Will man sich schützen, sollte man genau wissen, welche Gefahren überhaupt auf einen lauern. Nur dann kann man sich entsprechend absichern. Hacking, wie man es aus den Actionfilmen kennt, ist nicht wirklich realistisch. Es sitzen keine vermummten Gestalten an mattschwarzen Notebooks und versuchen, das Bankkonto von Herrn Müller aus Hinterhüblisau zu knacken. Vielmehr sind zwei Strategien beliebt: Herr Müller wird mit Tricks dazu gebracht, Daten oder Geld selbst auszuhändigen. Oder Herr Müller wird digital ausspioniert. Ersteres passiert meistens über Techniken wie Phishing oder Pretexting. In diesem Artikel erfahren Sie, wie diese und weitere Tricks der Cybergauner funktionieren und wie Sie sich effizient dagegen schützen.

Phishing (eine Abwandlung des englischen Worts fishing = fischen) ist weitverbreitet und leider noch immer rentabel. Das Prinzip ist einfach: Ein Angreifer lockt sein Opfer auf eine gefälschte Webseite mit der Absicht, persönliche Informationen zu erhalten, Bild 1. Im Kontext des E-Bankings wären das Zugangsdaten für die Benutzeroberfläche, Kontodaten, Kreditkartendaten oder weitere persönliche Informationen, die bei der Bank mit der Pretexting-Methode weiterverwendet werden (siehe dazu auch Abschnitt «Pretexting»). Die meisten Phishing-Angriffe kommen als E-Mails, die scheinbar von Ihrer Bank stammen. Seltener sind Telefonanrufe. Die Nachrichten variieren zwischen stümperhaft und leicht erkennbar bis zu qualitativ kaum von Originalen zu unterscheiden. Was praktisch alle Phishingmails gemeinsam haben, ist der Handlungsaufruf: Irgendetwas stimmt mit dem Konto des Benutzers nicht oder seine Bank hat einen angeblichen Hack bemerkt. Der Anwender soll mit der Mail dazu gebracht werden, den Link in der Nachricht anzuklicken und auf der folgenden (gefälschten) Webseite seine Daten preiszugeben, Bild 2.

Die wichtigste Regel einer sicheren Kommunikation mit Ihrer Bank lautet: Anfragen und Aufträge stammen wenn immer möglich von Ihnen und geschehen nach Ihren Regeln. Erhalten Sie eine Mail Ihrer Bank, die Ihnen verdächtig vorkommt, Sie sich aber nicht sicher sind, rufen Sie bei Ihrer Bank an. Und zwar mit der Telefonnummer, die Sie selbst nachgeschlagen haben. Gleiches gilt bei Phishing-Versuchen per Telefon: Prüfen Sie in jedem Fall die Nummer des Anrufers und rufen Sie auf eine Nummer zurück, die Sie kennen.

Phishing bekämpfen Sie ausserdem mit Wissen und ein wenig Vorsicht. Prüfen Sie erhaltene Mails auf folgende Warnsignale:

Beim Pretexting (Deutsch in etwa «einen Vorwand vorgeben») benötigt ein Angreifer diverse Informationen über sein Opfer – beispielsweise Geburtsdatum, Wohnort oder den Kontostand. An diese Informationen kommt ein Angreifer über Kanäle wie Social Media oder Phishing (siehe vorheriger Abschnitt). Die Informationen verwendet der Angreifer anschliessend, um bei seinem Opfer Vertrauen zu erwecken, Bild 3. Ein klassisches Beispiel für Pretexting-Angriffe ist der Enkelbetrug. Dabei geben sich die Betrüger als nahe Verwandte aus und bitten um Geld oder andere Wertsachen.

Ebenfalls beliebt sind Pretexting-Angriffe nicht auf das Opfer direkt, sondern auf ein nahestehendes Unternehmen. Beispielsweise ruft ein Betrüger bei Ihrer Bank an und gibt sich mit gesammelten Informationen für Sie aus. Erwischt der Angreifer einen unerfahrenen Bankangestellten oder stellt er sich geschickt genug an, kann er mit einer clever fabrizierten Geschichte ordentlichen Schaden an Ihrem Konto anrichten oder eventuell sogar die Kontrolle übernehmen. Glücklicherweise sind die meisten Banken gut gegen solche Angriffe gewappnet. Eine Garantie gibt es jedoch nie.

Eine Kombination aus Phishing und Pretexting nennt man Spear Phishing (Deutsch: Speerfischen). Dabei wird nicht eine Mail an Tausende Empfänger geschickt, in der Hoffnung, einer beisst an. Vielmehr wird eine stark personalisierte Nachricht mit persönlichen Informationen an einen spezifischen Empfänger versendet. Das Opfer wird durch diese personalisierte Mail getäuscht und fällt so eher auf den Phishing-Versuch herein.

Die Pretexting-Methode wird hauptsächlich gegen Unternehmen wie Banken etc. angewandt. Daher ist für Sie als Endnutzer hauptsächlich das Vertrauensverhältnis zu Ihrer Bank wichtig. Ihr Finanzinstitut sollte ausreichend gegen solche Angriffe geschützt sein. Falls Sie Ihrer Bank in diesem Punkt nicht vertrauen, sollten Sie womöglich wechseln. Bei Pretexting gegenüber Privatpersonen wird oftmals versucht, das Opfer zu überrumpeln. Das ist mitunter ein Grund, warum solche Angriffe häufiger per Telefon durchgeführt werden.

Sind Sie sich bei einem Anrufer unsicher, brechen Sie das Telefonat ab, damit Sie in Ruhe die Fakten durchgehen können. Hierbei erhalten Sie womöglich weitere Informationen über den Anrufer. Ein normaler Anrufer hat wohl kaum ein Problem damit, wenn Sie ihm mitteilen, dass Sie gerade in einer Sitzung feststecken oder dringend zum Zahnarzt müssen und später zurückrufen werden. Ein Krimineller verliert dadurch jedoch seinen psychologischen Vorteil und wird eher negativ reagieren.

Eine besonders perfide Angriffsvariante ist das Waterholing (Deutsch: Wasserloch). Dabei werden die Opfer durch eine gewohnte Umgebung in falscher Sicherheit gewiegt und anschliessend über den Tisch gezogen. Meistens wird Waterholing mit Phishing kombiniert. Beispielsweise erstellt ein Angreifer einen Beitrag in einem Forum. Dieser sieht aus wie ein regulärer Beitrag und beinhaltet wahrscheinlich sogar ein legitimes Thema. Allerdings wird der Beitrag mit einem Phishinglink versehen. Ein klassisches Beispiel wäre ein Beitrag im Stil von «Wow, seht euch diese neue Gitarre von Fender an! Sieht ja klasse aus». Darunter befindet sich ein Link zu einer Website mit einem Phishing-Betrug oder schädlicher Software.

Da sich der Anwender in diesem Forum sicher fühlt, klickt er eher auf den Link, ohne sich gross Gedanken darüber zu machen, ob eine Gefahr bestehen könnte. Waterholing ist entsprechend beliebt bei gehackten Nutzerkonten und ein Grund, wieso gekaperte Social-Media-Profile auf Facebook, Twitter & Co. oftmals Spamlinks versenden, Bild 4.

Beim Waterholing hilft nur Aufmerksamkeit. Lassen Sie sich nicht von der gewohnten Umgebung täuschen. Gewöhnen Sie sich an, Links immer und überall erst zu prüfen. Hilfreich dabei ist beispielsweise die Linkanzeige in der unteren linken Ecke des Browserfensters, Bild 5.

Wenn Sie mit dem Mauszeiger über einen Link fahren, sehen Sie hier die wirkliche Adresse des Links und nicht einen beliebigen Namen, wie er direkt auf der Website angegeben werden kann.

Mit Schädlingen wie Trojanern und Tastaturspionen verseucht ein Angreifer den PC oder das Smartphone des Opfers – im Kontext mit E-Banking meistens, um Zugriff auf das Konto zu erhalten, indem die Logindaten mitgeschnitten werden. Trojaner funktionieren analog zum Namensgeber: Die Malware tarnt sich als legitime Datei, die aber hintenrum bösartigen Code nachladen kann; zum Beispiel einen Keylogger. Dieser zeichnet die Tastenanschläge eines Nutzers auf und liefert die Ergebnisse an den Angreifer, Bild 6.

Malware lauert vor allem auf verseuchten Webseiten oder in gefälschten Downloads. Besonders geschickte Angreifer schaffen es, Schädlinge durch Werbebanner oder andere Funktionen von Drittanbietern auf legitime Webseiten zu schleusen.

Schutz vor Malware funktioniert in zwei Stufen: Vorbeugung und Aktivschutz. Bei der Vorbeugung werden Sie selbst aktiv. Halten Sie Ihre Software aktuell und besuchen Sie heikle Webseiten nur mit entsprechender Vorsicht. Der Aktivschutz, meist in Form einer Antiviren-Software, setzt dann ein, wenn die Vorbeugung versagt, Bild 7. Wenn Sie trotzdem mal aus Versehen auf einen falschen Link klicken oder sich eine Mail durch alle Filter schlängelt, hilft eine aktuelle und vertrauenswürdige Schutz-Software aus. Ganz darauf verzichten sollten Sie nie; auch wenn Ihr Vertrauen in Ihre Vorbeugungsmassnahmen gross ist. Es verhält sich wie beim Autofahren: Sie können noch so vorsichtig fahren, es braucht nur einen unvorsichtigen Zweiten für einen Unfall.

Die gute Nachricht: Finanzinstitute sind heute gut gegen Onlinebetrüger und andere Cybergauner gerüstet. Meistens merkt deshalb Ihre Bank vor Ihnen, wenn etwas nicht stimmt, und handelt entsprechend. Wird beispielsweise Ihre Kreditkarte kurz hintereinander in Zürich und Sydney verwendet, wird die Bank aufgrund von Warnsystemen automatisch merken, dass dies eher unwahrscheinlich ist. Sie erhalten darauf einen Anruf Ihrer Bank, die nachfragt, ob die Kontobewegungen in Ordnung sind.

Beachten Sie: Wie bereits erwähnt, wird das Finanzinstitut Sie dabei niemals nach Zugangsdaten oder Kontonummern ausfragen. Haben Sie das Gefühl, dass Sie einem Betrüger auf den Leim gegangen sind, gibt es eine ganz wichtige Massnahme: Melden Sie sich bei Ihrer Bank. Diese kann Ihre Konten und Karten sperren und möglicherweise bereits getätigte Zahlungen rückgängig machen.

Zusätzlich sollten Sie die üblichen Sicherheitsmassnahmen für Onlinekonten berücksichtigen: Ändern Sie Ihre Zugangsdaten für den E-Banking-Zugang und stellen Sie sicher, dass alle Ihre Geräte fürs E-Banking richtig abgesichert sind. Beachten Sie dazu ebenfalls die Box «Die wichtigsten Schutzmassnahmen».