Martins key.matiq-Blog

>> Zurück zum Artikelverzeichnis >>


Vorsorge gegen Phishing und Co.

Geschrieben: 22.05.2024
Stichwörter: Angriffe, Sicherheit

Betrugsmail oder nicht? Oft schwer zu erkennen!

Der Bundesverband der Verbraucherzentralen hat eine interessante Studie in Auftrag gegeben, deren Ergebnis sehr ernst genommen werden muss: Bankkund*innen fällt es schwer, E-Mails von Internetbetrüger*innen von echten Bank-E-Mails zu unterscheiden.1.

Der Verband stellt heraus, dass damit die Praxis von Banken, ihren Kund*innen grobe Fahrlässigkeit zu unterstellen, juristisch nicht mehr haltbar sein dürfte, und damit die Banken sich ihrer Haftung für Schäden wohl nicht mehr so leicht entziehen können.2 (Und dieser Gesichtspunkt war wohl auch die Motivation für die Beauftragung der Studie.)

Für mich ist jedoch ein anderer Gesichtspunkt noch wichtiger: Was können wir für Rückschlüsse für die große Aufgabe einer Immunisierung der normalen Internetnutzer*innen gegen Phishing und Co. aus dem Ergebnis der Studie lernen?

Das Ergebnis ist gar nicht überraschend!

Hacker*innen sind ja nicht doof. Zwar versuchen sie ihre Maschen auch immer mal aus dem Ausland mit automatisch übersetzten Mails, und dann erkennt man oft das Phishing in Deutschland an dem schlechten Deutsch3, doch sie imitieren immer besser tatsächliche Schreiben von Banken und variieren diese dann an kleinen, aber entscheidenden Stellen.

Es liegt also im Wesen der Sache, dass Bankmails und Betrugsmails gar nicht so leicht unterscheidbar sind.

Nicht die Herkunft ist entscheidend, sondern der Inhalt!

Da sich gar nicht leicht entscheiden lässt, ob eine Mail von der Bank kommt oder nicht, bringt es gar nicht so viel, sich darauf zu fokussieren, ob eine Mail von der Bank kommt oder nicht4, sondern, was diese Mail inhaltlich von einem will:

Will eine Mail einen nur über irgendetwas informieren, also auf etwas hinweisen, so kann man in der Regel die Information über eine Internetrecherche verifizieren.5 Das sollte man (wenn einen die Information interessiert) dann auch tun, weil Mails (wenn sie nicht Ende-zu-Ende verschlüsselt sind) immer gelogen oder auch von Dritten verfälscht sein können.

Will eine Mail einen zu einer Handlung bewegen, heißt es immer: Vorsicht! Im Zweifel ist ein Rückruf angebracht. Nicht nur eine Rückmail, sondern eine Rückfrage über einen anderen Kommunikationskanal! Wenn es sich um eine Mail einer Hacker*in handelt, könnte diese ja auch das E-Mail-Konto der Gegenseite gehackt haben.

Aber die Handlung, zu der man bewegt werden sollte, ist ebenfalls zu überprüfen: Ist diese überhaupt zumutbar? Auch ansonsten seriöse Firmen machen durchaus mal gravierende Fehler, an denen sie auch noch glauben, festhalten zu müssen (oder einfach nur aus Lahmarschigkeit festhalten), wie wir z. B. bei der Deutschen Bahn 6, aber auch anderen 7 feststellen mussten.

D. h. man darf nicht einfach alles tun, was einem gesagt wird, sondern man sollte positiv überprüfen:

  • Ist diese Handlung überhaupt sinnvoll?
  • Könnte diese Handlung Schaden anrichten, wenn es sich um eine Betrüger*in handeln würde, die mich dazu auffordert (auch wenn ich mir einigermaßen sicher bin, dass es sich im konkreten Fall nicht um eine Betrüger*in handelt – aber ich bin ja auch nicht unfehlbar)
  • Darf ich das überhaupt tun? Würde ich dabei evtl. Rechte Dritter verletzen?
  • Kann ich das überhaupt entscheiden?

Und im Zweifelsfall heißt es immer:

  • Regt mich die E-Mail auf? Beabsichtigt sie vielleicht, mich aufzuregen, um mich zu unüberlegtem Handeln zu bewegen? Solange ich aufgeregt bin, mache ich also gar nichts!
  • Zuerst einmal sacken lassen, mich beruhigen, überlegen, alles überschlafen.
  • Wer mich zur Eile drängt, hat auf jeden Fall Unrecht! Im digitalen Bereich darf ich nichts Unüberlegtes tun! Auch dann nicht, wenn ich selbst eine Dringlichkeit verspüre
  • Im Digitalen sollte ich mich unbedingt an Prinzipien halten.8
    Es gibt natürlich auch dort Ausnahmen, aber diese müssen wohl überlegt sein. Vor allem muss in jeder Hinsicht abgeklopft werden, ob auch wirklich kein Schaden entstehen kann. Man sollte sich auch mit anderen diesbezüglich beraten.9
  • Habe ich immer noch Zweifel, so sollte es besser heißen: Nein! Das mache ich nicht!

Nicht nur E-Mails, auch SMSen, Telefonanrufe, Chatnachrichten

Auch wenn E-Mails der am häufigsten gewählte Weg für Phishing und Co. ist, so gilt das Obige für alle digitale Kommunikationskanäle. Die KI macht's möglich, dass wohl bald nicht einmal mehr Video-Anrufe von Freund*innen als sicher gewertet werden dürfen. Aber immer wird gelten: "An den Früchten werdet ihr sie erkennen." Also übersetzt: Das Anliegen, um das es geht, wird uns zeigen, ob es wirklich eine Freund*in ist oder eine Halunk*in, die etwas von uns will.

Mentales Training wehrt Überraschungsangriffe ab

Es ist schwierig, sich Obiges erst im Ernstfall in den Kopf zu rufen. Da ist man meist viel zu aufgeregt dafür.

Mit mentalem Training stellt man sich in einer ruhigen Minute mal die Situationen vor, in die man geraten könnte, wie man darauf reagieren würde. Dann liest man sich vielleicht noch einmal durch, wie man hätte reagieren sollen und überprüft die sich vorgestellten Reaktion.

Wenn man dies mehrere Male in zeitlichen Abständen macht, so wird man merken, dass man immer sicherer reagieren würde und man wird dann auch sicherer in der Reaktion.10

Beste Vorsorge: Gute Unternehmenskultur von Banken, Unternehmen und Arbeitgeber*innen

Ich habe bislang vor allem die Ansprechpartner*innen der Hacker*innen adressiert. Dies sind in der Regel Privatpersonen oder einfache Angestellte von Unternehmen. Aber oft sind bei den Angriffen andere beteiligt, die mehr Kompetenz haben sollten und deshalb auch größere Verantwortung tragen: Banken, und andere Unternehmen deren Kund*innen angegriffen werden, Unternehmen, die mit den angegriffenen Kund*innen im Geschäft stehen, Arbeitgeber*innen, deren Mitarbeiter*innen zu dubiosen Handlungen aufgefordert werden.

Hier ist wichtig, dass eine saubere Unternehmenskultur herrscht.

In einem Unternehmen, in dem es keine einsamen Entscheidungen einer Chef*in gibt, sollte ein mit KI gefälschter Telefonanruf der Chef*in an ihre Sekretär*in, dass diese ganz schnell eine hohe Überweisung ins Ausland vornimmt, zum Rückruf und zur Beratung mit der Vertreter*in der Chef*in führen.

Im Privatkund*innengeschäft sollte ein gut geführtes Unternehmen von Bonitätsüberprüfungen über Kontoeinblicke (bei denen das Kennwort für das Onlinebanking abgefragt wird) Abstand nehmen, zumindest im Regelfall.11

Grundsätzlich sollten Sicherheitsabteilungen und -expert*innen einer Firma immer bei jeder Maßnahme bedenken, wie diese aus Kund*innensicht erscheinen. Wenn diese eine Zumutung bedeutet, dann sollten sie nach besseren Alternativen suchen.

D. h. als Firma, als Mitarbeiter*in einer Sicherheitsabteilung und besonders als Mitglieder Firmenleitung habe ich eine Verantwortung, die ich nicht wegdeligieren kann, das sauber zu regeln, die Regeln sauber zu kommunizieren. und für die geeignete Fortbildung zu sorgen.

Fazit

Die Hauptarbeit in der Vorsorge betrifft die Unternehmen und Webdienste: Sie müssen weitaus mehr darauf achten, nicht fahrlässig zweifelhafte Praktiken anzuwenden, die den Internetnutzer*innen gefährliche Verhaltsweisen als "normal" suggerieren.

Aber da auf die Unternehmen und Webdienste kein Verlass ist (ja, leider muss man das so sagen), sollte man auch als Privatperson oder einfacher Angestellte*r sich gut informieren und im Zweifel auch gegenüber vermeintlich seriösen Unternehmen Vorsicht walten lassen.

 

1) Siehe Pressemitteilung des Bundesverbandes der Verbraucherzentralen und Studie "Bank oder Betrüger".

2) Mit der EU-Zahlungsdiensterrichtlinie PSD2 wurde die Haftung von Banken verschärft, so dass nun die Banken nur noch dann Schäden auf die Kund*innen abschieben können, wenn sie diesen grobe Fahrlässigkeit nachweisen können.

3) Auch das ist nicht so doof wie es scheint. Denn es gibt ja in Deutschland nicht nur deutsche Muttersprachler*innen. Für andere sind die kleinen Sprachfehler gar nicht so leicht erkennbar. Und: Die automatischen Übersetzungsprogramme werden immer besser.

4) IT-Profis können oft an den Kopfzeilen einer E-Mail sehen, ob diese von vertrauenswürdigen Stellen übermittelt wurden. Aber da gibt es einige Fallstricke. Besser ist es, wenn Banken gar keine E-Mails verschicken, sondern Nachrichten im Postfach des Online-Banking-Kontos ablegen.
Wenn sie dann zusätzlich eine E-Mail verschicken, die nur darauf hinweist, dass es eine neue Nachricht im Postfach gibt, ist das OK, aber auch nur, wenn keinerlei Link zum Online-Banking in der E-Mail enthalten ist. (Denn da E-Mails leicht verfälscht werden könnten, könnte der Link auf eine verfälschte Website umgebogen sein, und dann ist es nicht mehr weit zum Abgreifen der Login-Daten. Banken und auch andere seriöse Web-Dienste sollten daher ihre Kund*innen gar nicht erst daran gewöhnen, Links in E-Mails zu folgen, zumindest keinen Links, die direkt oder indirekt auf Anmeldeseiten führen. Leider gibt es aber namhafte Web-Dienste, die von dieser Regel konsequent abweichen.)

5) Für die, die im Internet noch nicht ganz zu Hause sind: Bei der Verifikation einer Information sollte man darauf achten, dass sie möglichst von mehreren unabhängigen Quellen bestätigt wird und dass diese Quellen an einer seriösen Berichterstattung interessiert sind, d. h. es ihnen mehr um den Wahrheitsgehalt geht, als dass ihnen die Meldung in den Kram passt.

6) Siehe den Blog-Artikel "Die haben wohl alle Lack gesoffen".

7) Z. B. habe ich sowohl die Deutsche Telekom als auch die Atruvia AG (die das Online-Banking für die Genossenschaftsbanken und die Sparkassen entwickelt hat) versucht, auf ein Sicherheitsproblem und eine sehr einfache Lösungsmöglichkeit hinzuweisen. Ich bin in beiden Fällen mit einigem Aufwand an eine Stelle gelangt, die meine Argumente gut verstanden hat und mir versicherte, das Problem und den Lösungsvorschlag an die richtige Stelle weiterzuleiten, doch dann ist die Sache auf dem Weg zu den zuständigen Entwickler*innen irgendwo versandet, ohne dass ich Bescheid bekommen hätte, warum nichts geschehen ist.
Es scheint sich um ein grundsätzliches Problem großer Firmen zu handeln, das gemeinhin Eisberg der Ignoranz genannt wird.

8) Ich will hier nicht den Prinzipienreiter spielen, aber ich gebe zu bedenken:
Man mache sich bewusst, dass die Katastrophe von Tschernobyl durch u. a. durch schwerwiegende Verstöße gegen Sicherheitsvorschriften ausgelöst wurde.
Sicherheitsvorschriften (auch Sicherheitsprinzipien in der digitalen Welt) sind in der Regel sehr gut überlegt (auch in Hinblick auf eine Vielzahl von Szenarien). Verstöße gegen solche Vorschriften sind viel seltener so gut überlegt, da meist im Einzelfall die Zeit und Kompetenz dazu fehlt.

9) Bei manchen Angriffen versuchen Hacker*innen deshalb, eine Beratung des*der Angesprochenen mit anderen zu verhindern, indem sie die Angelegenheit zur Geheimsache erklären, z. B. wenn die Chefsekretär*in in einer angeblichen E-Mail der Chef*in aufgefordert wird, eine dringende Überweisung zu tätigen, darüber aber mit keiner anderen Person zu sprechen.
In einem solchen Fall: Entscheiden Sie selbst, wie zu verfahren ist. Wäre nicht die Vize-Chef*in die richtige Ansprechpartner*in? Für jede*n gibt es im Unternehmen einen Ersatz, eine Vertreter*in, die nicht nur eingeweiht werden sollte, sondern eingeweiht werden muss!

10) Das funktioniert tatsächlich.
Beim Bergsteigen gibt es z. B. die Regel, dass man bei einem Absturz am Steilhang mit Ausbreiten der Arme das seitwärtige Rollen verhindert, irgendwie (mit Sprüngen oder Purzelbäumen) in Bauchlage mit dem Kopf nach oben kommt und dann das Abrutschen mit einem Liegestütz stoppt. Diese Regel kann man sowohl praktisch (an einem kurzen schneebedeckten Abhang mit flachem Auslauf) als auch mental (durch Vorstellung) einüben. Und letzteres hatte ich nach dem Lesen entsprechender Hinweise dann auch gemacht.
Bei einer Bergwanderung im Firn ist mir später überraschend passiert, dass der Weg unter mir weggebrochen ist. Nach Sekundenbruchteilen, in denen ich in Rückenlage immer schneller nach unten glitt, erinnerte ich mich an die Liegestütztechnik und konnte den Absturz stoppen, bevor das Schneefeld in ein Geröllfeld überging (und ich dann wohl zumindest schlimme Verletzungen erlitten hätte).
Ich habe später mit einem Freund das praktische Training dieser Situation an einem ungefährlichen Schneehang mit Auslauf durchgespielt. Im ersten Versuch kam mein Freund im Auslauf an, bevor er stoppen konnte. (Im zweiten oder dritten Versuch schaffte er es dann aber, sich zu fangen.) Man kommt also keineswegs auch ohne vorheriges Training im Ernstfall unbedingt auf das richtige Verhalten.
Ich kann also mentales Training zu Vorbereitung von Situationen, in denen es auf eine rasche, korrekte Entscheidung ankommt, nur wärmstens empfehlen.

11) Siehe nochmals den Blog-Artikel "Die haben wohl alle Lack gesoffen".


>> Zurück zum Artikelverzeichnis >>