Wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) mitteilt, haben Identitätsdiebstahl und Identitäts­miss­brauch in Besorgnis erregendem Ausmaß zugenommen. Diese Vorgehensweisen von Online-Betrügern haben die bisherigen Phishing-Methoden abgelöst. Akut gefährdet sind sowohl Unter­nehmen als auch Privatpersonen. Nach einer Untersuchung der Schufa sind bereits 15 % aller deutschen Internetnutzer geschädigt worden. Der jüngste Fall des 16-millionenfachen Identitätsdiebstahls belegt das immense Gefahrenpotenzial.

Neu: Trojanerbefall im „Vorbeisurfen”

Identitätsdiebstahl basiert darauf, dass ein Angreifer eine falsche Identität vortäuscht und diese zu kriminellen Zwecken missbraucht. Zur Tatausführung werden sensible Daten wie Geburtsdatum, Anschrift, Passwörter sowie Kreditkarten und Kontonummern illegal beschafft.

Anders als beim Phishing werden Betroffene nicht mehr auf bestimmte Seiten gelockt, auf der PIN oder TAN abgefragt wurden. Stattdessen fangen sich die Angegriffenen einen Trojaner quasi im „Drive-by”-Verfahren, also im „Vorbeisurfen” ein: Beim Betrachten bestimmter Websites werden die Schadprogramme unbemerkt auf dem jeweiligen Rechner installiert. Dabei handelt es sich keinesfalls nur um „Schmuddel-Seiten”, zunehmend werden explizit auch seriöse Internetangebote von kriminellen Angreifern gehackt.

Dieser Trojanerbefall wird durch das automatisierte Ausnutzen von Schwachstellen im Browser, in Browser-Plugins oder im Betriebssystem ermöglicht. Einmal installiert, liest das Schadprogramm sämtliche sensiblen Daten aus und leitet sie an eigens eingerichtete so genannte Dropzones weiter.

Weiterhin betroffen: E-Mail-Anhänge

Aber auch heute noch werden Trojaner der genannten Art ganz klassisch über E-Mail-Anhänge verbreitet. Sobald diese geöffnet werden, installiert sich ein Schadprogramm, das – wie oben dargestellt – die sensiblen Daten ausspäht.

Risiko: Wirtschaftliche Verluste und Rufschädigung

Das Risiko dieser Attacken liegt für die Betroffenen nicht nur darin, dass die Angreifer unter fremden Namen und auf fremde Rechnung im Online-Handel Bestellungen vornehmen oder Banküberweisungen veranlassen. Es besteht auch darin, die Opfer, die über die Identität ihres Kommunikations­partners getäuscht wurden, dazu zu bringen, sicherheitsempfindliche Informationen zu offenbaren. Beabsichtigen die Täter eine Rufschädigung, können sie durch den gezielten Besuch indizierter Seiten (zum Beispiel kinderpornografischer oder religiös/politisch extremistischer Seiten) unter falschem Namen eine kaum noch zu revidierende nachteilige Wirkung für das Opfer erzielen.

Auch E-Mails unter „falscher Flagge” begründen ein erhebliches Risiko. „Gerade das E-Mail-Konto stellt bei vielen Nutzern den zentralen Vertrauensanker für viele andere Aktivitäten im Internet dar, sodass darüber leicht weitere Zugangsdaten erlangt werden können”, so der Präsident des BSI, Michael Hange.

Praxishinweise

Zur Abwehr von Identitätsdiebstahl und Identitätsmissbrauch sind folgende Schritte zu empfehlen:

• Datensparsamkeit: Nie das Geburtsdatum in sozialen Netzwerken oder gegenüber unbekannten Dritten preisgeben. Ohne ausgespähtes Geburtsdatum gelingt der Identitätsdiebstahl nicht.
• Ein sicheres Passwort für das E-Mail-Konto wählen. Sicher ist nur ein genügend langes Passwort (mindestens acht Zeichen), das aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen besteht. Nach dem Anmelden zum E-Mail-Konto immer über den vorgesehenen Button abmelden, den Account nicht einfach schließen. Anschließend den Browser-Cache löschen. Passwort regelmäßig wechseln.
• Vor Anmeldungen immer anhand der Adresse in der Adresszeile prüfen, ob das die richtige Seite ist.
• Nur Internetangebote mit verschlüsselter Anmeldung nutzen (https://…).
• Regelmäßig die Kontoauszüge kontrollieren.
• Beim geringsten Verdacht Online-Banking sperren. Bei anderen Diensten Passwort ändern.

Zum Schutz vor Cyberkriminalität haben BSI und Polizei außerdem die folgenden Hinweise veröffentlicht:

• Setzen Sie eine Firewall und Virenschutzsoftware ein und bringen Sie diese regelmäßig auf den aktuellen Stand. Achten Sie darauf, dass Sie auch beim Betriebssystem und bei anderen von Ihnen eingesetzten Programmen (wie z. B. Adobe Reader, Flash etc.) vom Hersteller bereitgestellte Sicherheitsupdates zeitnah installieren oder nutzen Sie automatische Update-Dienste.
• Öffnen Sie niemals ungeprüft Dateianhänge von E-Mails. Ganz gleich, ob es sich um scheinbar ungefährliche Dateien wie Bilder, Dokumente oder sonstige Dateien handelt. Wenn Sie unsicher sind, fragen Sie sicherheitshalber beim Absender nach.
• Oft verraten sich virenbehaftete E-Mails durch einen Betreff, der den Adressaten neugierig machen soll (z. B. mit Begriffen aus dem Erotikbereich, zu aktuellen Promi-Skandalen oder Katastrophen).
• Seien Sie misstrauisch, wenn Sie E-Mails von angeblichen Bekannten ohne oder mit fremdsprachigem Betreff erhalten. Wenn Sie solche E-Mails unaufgefordert erhalten, sollten Sie diese sofort löschen.
• Seien Sie besonders kritisch in Bezug auf ausführbare Programm-Dateien mit den Endungen .exe, aber auch .bat, .com oder .vbs und insbesondere bei doppelten Dateiendungen wie .doc.exe. Damit der Dateityp zu sehen ist, sollten Sie die Standardkonfiguration ihres Rechners entsprechend ändern (im Windows-Explorer unter „Extras – Ordneroptionen – Ansicht – Erweiterte Einstellungen – Dateien und Ordner” das Häkchen vor „Erweiterungen bei bekannten Dateitypen ausblenden” entfernen).
• Stellen Sie die Sicherheitseinstellungen Ihres E-Mail-Prog­ramms­ so ein, dass kein Script automatisch ausgeführt wird.
• Kontaktieren Sie Ihre Bank oder Ihren Geschäftspartner, wenn Sie befürchten, dass Sie einem Phishing-Angriff zum Opfer gefallen sind! Die für Sicherheitsfragen zuständigen Mitarbeiter können den Vorfall verfolgen und prüfen, ob Schaden entstanden ist. Falls tatsächlich bereits Summen unberechtigt überwiesen worden sind, wenden Sie sich bitte umgehend an die Polizei.
• Obgleich klassisches Phishing immer weniger zu beobachten ist: Vermeiden Sie es, auf Links in unaufgefordert zugesandten E-Mails zu klicken. Diese können zu gefälschten oder infizierten Webseiten führen. Aktivieren Sie den Phishing-Schutz in Ihrem Webbrowser.