Wie erkenne ich einen Angriff über das Internet?

Wir können grob zwei Arten von Angriffen unterscheiden: die Phishing-Mail und die Hacker-Attacke.

1. Hacker-Attacke - was ist das?

Dabei geht es darum, personenbezogene Daten zu gewinnen (Name, Adresse, E-Mail Bankdaten, Steuernummer usw.). Im Prinzip gibt es 2 Wege, an diese Daten zu gelangen: Einmal ein Hacker-Angriff auf Ihre verschiedenen Konten im Internet (E-Mail, Banken, Onlineshops, Partnerbörsen, soziale Netzwerke usw.). Hier haben die Anbieter, die Ihre Konten verwalten, normalerweise gute Schutzmechanismen installiert, die sich aber mit entsprechendem Knowhow durchaus umgehen lassen. Auf solche Angriffe haben Sie keinen Einfluss. Das muss der Anbieter des Online-Dienstes machen. In der Regel schützen diese Unternehmen ihre Kundendaten mit einem sehr hohen Aufwand, weil das das Geschäft deren Kapital ist.

Die andere Möglichkeit ist ein direkter Angriff auf Ihren Rechner, bei dem die Daten in unterschiedlicher Tiefe ausgelesen und analysiert werden. Gegen solche Angriffe können Sie sich mit geeigneten Anti-Viren-Programm schützen. Dabei empfehle ich, nicht nur auf ein Programm zu setzen. In beiden Fällen erfolgt ein direkter Zugriff auf den Datenbestand und die Passwörter, der unmittelbar zu einer Verwertung führt. Je nach der Tiefe des Zugriffs sind direkte Transaktionen denkbar (Bestellungen mit "gestohlener" Identität), im Extremfall sogar direkte Banküberweisungen. Im Bankenverkehr und auch bei verschiedenen Onlineshops ist man gegen derartige Eingriffe versichert. Voraussetzung ist aber immer, dass man das eigene Konto angemessen überwacht. Deshalb müssen unbefugte Zugriffe innerhalb bestimmter Fristen gemeldet werden. Auch wenn zahlreiche Anbieter eine Art Gegenkontrolle laufen lassen und ihre Kunden bei dubiosen Zugriffen benachrichtigen, sollten Sie Ihre Einkauf-Konten regelmäßig überprüfen.

Dieser Mechanismus wird teilweise bei Phishing-Mails genutzt. Dann erhalten Sie die Nachricht, dass ein unbefugter Zugriff auf Ihr Konto stattgefunden habe und Sie die Daten autorisierten müssten. Dazu später. Bei der Verwertung der illegal gewonnenen Daten können die Angreifer wiederum mehrere Wege beschreiten: 

2. Indirekter Angriff

Die weitaus häufigere Variante ist, dass nur ein Teil ihrer Daten ausgelesen werden konnte, z.B. nur Ihre E-Mail-Adresse. In diesem Fall müssen die Angreifer weitere Daten erfassen. Das passiert dann über eine Phishing Mail.

Dabei werden von den Kriminellen mehrere Varianten gespielt:

a)

Sie werden aufgefordert, Ihre Daten zu aktualisieren oder zu bestätigen. Zur Begründung werden Argumente der Bestandspflege angeführt oder neue gesetzliche Bestimmungen oder sonstige Umstände (z.B. einen Cyberangriff auf den Server des angeblichen Absenders). In diesem Fall eröffnen Sie mit der Übermittlung der entsprechenden Daten den unmittelbaren Zugriff auf Ihr Konto. 

Diese Attacken sind äußerst raffiniert, weil der Internet-Auftritt Ihres echten Vertragspartners oft sehr gut imitiert wird. Mit etwas Aufmerksamkeit kann man solche Angriffe aber identifizieren. Den Angreifern gelingt zwar die rein optische Kopie der Internet-Präsenz Ihres Vertragspartners oft sehr gut, aber eben nicht vollständig. Die üblichen Verlinkungen funktionieren nicht oder auch Grafiken lassen sich nicht darstellen. Vorsicht bei clicks. Sie installieren damit vielleicht ein Programm, das Ihre Eingaben übermittelt  (Trojaner).

Im Zweifelsfall hilft ein Anruf beim Anbieter, ob diese Mail (mit genauer Kennung wirklich autorisiert ist). Bei Banken jedenfalls werden Sie auf jeden Fall auch postalisch benachrichtigt. Oft ergeben sich auch weitere Indizien, die man gerne einmal übersieht: - Ungewöhnliche Mailadresse (deutsche Banken haben die Endung .de - nicht .com). Und die Sub-Level-Domain lautet dann eben z.B. @sparkasse.karlsruhe.de und nicht auf @johavirna.demeli.com.

Die Telefonnummer beginnt nicht mit einer landestypischen Vorwahl sondern mit einer internationalen Vorwahl. Die internationale Vorwahl für Deutschland ist 0049 bzw. +49. Jede andere Startziffer deutet auf einen Angriff hin. Das Pluszeichen oder die Doppelnull ist Voraussetzung. 

Der Grund für die Anfrage wird jede Bank und jedes Unternehmen in Deutschland Ihnen die konkrete Bestimmung benennen, allein schon deshalb, weil diese Unternehmen verpflichtet sind, einen relevanten Änderungsbedarf nachzuweisen und Sie darüber zu informieren. Das müssen diese Unternehmen gegenüber den Aufsichtsbehörden nachweisen. Sie werden deshalb die konkrete Rechtsvorschrift bezeichnen. Und die gibt es dann auch. 

b)

Wenn Sie sich auf Plattformen zum Verkauf (gebrauchte) Gegenstände bewegen – wie z.B. eBay – müssen Sie ebenfalls aufpassen. Ich selbst habe vor einigen Tagen eine Mail bekommen mit folgendem Inhalt:

Guten Tag,

mein Name ist Kiendle christina,

ich Interessiere mich für Ihr Angebot. Ich komme aus Deutschland. Ichmöchte die Möbel gerene meinem Cousin schenken ...

Um das klarzustellen: Bei dem Angebot ging es um die Möbel in meinem Büro, weil ich demnächst umziehen und mich neu einrichten will. Wir reden also über eine Schreibtisch-Anlage im Chef-Format mit einer hochwertigen Ledergarnitur im Besprechungsbereich. Das braucht eine Kiendle christina für ihren Cousin? Die angegebene Vorwahl "01357" gibt es nicht.

Niemand in Deutschland schreibt so, nicht einmal ein Ausländer. Man schreibt: Ich wohne in Heidelberg oder so. Rechtschreibfehler sind atypisch. Nachname vor dem Vornamen?  Klingt nach Ausland. 

Ich habe die Nummer aufgeschlüsselt. Sie ist in Nigeria beheimatet. Bemerkenswert in diesem Zusammenhang: Ich konnte die E-Mail nicht mehr aufrufen – sie hat sich automatisch gelöscht, nachdem ich nicht reagiert hatte. Vermutlich wäre das aber auch passiert, wenn ich reagiert hätte. Rückverfolgung ausgeschlossen.

c)

Gerne genommen werden auch immer wieder Angebote mit überproportionalen Gewinnaussichten. Da liegen angeblich Vermögen herum, die nur transferiert werden müssen. Bislang waren das vor allem die Staaten in den Diktaturen in Afrika - jetzt wird wohl auch die Ukraine dazukommen. Gerade bei der Ukraine dürften Provisionen von 20 % plus ausgewiesen werden.

Das ist entweder ein Fake oder die Konten sind sowieso eingefroren oder Sie helfen Verbrechern. Abgesehen von sonstigen Überlegungen: Finger weg! Im Zweifel steht Russland hinter dieser Anfrage. Und warum sollte Putin Sie mit Millionen ködern, wenn er das Ziel nicht mit einer Novitchok-Spritze erreichen kann?