Wenn Sie im Internet unterwegs sind und Dienste wie z. B. E-Mail, Online-Banking, Social Media oder Online-Shopping nutzen, begegnen Ihnen viele Situationen, in denen Sie Sicherheitsrisiken ausgesetzt sind. Ein paar typische Situationen, die Sie vielleicht sogar aus eigener Erfahrung kennen, sind im Folgenden aufgelistet:
Sie rufen in einem Internetcafé Ihre E-Mails über Ihren Webmailer im Webbrowser ab und vergessen, sich auszuloggen, bevor Sie gehen. Selbst wenn Sie den Webbrowser schließen, könnte es sein, dass Ihre Logindaten weiterhin im Browser gespeichert sein (in Form eines “Cookies”). Der nächste Gast wäre also in Ihrem E-Mail-Konto eingeloggt, wenn er den selben Webmailer öffnet und hat vollen Zugriff auf Ihre Nachrichten. Loggen Sie sich also immer aus, wenn Sie auf einem fremden oder öffentlich zugänglichen Rechner auf einen Online-Dienst zugreifen, in den Sie sich einloggen müssen.
Bewusst oder unbewusst hinterlassen wir Datenspuren im Internet. Websites können ihr Nutzungsverhalten analysieren, indem sie (unter anderem ebenfalls über Cookies) protokollieren, wann verschiedene Nutzer/innen auf welche Seiten zugreifen. Dazu kommt, dass in jeder Anfrage von ihrem Webbrowser viele Informationen über Sie enthalten sind, anhand derer Sie in gewissem Maße identifiziert werden können, neben Ihrer IP-Adresse auch welches Betriebssystem Sie nutzen, welchen Webbrowser Sie benutzen und anderes.
Oft werden auch unbewusst vertrauliche Daten weitergegeben oder öffentlich gemacht, die von Angreifern gesammelt werden, um sie gegen Sie zu verwenden.
Vielleicht hatten Sie auch schon das Glück, schädliche Programme wie Trojaner oder virenverseuchte Programme von einer Website herunterzuladen, in der Annahme, es handle sich um harmlose Programme.
Oder Sie selbst oder Bekannte sind bereits auf Online-Betrugsversuche hereingefallen, über die vertrauliche Daten gestohlen wurden und eventuell sogar finanzielle Schäden entstanden sind.
Online-Betrugsversuche gibt es in vielen Varianten. Es werden betrügerische Nachrichten verschickt, Websites gefälscht oder Konten gehackt. In den meisten Fällen geht es den Betrügern darum, sich finanziell zu bereichern, indem sie vertrauliche Daten oder Passwörter ausspähen, Geräte manipulieren oder Daten zerstören.
Spam, auch Junk (engl. für “Müll”) genannt, kennen alle, die ein E-Mail-Konto haben: Spam ist der Oberbegriff für alle Arten von unerwünschten, massenhaft verschickten Nachrichten, die oft Werbung als Inhalt haben, aber auch Betrugsversuche (“Scam”) oder Falschmeldungen (“Hoax”) darstellen können.
Spam-Mails enthalten nicht selten Links zu betrügerischen oder schädlichen Websites oder sie enthalten schädliche Dateien oder Programme im Anhang. Manchmal reicht es, wenn Ihre E-Mail-Adresse öffentlich auf einer Webseite zu lesen ist, um Spam zu erhalten, da Angreifer mit Hilfe bestimmter Programme (“Web Crawler”) Webseiten oder Social Media-Profile automatisch nach E-Mail-Adressen durchforsten können.
Abhilfe schafft der Spam-Filter Ihres E-Mail-Programms, der fragwürdige Nachrichten automatisch erkennt und löscht bzw. in einen speziellen Spam-Ordner verschiebt. Besonders eindeutige Spam-Mails werden inzwischen auch bereits vom E-Mail-Anbieter ausgefiltert und gar nicht erst an Sie zugestellt.
[TODO: Vorsicht mit Dateianhängen]
Vermeiden Sie es außerdem, private Kontaktdaten öffentlich zu machen. Verwenden Sie ggf. ein separates E-Mail-Konto für solche Zwecke.
Spam-Mails werden auch oft für Phishing-Angriffe verwendet. Phishing ist ein Kunstwort aus dem engl. “password fishing” (also “Passwörter angeln”) und bezeichnet Versuche, sich über gefälschte Webseiten oder Nachrichten als vertrauenswürdiger Kommunikationspartner auszugeben und so an persönliche Daten oder Geld zu gelangen.
Nehmen wir an, Sie erhalten eine E-Mail, in der Sie vermeintlich von Ihrer Bank darauf aufmerksam gemacht werden, dass Ihr Konto eventuell gehackt wurde und Sie nun schnellstmöglich Ihre Zugangsdaten ändern müssen. Dazu steht ein Link in der E-Mail, den Sie anklicken.
Die Login-Seite der Bank wird in Ihrem Webbrowser geöffnet und Sie melden sich mit Ihrem Usernamen und Passwort an. Die Webseite ist allerdings gefälscht sein und greift Ihre Logindaten ab, so dass der Betreiber der gefälschten Webseite sich anschließend in Ihrem Namen über die echte Online-Banking-Website in Ihr Konto einloggen und es plündern kann.
Woran erkennen Sie Phishing?
https:// als Protokoll am Anfang der URL steht (HTTPS ist die verschlüsselte Version des HTTP-Protokolls). Oft zeigen Browser für verschlüsselte Verbindungen auch ein entsprechendes Symbol an, z. B. ein Schloss. Die meisten gefälschten Webseiten sind nicht gesichert und Login-Daten sollten ohnehin nie über eine unverschlüsselte Verbindung verschickt werden.Allgemein gilt für Phishing-Mails oft, dass sie entweder eine Bedrohung oder ein Angebot, das “zu gut ist um wahr zu sein” beschreiben und so dringenden Handlungsbedarf vortäuschen.
Auf der Homepage des Bundesamts für Sicherheit in der Informationstechnik (BSI) finden Sie umfangreiche Informationen zum Thema Phishing, so beispielsweise auch eine Checkliste zum Schutz vor Phishing.
Schadsoftware (“Malware”, kurz für engl. malicious software) = Software, die für das Opfer unerwünschte und meist schädliche Funktionen ausführen soll
Klassen von Malware:
Viren = Programmcode, der sich eigenständig/automatisiert über Kopien in Dateien (“Wirtsdateien”) weiterverbreitet
Würmer = Programm, das sich eigenständig/automatisiert über Netzwerke weiterverbreitet
Trojaner = Scheinbar harmloses Programm, das heimlich schädliche Funktionen ausführt (verbreitet sich nicht eigenständig weiter)
Arten von Schadsoftware (meist Trojanern) nach Schadfunktionen: