Martins key.matiq-Blog
>> Zurück zum Artikelverzeichnis >>
Vorsorge gegen Phishing und Co.
Geschrieben: 22.05.2024
Stichwörter: Angriffe, Sicherheit
Betrugsmail oder nicht? Oft schwer zu erkennen!
Der Bundesverband der Verbraucherzentralen hat eine interessante Studie in Auftrag gegeben, deren Ergebnis sehr ernst genommen werden muss: Bankkund*innen fällt es schwer, E-Mails von Internetbetrüger*innen von echten Bank-E-Mails zu unterscheiden.1.
Der Verband stellt heraus, dass damit die Praxis von Banken, ihren Kund*innen grobe Fahrlässigkeit zu unterstellen, juristisch nicht mehr haltbar sein dürfte, und damit die Banken sich ihrer Haftung für Schäden wohl nicht mehr so leicht entziehen können.2 (Und dieser Gesichtspunkt war wohl auch die Motivation für die Beauftragung der Studie.)
Für mich ist jedoch ein anderer Gesichtspunkt noch wichtiger: Was können wir für Rückschlüsse für die große Aufgabe einer Immunisierung der normalen Internetnutzer*innen gegen Phishing und Co. aus dem Ergebnis der Studie lernen?
Das Ergebnis ist gar nicht überraschend!
Hacker*innen sind ja nicht doof. Zwar versuchen sie ihre Maschen auch immer mal aus dem Ausland mit automatisch übersetzten Mails, und dann erkennt man oft das Phishing in Deutschland an dem schlechten Deutsch3, doch sie imitieren immer besser tatsächliche Schreiben von Banken und variieren diese dann an kleinen, aber entscheidenden Stellen.
Es liegt also im Wesen der Sache, dass Bankmails und Betrugsmails gar nicht so leicht unterscheidbar sind.
Nicht die Herkunft ist entscheidend, sondern der Inhalt!
Da sich gar nicht leicht entscheiden lässt, ob eine Mail von der Bank kommt oder nicht, bringt es gar nicht so viel, sich darauf zu fokussieren, ob eine Mail von der Bank kommt oder nicht4, sondern, was diese Mail inhaltlich von einem will:
Will eine Mail einen nur über irgendetwas informieren, also auf etwas hinweisen, so kann man in der Regel die Information über eine Internetrecherche verifizieren.5 Das sollte man (wenn einen die Information interessiert) dann auch tun, weil Mails (wenn sie nicht Ende-zu-Ende verschlüsselt sind) immer gelogen oder auch von Dritten verfälscht sein können.
Will eine Mail einen zu einer Handlung bewegen, heißt es immer: Vorsicht! Im Zweifel ist ein Rückruf angebracht. Nicht nur eine Rückmail, sondern eine Rückfrage über einen anderen Kommunikationskanal! Wenn es sich um eine Mail einer Hacker*in handelt, könnte diese ja auch das E-Mail-Konto der Gegenseite gehackt haben.
Aber die Handlung, zu der man bewegt werden sollte, ist ebenfalls zu überprüfen: Ist diese überhaupt zumutbar? Auch ansonsten seriöse Firmen machen durchaus mal gravierende Fehler, an denen sie auch noch glauben, festhalten zu müssen (oder einfach nur aus Lahmarschigkeit festhalten), wie wir z. B. bei der Deutschen Bahn 6, aber auch anderen 7 feststellen mussten.
D. h. man darf nicht einfach alles tun, was einem gesagt wird, sondern man sollte positiv überprüfen:
- Ist diese Handlung überhaupt sinnvoll?
- Könnte diese Handlung Schaden anrichten, wenn es sich um eine Betrüger*in handeln würde, die mich dazu auffordert (auch wenn ich mir einigermaßen sicher bin, dass es sich im konkreten Fall nicht um eine Betrüger*in handelt – aber ich bin ja auch nicht unfehlbar)
- Darf ich das überhaupt tun? Würde ich dabei evtl. Rechte Dritter verletzen?
- Kann ich das überhaupt entscheiden?
Und im Zweifelsfall heißt es immer:
- Regt mich die E-Mail auf? Beabsichtigt sie vielleicht, mich aufzuregen, um mich zu unüberlegtem Handeln zu bewegen? Solange ich aufgeregt bin, mache ich also gar nichts!
- Zuerst einmal sacken lassen, mich beruhigen, überlegen, alles überschlafen.
- Wer mich zur Eile drängt, hat auf jeden Fall Unrecht! Im digitalen Bereich darf ich nichts Unüberlegtes tun! Auch dann nicht, wenn ich selbst eine Dringlichkeit verspüre
-
Im Digitalen sollte ich mich unbedingt an Prinzipien
halten.8
Es gibt natürlich auch dort Ausnahmen, aber diese müssen wohl überlegt sein. Vor allem muss in jeder Hinsicht abgeklopft werden, ob auch wirklich kein Schaden entstehen kann. Man sollte sich auch mit anderen diesbezüglich beraten.9 - Habe ich immer noch Zweifel, so sollte es besser heißen: Nein! Das mache ich nicht!
Nicht nur E-Mails, auch SMSen, Telefonanrufe, Chatnachrichten
Auch wenn E-Mails der am häufigsten gewählte Weg für Phishing und Co. ist, so gilt das Obige für alle digitale Kommunikationskanäle. Die KI macht's möglich, dass wohl bald nicht einmal mehr Video-Anrufe von Freund*innen als sicher gewertet werden dürfen. Aber immer wird gelten: "An den Früchten werdet ihr sie erkennen." Also übersetzt: Das Anliegen, um das es geht, wird uns zeigen, ob es wirklich eine Freund*in ist oder eine Halunk*in, die etwas von uns will.
Mentales Training wehrt Überraschungsangriffe ab
Es ist schwierig, sich Obiges erst im Ernstfall in den Kopf zu rufen. Da ist man meist viel zu aufgeregt dafür.
Mit mentalem Training stellt man sich in einer ruhigen Minute mal die Situationen vor, in die man geraten könnte, wie man darauf reagieren würde. Dann liest man sich vielleicht noch einmal durch, wie man hätte reagieren sollen und überprüft die sich vorgestellten Reaktion.
Wenn man dies mehrere Male in zeitlichen Abständen macht, so wird man merken, dass man immer sicherer reagieren würde und man wird dann auch sicherer in der Reaktion.10
Beste Vorsorge: Gute Unternehmenskultur von Banken, Unternehmen und Arbeitgeber*innen
Ich habe bislang vor allem die Ansprechpartner*innen der Hacker*innen adressiert. Dies sind in der Regel Privatpersonen oder einfache Angestellte von Unternehmen. Aber oft sind bei den Angriffen andere beteiligt, die mehr Kompetenz haben sollten und deshalb auch größere Verantwortung tragen: Banken, und andere Unternehmen deren Kund*innen angegriffen werden, Unternehmen, die mit den angegriffenen Kund*innen im Geschäft stehen, Arbeitgeber*innen, deren Mitarbeiter*innen zu dubiosen Handlungen aufgefordert werden.
Hier ist wichtig, dass eine saubere Unternehmenskultur herrscht.
In einem Unternehmen, in dem es keine einsamen Entscheidungen einer Chef*in gibt, sollte ein mit KI gefälschter Telefonanruf der Chef*in an ihre Sekretär*in, dass diese ganz schnell eine hohe Überweisung ins Ausland vornimmt, zum Rückruf und zur Beratung mit der Vertreter*in der Chef*in führen.
Im Privatkund*innengeschäft sollte ein gut geführtes Unternehmen von Bonitätsüberprüfungen über Kontoeinblicke (bei denen das Kennwort für das Onlinebanking abgefragt wird) Abstand nehmen, zumindest im Regelfall.11
Grundsätzlich sollten Sicherheitsabteilungen und -expert*innen einer Firma immer bei jeder Maßnahme bedenken, wie diese aus Kund*innensicht erscheinen. Wenn diese eine Zumutung bedeutet, dann sollten sie nach besseren Alternativen suchen.
D. h. als Firma, als Mitarbeiter*in einer Sicherheitsabteilung und besonders als Mitglieder Firmenleitung habe ich eine Verantwortung, die ich nicht wegdeligieren kann, das sauber zu regeln, die Regeln sauber zu kommunizieren. und für die geeignete Fortbildung zu sorgen.
Fazit
Die Hauptarbeit in der Vorsorge betrifft die Unternehmen und Webdienste: Sie müssen weitaus mehr darauf achten, nicht fahrlässig zweifelhafte Praktiken anzuwenden, die den Internetnutzer*innen gefährliche Verhaltsweisen als "normal" suggerieren.
Aber da auf die Unternehmen und Webdienste kein Verlass ist (ja, leider muss man das so sagen), sollte man auch als Privatperson oder einfacher Angestellte*r sich gut informieren und im Zweifel auch gegenüber vermeintlich seriösen Unternehmen Vorsicht walten lassen.
1) Siehe Pressemitteilung des Bundesverbandes der Verbraucherzentralen und Studie "Bank oder Betrüger".
2) Mit der EU-Zahlungsdiensterrichtlinie PSD2 wurde die Haftung von Banken verschärft, so dass nun die Banken nur noch dann Schäden auf die Kund*innen abschieben können, wenn sie diesen grobe Fahrlässigkeit nachweisen können.
3) Auch das ist nicht so doof wie es scheint. Denn es gibt ja in Deutschland nicht nur deutsche Muttersprachler*innen. Für andere sind die kleinen Sprachfehler gar nicht so leicht erkennbar. Und: Die automatischen Übersetzungsprogramme werden immer besser.
4)
IT-Profis können oft an den Kopfzeilen einer E-Mail sehen, ob diese von
vertrauenswürdigen Stellen übermittelt wurden. Aber da gibt es einige
Fallstricke. Besser ist es, wenn Banken gar keine E-Mails verschicken, sondern
Nachrichten im Postfach des Online-Banking-Kontos ablegen.
Wenn sie dann zusätzlich eine E-Mail verschicken, die nur darauf
hinweist, dass es eine neue Nachricht im Postfach gibt, ist das OK, aber auch
nur, wenn keinerlei Link zum Online-Banking in der E-Mail enthalten ist.
(Denn da E-Mails leicht verfälscht werden könnten, könnte der Link auf eine
verfälschte Website umgebogen sein, und dann ist es nicht mehr weit zum
Abgreifen der Login-Daten. Banken und auch andere seriöse Web-Dienste sollten
daher ihre Kund*innen gar nicht erst daran gewöhnen, Links in E-Mails zu
folgen, zumindest keinen Links, die direkt oder indirekt auf Anmeldeseiten
führen. Leider gibt es aber namhafte Web-Dienste, die von dieser Regel
konsequent abweichen.)
5) Für die, die im Internet noch nicht ganz zu Hause sind: Bei der Verifikation einer Information sollte man darauf achten, dass sie möglichst von mehreren unabhängigen Quellen bestätigt wird und dass diese Quellen an einer seriösen Berichterstattung interessiert sind, d. h. es ihnen mehr um den Wahrheitsgehalt geht, als dass ihnen die Meldung in den Kram passt.
6) Siehe den Blog-Artikel "Die haben wohl alle Lack gesoffen".
7)
Z. B. habe ich sowohl die Deutsche Telekom als auch die Atruvia AG (die das
Online-Banking für die Genossenschaftsbanken und die Sparkassen entwickelt
hat) versucht, auf ein Sicherheitsproblem und eine sehr einfache
Lösungsmöglichkeit hinzuweisen. Ich bin in beiden Fällen mit einigem Aufwand
an eine Stelle gelangt, die meine Argumente gut verstanden hat und mir
versicherte, das Problem und den Lösungsvorschlag an die richtige Stelle
weiterzuleiten, doch dann ist die Sache auf dem Weg zu den zuständigen
Entwickler*innen irgendwo versandet, ohne dass ich Bescheid bekommen hätte,
warum nichts geschehen ist.
Es scheint sich um ein grundsätzliches Problem großer Firmen zu handeln, das
gemeinhin Eisberg der Ignoranz genannt wird.
8)
Ich will hier nicht den Prinzipienreiter spielen, aber ich gebe zu bedenken:
Man mache sich bewusst, dass die Katastrophe von Tschernobyl durch u. a. durch
schwerwiegende Verstöße gegen Sicherheitsvorschriften ausgelöst wurde.
Sicherheitsvorschriften (auch Sicherheitsprinzipien in der digitalen Welt)
sind in der Regel sehr gut überlegt (auch in Hinblick auf eine Vielzahl von
Szenarien). Verstöße gegen solche Vorschriften sind viel seltener so gut
überlegt, da meist im Einzelfall die Zeit und Kompetenz dazu fehlt.
9)
Bei manchen Angriffen versuchen Hacker*innen deshalb, eine Beratung des*der
Angesprochenen mit anderen zu verhindern, indem sie die Angelegenheit zur
Geheimsache erklären, z. B. wenn die Chefsekretär*in in einer angeblichen
E-Mail der Chef*in aufgefordert wird, eine dringende Überweisung zu tätigen,
darüber aber mit keiner anderen Person zu sprechen.
In einem solchen Fall: Entscheiden Sie selbst, wie zu verfahren ist. Wäre
nicht die Vize-Chef*in die richtige Ansprechpartner*in? Für jede*n gibt es
im Unternehmen einen Ersatz, eine Vertreter*in, die nicht nur eingeweiht
werden sollte, sondern eingeweiht werden muss!
10)
Das funktioniert tatsächlich.
Beim Bergsteigen gibt es z. B. die Regel, dass man bei einem Absturz am
Steilhang mit Ausbreiten der Arme das seitwärtige Rollen verhindert, irgendwie
(mit Sprüngen oder Purzelbäumen) in Bauchlage mit dem Kopf nach oben kommt und
dann das Abrutschen mit einem Liegestütz stoppt. Diese Regel kann man sowohl
praktisch (an einem kurzen schneebedeckten Abhang mit flachem Auslauf) als
auch mental (durch Vorstellung) einüben. Und letzteres hatte ich nach dem
Lesen entsprechender Hinweise dann auch gemacht.
Bei einer Bergwanderung im Firn ist mir später überraschend passiert, dass der
Weg unter mir weggebrochen ist. Nach Sekundenbruchteilen, in denen ich in
Rückenlage immer schneller nach unten glitt, erinnerte ich mich an die
Liegestütztechnik und konnte den Absturz stoppen, bevor das Schneefeld in
ein Geröllfeld überging (und ich dann wohl zumindest schlimme Verletzungen
erlitten hätte).
Ich habe später mit einem Freund das praktische Training dieser Situation an
einem ungefährlichen Schneehang mit Auslauf durchgespielt. Im ersten Versuch
kam mein Freund im Auslauf an, bevor er stoppen konnte. (Im zweiten oder
dritten Versuch schaffte er es dann aber, sich zu fangen.) Man kommt also
keineswegs auch ohne vorheriges Training im Ernstfall unbedingt auf das
richtige Verhalten.
Ich kann also mentales Training zu Vorbereitung von Situationen, in denen
es auf eine rasche, korrekte Entscheidung ankommt, nur wärmstens empfehlen.
11) Siehe nochmals den Blog-Artikel "Die haben wohl alle Lack gesoffen".