Im Internet unterwegs zu sein, gestaltet sich oftmals sehr ambivalent. Einerseits genießen wir die vielfältigen Vorzüge, die die digitale Welt mit sich bringt. Es ist heutzutage vollkommen selbstverständlich, Bahnfahrkarten, Flugtickets oder Hotelzimmer online zu buchen. Auch Bankgeschäfte werden via Internet oder App erledigt, und eine der neuesten Errungenschaften ist das digitale Rezept, das der Hausarzt ausstellt und in der Apotheke unseres Vertrauens eingelöst wird.
Überall lauern Gefahren
Andererseits muss uns bewusst sein, dass in der virtuellen Welt multiple Gefahren lauern, die erhebliche Schäden bzw. Kosten verursachen können. Daher widmet sich dieser CRONIQ-Blog-Eintrag dem Thema Phishing. Für diejenigen, die sich beim Lesen dieses Wortes unsicher sind, worum es dabei geht, sei seine Bedeutung kurz erläutert: Phishing steht für einen betrügerischen Angriff in Form von Webseiten, E-Mails, Textnachrichten auf dem Smartphone oder durch Telefonanrufe. Diese sollen Nutzer dazu verleiten, eine schädliche Software, eine sogenannte Malicious software oder auch Malware, zu nutzen.
In der Praxis kann ein solcher, oftmals fataler, Schritt sehr schnell passieren. Den Auftakt bildet beispielsweise eine E-Mail oder eine SMS, die den Eindruck erweckt, von der Hausbank, einem Paketdienst oder einem Telekommunikationsanbieter zu stammen. Ein in der Nachricht angegebener Link dient vermeintlich dazu, den Empfänger auf die offizielle Webseite des Unternehmens weiterzuleiten. Tatsächlich ist die über den Link erreichbare Seite jedoch das Werk von Kriminellen. Das verbrecherische Ziel lautet, hoch sensible Informationen wie Konto- bzw. Kreditkartennummern, Firmenwissen oder Anmeldedaten für Internetportale abzugreifen. Dadurch drohen unter anderem Identitätsdiebstahl, erhebliche finanzielle Verluste oder ein mit einem Virus infizierter Computer.
Für Unternehmen können Konsequenzen mit unabsehbaren Dimensionen eintreten, wenn die Angreifer zum Beispiel unbemerkt auf die E-Mail-Konten der Führungsetage zugreifen und so vertrauliche Dokumente abschöpfen können. In diesem Zusammenhang wäre es jedoch vollkommen falsch, nur an große, bekannte und finanziell hoch potente Firmen als Angriffsziele zu denken. Auch für eine kleine Arztpraxis oder für einen Anwalt im Homeoffice können sich Datenlecks regelrecht existenzbedrohend auswirken.
Warnsignale
Zunächst gilt es, für die Thematik Phishing sensibilisiert zu sein und das berufliche sowie persönliche Umfeld mit einzubeziehen. Nicht nur Geschäftspartner und Kollegen, sondern insbesondere auch ältere Familienmitglieder oder Kinder können jederzeit zum Opfer eines Phishing-Angriffs werden.
Es gibt einige Grundregeln, die es zu beachten gilt. Oftmals sind Phishing-E-Mails vom Design her schlecht gemacht oder enthalten Rechtschreibfehler. Häufig finden sich auch unprofessionell erscheinende Absenderadressen. Es kann aber durchaus passieren, dass die äußere Form makellos und vertrauenswürdig erscheint. In diesem Fall ist es der Inhalt, der stutzig machen sollte. Verdächtig sind vor allem Aufforderungen, Profildaten zu aktualisieren oder Zahlungen vorzunehmen. Kürzlich erreichte uns eine E-Mail, die angeblich von einem Paketdienst stammte, der unsererseits die Begleichung von Zollgebühren verlangte.
Darüber hinaus arbeiten Phishing-Kriminelle sehr gerne mit dem Ausüben von Druck. Sie täuschen möglicherweise vor, dass eine schnelle Zahlung erforderlich sei, um eine Kontosperre abzuwenden. Zuweilen wird sogar damit argumentiert, dass eine Geld- oder Haftstrafe verhindert werden müsse. Insgesamt sind der Phantasie keine Grenzen gesetzt. Manche E-Mails erwecken den Eindruck, von einem bekannten Kollegen zu stammen. Da sogar der vollständige Name stimmt, fühlt sich der Empfänger zum Handeln aufgefordert und überweist schlimmstenfalls einen Geldbetrag, der letztlich bei Internetganoven landet.
Was empfehlen wir?
Datensicherheit sollte im 21. Jahrhundert zum Alltag gehören wie der Routinecheck beim Hausarzt, zahnmedizinische Prophylaxe oder der TÜV beim Auto. Leistungsstarke SPAM-Filter, Antiviren- und Anti-Malware-Software sind in der Lage, Phishing-E-Mails zu erkennen, auszusortieren und sogar die in ihnen enthaltene Malware-Links zu deaktivieren. Für Unternehmen ist die Multi-Faktor-Authentifizierung interessant, bei der es erforderlich ist, mindestens einen weiteren Anmeldeindikator einzugeben, um Zugang zu persönlichen bzw. sensiblen Bereichen zu erhalten. Dies kann beispielsweise ein einmaliger Code sein, der den Mitarbeitern (oder Kunden) per Smartphone mitgeteilt wird. Wer Online-Banking betreibt, dürfte mit diesem Verfahren vertraut sein. Hilfreich sind auch Webfilter, die es verhindern, dass schädliche Webseiten aufgerufen werden.
Im Rahmen dieses Blogs wird auf eine zu große Detailtiefe verzichtet, da die Welt der Informationssicherheit und der im Internet drohenden Gefahren hochkomplex und selbst für viele versierte IT-Anwender sehr unübersichtlich ist. Sofern Sie weitere Fragen haben, stehen wir selbstverständlich zur Verfügung.
Juristischer Exkurs
Besonders interessant ist, dass die deutsche Justiz die Nutzer von digitalen Plattformen und Portalen eindeutig in die Pflicht nimmt. Eine Klägerin wollte sich im November 2020 in ihr Online-Banking einloggen, merkte aber nicht, dass sie auf der Oberfläche eines Schadprogramms, das sie zur Ausführung einer „Demoüberweisung“ aufforderte, gelandet war. Dort gab sie eine TAN-Nummer ein, die seitens der kriminellen Urheber der Malware für eine Überweisung in Höhe von knapp 9.850.- Euro genutzt wurde. Die Kundin verklagte ihre Bank auf Erstattung dieses Betrages. Die Bank argumentierte hingegen, dass die Kundin grob fahrlässig gehandelt habe. Das Landgericht Koblenz wies die Klage am 1. Juni 2022 (Az. 3 O 378/21) ab und urteilte (in Auszügen) wie folgt:
- „Die Klägerin habe […] ‚in grob fahrlässiger Weise ihre Sorgfaltspflichten verletzt‘, als sie die ‚Demoüberweisung‘ mit einer echten Transaktionsnummer durchgeführt habe.“
- „Sie habe ganz naheliegende Überlegungen nicht angestellt und nicht beachtet, was jedem hätte einleuchten müssen.“
- „Von einem durchschnittlichen Computer-Nutzer könne erwartet werden, dass er die Nutzung des Online-Bankings einstellt, wenn die Umstände sehr zweifelhaft sind und auf ein fragwürdiges Geschehen hindeuten.“
- „Dennoch habe die Klägerin die Transaktionsnummer […] eingegeben. Dies hielt das Gericht für einen derart groben Verstoß gegen die Sorgfaltspflichten eines Bankkunden, dass die Klägerin den Schaden selbst zu tragen habe.“
Unser Fazit
Zu glauben, Phishing könnte nur Unbedarfte und Unvorsichtige treffen, wäre riskant und naiv. Die Ausprägungen sind bereits heute höchst professionell und dürften in Zukunft noch ausgefeilter als bisher werden. Wie das thematisierte Gerichtsurteil zeigt, nimmt der Staat das im Internet surfende Individuum in eine besondere Sorgfaltspflicht. Um sich vor Daten-, Identitäts- Informations- und nicht zuletzt Vermögenswertdiebstahl zu schützen, empfiehlt CRONIQ eine Doppelstrategie: Persönliche Befassung mit dem Thema samt Sensibilisierung für die Gefahren, die von Phishing ausgehen, sowie Rückgriff auf moderne technologische Maßnahmen zur Absicherung der geschäftlichen und/oder privaten IT-Systeme.
Viele Grüße,
Tilo Schneider