Auf den ersten Blick wirkt die Mail nicht weiter ungewöhnlich. Die Volksbank informiert ihre Kunden, dass ab Oktober neue Sicherheitsmaßnahmen gelten. Mit einem Klick auf den orangen Homepage-Button können sich Kunden vermeintlich bei ihrem Bankaccount anmelden, um den neuen Bedingungen zuzustimmen.
Wer tatsächlich den Anweisungen der Mail folgt, geht jedoch einer Betrugsmasche von Cyberkriminellen ins Netz. Die Verbraucherzentrale warnt aktuell vermehrt vor sogenannten Phishing-Mails. Mit der Verwendung offizieller Logos und Farbschemata imitieren die Betrüger das Corporate Design bekannter Organisationen und Firmen, um den Empfänger über die wahre Identität des Absenders zu täuschen. Klicken die Empfänger auf Buttons, Links oder öffnen Dateianhänge, können daraufhin eingegebene Daten abgefangen werden. Daher auch der Begriff „phishing“: Die Betrüger „angeln“ (Englisch to fish) sich kritische Daten wie Passwörter für Onlinebanking und Mailaccounts, Adressen und Telefonnummern.
In letzter Zeit kursieren vor allem Betrugsmails im Namen der Volksbanken, der Sparkassen und Commerzbank sowie vermeintlich von Amazon und Paypal stammende Mitteilungen. Die Polizei Bremen rät bei entsprechenden Absendern zur Vorsicht. "Kein Unternehmen und erst recht keine Bank verifiziert oder fragt Daten per Mail ab", sagt Franka Haedke, Pressesprecherin der Polizei Bremen. "Häufig reicht ein Blick auf die Absenderadresse, um zu erkennen, dass diese nicht im Zusammenhang mit dem vermeintlichen Unternehmen steht." Auch am Arbeitsplatz sei ein "gesundes Misstrauen" beim Umgang mit Mails sinnvoll.
Waren Phishing-Mails vor einigen Jahren noch leicht an sprachlichen Mängeln zu erkennen, so ist die Aufmachung heute professioneller geworden. Oft folgen Phishing-Mails allerdings einem bestimmten inhaltlichen Aufbau. Der Mailtext suggeriert einen dringenden Handlungsbedarf, enthält eine versteckte Drohung oder unangenehme Konsequenz und endet mit einer Handlungsaufforderung. Es wird der Eindruck erweckt, als stünde etwa eine Kontosperrung oder der Verlust von Daten unmittelbar bevor, wenn der Empfänger nicht umgehend aktiv wird. Auch bei per Mail übermittelten Links und Formularen, kyrillischen Buchstaben oder falsch aufgelösten Umlauten in Mails sollten Nutzer stutzig werden.
Bestimmte Hauptziele für Phishing existieren laut Dennis-Kenji Kipker, IT-Experte und Informationsrechtler der Universität Bremen, nicht. „Wo es etwas zu holen gibt, wird gehackt“, sagt er. Opfer würden neben Privatpersonen auch Unternehmen jeder Größe. Recht hoch sei das Sicherheitsniveau mittlerweile bei Betreibern kritischer Infrastruktur, etwa Krankenhäusern, Stromversorgern oder Wasserwerken, diese verpflichte der Staat gesetzlich zum Schutz ihrer Informationstechnologie.
Kipker, selbst Mitglied einer Arbeitsgruppe des Bundesverbandes IT-Sicherheit (TeleTrusT), sieht andere Organisationen in Gefahr. „Bei kleinen und mittelständischen Unternehmen wird das Thema IT-Sicherheit eher stiefmütterlich behandelt", sagt er. „Da können Hacker mit relativ einfachen Maßnahmen und wenig Aufwand viel ausrichten, indem sie Phishing-Mails an einen großen Verteiler senden." Irgendwer würde schon drauf klicken. Dabei lasse sich auch auf Verbraucherseite in wenigen Schritten ein Minimalschutz aufbauen. Kipker empfiehlt regelmäßige Updates von Virenschutzprogrammen, des Betriebssystems und des Internetbrowsers, damit Standardangriffe im Zweifelsfall abgewehrt werden können.
Unbedachte Klicks auf Phishinglinks und -Anhänge können schnell teuer werden. Das Bundesamt für Sicherheit in der Informationstechnik schätzt, dass in Deutschland jährlich Schäden im zweistelligen Millionenbereich im Zusammenhang mit Phishing-Attacken entstehen. Wie das Bundeskriminalamt im aktuellen Bundeslagebild Cybercrime erklärt, verlagert sich die Kriminalität zudem zunehmend auf den digitalen Raum.
Um fast neun Prozent wuchs die Zahl registrierter Cybercrime-Straftaten 2020 im Vergleich zum Vorjahr. Homeschooling und Homeoffice boten Betrügern offenbar neue Angriffsmöglichkeiten. "Für Administratoren ist es schwierig, Arbeitsgeräte im Homeoffice genauso zu versorgen wie im Büro," sagt Dennis-Kenji Kipker, die Erfolgsrate von Onlinebetrügern habe sich deshalb erheblich erhöht. Oft seien private Endgeräte nicht so gut geschützt wie Bürohardware, über die IT-Teams der jeweiligen Arbeitgeber wachten. Daneben sorgte der Boom des Onlineversandhandels für neue Betrugsmaschen. Nach Angaben der Polizei Bremen gingen Cyberkriminelle während der Pandemie dazu über, vermeintliche Paketlieferungen per SMS oder Mail anzukündigen. Auch hier sei Vorsicht geboten.
