bank­kundin hatte nach Erhalt einer Phishing-Mail zunächst persönliche und Konto­daten auf einer gefälschten Online­banking-Website einge­geben. Dann wurde sie von einer vermeintlichen Bank­mit­arbeiterin angerufen, an die sie zum Zwecke der Authentifizierung eine SMS-Tan weitergab. Mithilfe dieser Tan wurden 4 444,44 Euro vom Giro­konto abge­bucht. Die Frau bekam das Geld nicht zurück, denn mit der telefo­nischen Weitergabe ihrer Tan handelte sie nach Auffassung des Gerichts grob fahr­lässig.

Land­gericht München II, nicht rechts­kräftig
Aktenzeichen: 9 O 2630/21
Sach­verhalt: Anfang 2022 fiel eine Frau auf ein ­Fake-Schreiben herein und loggte sich mit ihren Online­banking-Zugangs­daten auf einer falschen Bank-Website ein. Darauf­hin buchten Betrüger mehr als 20 000 Euro vom Konto ab. Das Münchener Land­gericht hielt das Verhalten der Frau für grob fahr­lässig: Der „Phishing-Brief“ enthielt mehrere Recht­schreib­fehler, und die falsche Website wies kleine, aber erkenn­bare Unterschiede zum echten Online-Banking-Portal auf. Das Gericht schlug trotzdem eine Vergleichs­zahlung der Bank in Höhe von 6 500 Euro vor. Die Bank bot 2 000 Euro, die Familie lehnte jedoch ab und legte Berufung gegen das Urteil ein.

0

Mehr zum Thema

  • Online-Konten schützen mit 2FA So funk­tioniert Zwei-Faktor-Authentifizierung

    - Pass­wörter sind für Angreifer oft recht leicht zu knacken. Wer seine Online-Konten besser schützen will, setzt auf die Zwei-Faktor-Authentifizierung, kurz: 2FA. Dann...

  • Daten­sicherheit 10 Tipps für sicheres Surfen

    - Hacker, Viren, Sicher­heits­lücken – im Internet wimmelt es nur so vor Gefahren. Mit den folgenden 10 Tipps der Stiftung Warentest schützen Sie PC, Smartphone und andere...

  • Messenger-Apps im Vergleich Wo niemand mitliest

    - WhatsApp, Signal, Telegram & Co sind aus dem Alltag nicht mehr wegzudenken. Unser Messenger-Vergleich zeigt, welche der 16 Chat-Dienste im Test besonders sicher sind.

0 Kommentare Diskutieren Sie mit

Nur registrierte Nutzer können Kommentare verfassen. Bitte melden Sie sich an. Individuelle Fragen richten Sie bitte an den Leserservice.