Fragen und Antworten: So kann man sich vor Online-Dieben schützen

Täuschend echt: Ein Trojaner legt eine eigene Schicht über die Webseite der Bank, ohne dass der Kunde etwas merkt. Alles sieht so aus wie immer – bis auf den Hinweis, dass versehentlich eine falsche Buchung eingegangen ist, die man zurücküberweisen soll (rot umrandet). Illustration: Sparkasse Werra-Meißner/nh

Werra-Meißner. Betrüger versuchen immer öfter, mit Hilfe von Schadsoftware über das Internet Konten leerzuräumen. Wir erklären, wie man sich vor solchen Phishing-Attacken schützen kann:

Welches Phishing-Muster wird oft angewendet? 

Laut Andrea Müller, Leiterin der Vertriebswegeentwicklung bei der VR-Bank Werra-Meißner, gehören per E-Mail eingeschmuggelte Trojaner, die dem Opfer eine Aktion „vorspielen“, zu den häufigsten Fällen. Dabei wird das Opfer aufgefordert, eine Tan einzugeben - weil angeblich das Konto gesperrt ist oder es ein Sicherheits-Update gibt.

Solche Fälle gab es auch bei der Sparkasse Werra-Meißner, so Sprecher Ulrich Siebald. Der Trojaner lege dann eine Eingabemaske wie eine Folie über die eigentliche Internetseite der Bank - für das Opfer sieht die Seite aus wie immer. Tippt man dann die Tan ein, landet die nicht bei der eigenen Bank, sondern wird von den Datendieben abgegriffen. Damit - und mit den zuvor vom Opfer selbst eingegebenen Nutzerdaten - verschaffen sie sich Zugang zum Konto und räumen es leer.

Woran kann man einen versuchten Phishing-Angriff erkennen? 

Das Problem bei den modernen Echtzeit-Trojanern ist, dass sie den Nutzern technisch vorgaukeln können, dass wirklich eine falsche Überweisung auf dem Konto gelandet ist. Im Grunde könne hier nur ein Gang zum Kontoauszug-Drucker helfen, um Kontostand und -bewegungen zu überprüfen, sagt Siebald.

Eigentlich sollte man aber schon bei E-Mails stutzig werden, die vermeintlich von einer Bank kommen und den Nutzer zum Handeln auffordert, sagt Siebald. Das würden Banken prinzipiell nicht tun. Banking-Trojaner könnten sich aber auch in anderen E-Mails verbergen.

Wie kann man sich noch vor Phishing schützen? 

Das Anti-Virenprogramm auf dem Computer sollte stets auf dem neuesten Stand sein. Zudem empfiehlt die VR-Bank, nur mit eingeschränkten Rechten statt als Administrator im Internet zu surfen. So könnten keine Trojaner installiert werden.

Mit spezieller Banking-Software kann man Überweisungen vorbereiten, ohne den Browser nutzen zu müssen. Aktuelle Trojaner können derzeit Internetseiten nur über den Browser manipulieren.

Auch der gesunde Menschenverstand hilft: Wer Online-Banking nutzt, sollte nicht leichtfertig vorgehen. Die VR-Bank rät, nur Tans einzugeben, wenn man die Überweisungen selbst erstellt hat. Bei der Nutzung von Tan-Generatoren sollte man stets prüfen, ob die eigenen Daten mit der generierten Tan übereinstimmen.

Die Polizei rät, Tans nur einzugeben, wenn eine gesicherte Verbindung besteht - erkennbar daran, dass die Adresszeile mit „https://“ beginnt. Und: „Im Browserfenster erscheint ein kleines Icon, etwa in Form eines Vorhängeschlosses, das den jeweiligen Sicherheitsstatus symbolisiert („gesichert“ bzw. „geöffnet“).“

Schließlich kann man bei der Bank die erlaubte Höhe der Online-Überweisungen begrenzen oder Überweisungen ins Ausland sperren lassen.

Ich bin Opfer von Phishing geworden. Was nun?

Man sollte sofort seine Bank informieren, mahnt Ulrich Siebald. In der Regel blieben der Bank nur 24 Stunden, um die falsche Überweisung zu stoppen. „Wenn das Geld erst einmal im Ausland ist, ist es praktisch unmöglich, es zurückzuholen.“ Haben Trojaner den Computer befallen, sollte man diese unbedingt von einem Profi entfernen lassen, rät Sparkassen-Zahlungsverkehrsspezialist Dirk Henne. Zudem sollte man bei der Bank neue Anmeldedaten anfordern und seine Passwörter ändern.

Wie viel Geld erbeuten die Täter in der Regel? 

Weder VR-Bank noch Sparkasse nennen genaue Schadenssummen, weil sich diese meist nach dem Kontostand der Opfer richten. Es sei aber keine Seltenheit, dass Fehlbuchungen zwischen 8000 und 10 000 Euro vorgegaukelt werden, sagt Ulrich Siebald. Generell könne aber nur so viel Geld abgehoben werden, wie der Dispo-Kredit es zulässt.

Die Hintermänner der Phi-shing-Attacken sitzen meist im Ausland. Sollte man trotzdem die Polizei einschalten?

„Die Anzeige ist notwendig, um den Schadensfall über die Versicherung der Bank abzuwickeln“, erklärt Polizeisprecher Reiner Lingner. Im Versicherungsfall kann aber eine Selbstbeteiligung des Kunden anfallen, warnt die VR-Bank. Und auch Dirk Henne von der Sparkasse mahnt: „Der Kunde ist verpflichtet, einen sicheren PC zu haben.“ Nur kritische, aufgeklärte Kunden sollten Online-Banking nutzen.

Von Friederike Steensen 

Weitere Tipps finden Sie hier.

Das könnte Sie auch interessieren

Kommentare