Anglern ist es ziemlich egal, welchen Fisch sie aus einem See ziehen, solange der nur fett genug ist. Die "Phisher", die sich seit einigen Jahren im Internet tummeln, denken da ganz ähnlich; nur geht es ihnen nicht um den Inhalt für die Bratpfanne, sondern um geschützte Daten, die sie wirklich nichts angehen.

"Sehr geehrte Kundin, sehr geehrter Kunde, wir freuen uns Ihnen mitzuteilen, dass unser Online-Banking jetzt noch sicherer ist!" Na, da freut sich der geehrte Kunde, der das in einer E-Mail liest, doch sicher gleich mit. Oder wird er etwa stutzig beim Weiterlesen? "Fuer den gewöhnlichen Schutz durch nicht nummerierte TAN-Liste haben Sie zwei gültige TAN einzugeben. Wenn sie den neuen iTAN Verfahren benutzen, müssen Sie 20 iTAN eingeben."

Was? Zwanzig gültige Transaktionsnummern einer fremden Internet-Seite anvertrauen? Und das obwohl die Bankangestellten inzwischen offenbar den korrekten Umgang mit deutscher Grammatik und Rechtschreibung verlernt haben? Aber einfach ignorieren? Da scheint doch Schlimmes zu drohen: "Alle Konten, die nicht innerhalb eines Tages authentifiziert werden, werden gesperrt!" - Wohl kaum. Aber alle anderen werden geplündert.

"Phishing" klingt wie "Fishing"

Darum nämlich geht es hier. E-Mails, die ihre Empfänger auffordern, sensible Daten wie Passwörter, Persönliche Identifikationsnummern (PINs) oder Transaktionsnummern (TANs) in die Eingabefelder irgendwelcher Internet-Seiten einzugeben, dienen nur einem Zweck: Sie sollen spionieren. Sie sollen Daten sammeln, die später missbräuchlich verwendet werden können. Sowas nennt sich dann Phishing. Das klingt ähnlich wie "fishing", schreibt sich aber mit "P", weil es um das Angeln nach Passwörtern geht.

Besonders gefährlich an Phishing-Mails ist, dass ihre Urheber ihnen gerne das Design namhafter Geldinstitute geben, weshalb die Nachrichten oft ein sehr seriöses Aussehen haben. Die vertraute Gestaltung dieser Mitteilungen ist der Köder, unter dem sich ein sehr schmerzhafter Angelhaken verbirgt. Phishing ist inzwischen eine der beliebtesten Formen der Online-Kriminalität.

Das Innenministerium Baden-Württemberg beziffert den Schaden, der im Jahr 2005 durch Phishing-Delikte verursacht wurde, auf eine Summe von 1,6 Millionen Euro. Im ersten Quartal 2006 liege er bereits bei 460.000 Euro, während Phishing noch im Jahr 2004 auf wenige Einzelfälle beschränkt war. In der kriminellen Szene liegt das Angeln nach Zugangsdaten also voll im Trend.

Effektiv aber durchschaubar

Die Gründe dafür liegen auf der Hand: Es ist bequemer und effektiver, fremde Vertrauensdaten durch Tricksereien zu erfragen als sie sich durch mühsamere Methoden zu stehlen. Deshalb gibt es immer mehr E-Mails, die indiskrete Fragen über persönliche Zugangsdaten stellen. Mails, für die es nur eine geeignete Ablage gibt - den Papierkorb.

Mit mindestens einem wachen Auge lassen sich Phishing-Versuche aber meistens ziemlich einfach erkennen. Vorsichtig geboten ist vor E-Mails, die

• ganz offen nach Passwörtern, PIN- oder TAN-Nummern, Kreditkartennummern oder anderen Zugangsdaten fragen;
• unter Berufung auf angeblich verbesserte Sicherheitsmechanismen Daten einfordern, vor deren Weitergabe Kreditinstitute normalerweise warnen;
• auf Seiten mit merkwürdigen Adressen verlinken (in der Adresszeile des Browsers stehen dann häufig Zielanschriften, die denen einer bekannten Bank nur entfernt ähneln);
• mit unangenehmen Konsequenzen drohen, wenn der Anwender seine Daten nicht verraten möchte;
• schlecht geschriebene Texte mit Fehlern in Rechtschreibung, Grammatik und Zeichensetzung enthalten.

Begrenzt raffiniert

Leider tarnen sich Phishing-Mails oft recht gut. So ist es möglich, den Besuchern einer Website, auf der sie ihren persönlichen Daten hinterlegen sollen, eine falsche Identität vorzugaukeln. Über die in Browsern verwendete Scriptsprache JavaScript lassen sich beispielsweise die Inhalte der Statuszeilen von Netcape-, Mozilla-, FireFox-, InternetExplorer- und Opera-Browsern fälschen. So können auch geübtere Internet-Anwender in die Irre geführt werden. Trotzdem erschließt sich die Hinterlist der Betrüger aus ihrem Verhalten, das dem der Urheber von Passwörtern, PIN-, TAN- und Kreditikartennummern völlig zuwider läuft. Diese fragen eben nicht nach diesen Daten. Außer auf den Seiten, für deren Nutzung sie gedacht sind.

Weiterführende Informationen zu Phishing finden sich auf einer ganzen Reihe von Websites. Links zu einer kleinen Auswahl davon stehen ohne Anspruch auf Vollständigkeit am Ende dieser Seite.

Online Kaufen - mit Verstand - gemeinsame Kampagne der Polizeilichen Kriminalprävention der Länder und des Bundes, des Online-Marktplatzes eBay und des Bundesverbands des Deutschen Versandhandels

BSI für Bürger - Phishing-Infos des Bundesamts für Sicherheit in der Informationstechnik

A-I3 - Arbeitsgruppe Identitätsschutz im Internet

Phishing-Information des baden-württembergischen Innenministeriums