Das Verschlüsseln von elektronischen Daten und deren Versendung stellt heutzutage mit Hilfe von speziellen Programmen, die sich kryptographischer Verfahren (vgl. Hans Ratzenberger) kein großes Problem mehr dar. Aber was hilft die beste Technik, die beste Verschlüsselung, wenn die Anwender sorglos mit ihren sensiblen Daten umgehen (vgl. Elke Beck)? Für Betrüger ist es somit ein leichtes Unterfangen diese Sorglosigkeit für ihren Vorteil auszunutzen.

Ein in letzter Zeit häufig anzutreffendes Beispiel in diesem Zusammenhang ist Phishing. Phishing steht für "Passwort Fishing" und bedeutet, dass von Betrügern versucht wird mit Hilfe von gefälschten E-Mails geheime Anwenderdaten - wie zum Beispiel Bankzugangsdaten - zu erhalten, um sich damit zu bereichern (vgl. Wikipedia). Gemäß einer aktuellen Studie des Fraunhofer-Instituts (pdf-Download) sind nach Schätzungen der Anti-Phishing Working Group die Betrüger bei bis zu 5 % (!) der E-Mail-Empfänger erfolgreich. Aus diesem Grund möchte ich mich in diesem Betrag mit diesem Phänomen genauer auseinanderzusetzten und vor allem aufzuzeigen wie man als Anwender sicher sein kann, dass seine Zugangsdaten und Passwörter nur an den dafür bestimmten Empfänger gelangen.

Der Phishing-Angriff beginnt mit einem E-Mail bei der als (gefälschter) Absender z.B. eine Bank aufscheint, das in Form eines Spam-Mails verschickt wird, in der Hoffnung möglichst viele Kunden dieser Bank zu erreichen. Das Mail enthält die Aufforderung an den "Kunden" aufgrund einer EDV-Umstellung, wegen der Sicherheit oder aus ähnlichen Gründen die seine Zugangsdaten unter dem im Mail angeführten Link zu aktualisieren. Dieser Link führt aber nicht zu offiziellen Seite der Bank sondern zu einer anderen täuschend ähnlichen Website des Betrügers. Einige Beispiele dazu sind auf der Homepage der Anti-Phishing Working Group zu finden. Sind die Daten an den Betrüger übermittelt, kann dieser damit frei über das Konto verfügen, und Überweisungen in Länder, wo ein nachträglicher Zugriff nicht mehr möglich ist, durchführen.

Die Haftungsfrage in diesem Zusammenhang ist unklar, aber prinzipiell hat der Bankkunde dafür Sorge zu tragen, dass die geheimen Zugangsdaten nicht an Dritte weitergegeben werden. In welcher Form auch immer, also egal ob mündlich oder auf elektronischem Wege. Andererseits sind Banken aber auch verpflichtet alle möglichen Sicherheitsvorkehrungen gegen Phishing zu ergreifen (vgl. www.europakonsument.at).

Wie kann man sich nun aber vor Phishing schützen? Prinzipiell sollten Phishing-Mails ignoriert werden, d.h. sofort nach Erhalt gelöscht werden. E-Mails, welche die Eingaben von Zugangsdaten einfordern, werden von Banken in der Regel nicht ausgeschickt. Wenn man sich nicht sicher ist, kann man natürlich auch bei seiner Bank nachfragen. Weiters sollte man beim Online-Banking oder anderen Tätigkeiten im Internet wo sensible Daten übertragen werden, sicher gehen, das erstens eine sichere Verbindung hergestellt wurde und zweitens ob diese auch mit dem gewünschten Partner besteht. Die sichere Verbindung wird durch das Symbol rechts unten im Browser angezeigt und durch einen Doppelklick darauf erhält man die genauen Angaben zum Sicherheitszertifikat.



So kann man sicher gehen, dass die sensiblen Daten auf dem elektronischen Weg nicht in falsche Hände geraten.

Meineserachtens ist es auch für reine Internet-Anwender von großer Bedeutung, sich nicht nur den bequemen Seiten dieses Mediums zu beschäftigen, sondern sich auch über die Risken und Gefahrens zu beschäftigen. In diesem Zusammenhang möchte ich abschliessend noch auf den Betrag von Thomas Hauzeneder verweisen.

Weiterführende Informationen zum Thema Phishing gibt es unter:
- Anti Phishing Working Group
- Fraunhofer-Institut: Studie Phishing-Schutz im Online-Banking
(die angeführten Quellen waren am 24. Nov. 2004 aktiv)