Die jetzt in Kraft getretene EU-Datenschutzgrundverordnung (DSGVO) ruft verstärkt Kriminelle auf den Plan: Das Bundesamt für Sicherheit in Informationstechnik (BSI) warnt vor Betrügern, die mit gefälschten Mails versuchen an persönliche Informationen zu gelangen.
Dazu nutzen sie die Tatsache, dass derzeit viele seriöse Unternehmen ihre neuen Nutzungsbedingungen vorstellen und darum bitten, diese zu bestätigen. Als derartige Mails tarnen dann die Betrüger ihre Post und versenden unter anderem im Namen von Unternehmen wie Amazon und Paypal wie auch von namhaften Banken. Die DSGVO wird in solchen Phishing-Mails als Grund genannt, jetzt Nutzerdaten zu bestätigen und persönliche Daten preiszugeben. Das BSI berichtet in diesem Zusammenhang sogar von Fällen, in denen Opfer dazu gebracht wurden, Ausweise einzuscannen und an den Absender zu versenden. Die Behörde weist eindringlich darauf hin, dass seriöse Unternehmen eine solche Vorgehensweise niemals anwenden würden. IT-Verantwortliche sollten daher die Mitarbeiter in Gesundheitseinrichtungen dringend darauf hinweisen, solche Mails direkt zu löschen und keinesfalls persönliche Daten preiszugeben.
Um sich vor Phishing-Betrügern zu schützen, sollten E-Mails stets kritisch hinsichtlich Absender, Inhalt und Links geprüft werden. Die Datenschutz-Experten der Verbraucherzentrale NRW haben einen so genannten Phishing Radar veröffentlicht. In dieser Liste sind die deutlichsten Merkmale von Phishing-Mails zusammengefasst. Ein deutlicher Hinweis auf eine Phishing-Mail sind demnach Grammatik- und Orthografie-Fehler. In fehlerhaftem Deutsch geschriebene E-Mails sind häufig mit einem Übersetzungsdienst aus einer anderen Sprache übersetzt worden. Ein weiterer Hinweis auf solche E-Mails sind Zeichensatzfehler, wie etwa kyrillische Buchstaben oder auch fehlende Umlaute.
Ebenfalls schnell als Phishing zu erkennen sind E-Mails, die auf Englisch oder Französisch verfasst sind und die Eingabe persönlicher Daten fordern. Dieser Hinweis gilt zumindest für alle, die keine Beziehung zu internationalen Geschäftspartnern pflegen, keine entsprechenden Newsletter abonniert haben oder Kunde einer Bank mit Sitz im Ausland sind.
Die eigene Bank und andere Geschäftspartner wie zum Beispiel Online-Zahlungsdienste sprechen ihre Kunden übrigens in E-Mails grundsätzlich mit Ihrem Namen an und niemals mit „Sehr geehrter Kunde“ oder „sehr geehrter Nutzer“. Allerdings ist raffinierten Phishing-Täter durchaus bereits gelungen, ihre Opfer mit deren korrekten Namen anzusprechen.
Keine-Passwort-Abfrage in DSGVO-Mails
Wer in einer via E-Mail aufgefordert wird, dringend und innerhalb einer bestimmten (kurzen) Frist zu handeln, sollte stutzig werden. Das gilt Insbesondere dann, wenn diese Aufforderung mit einer Drohung verbunden ist. Die Aufforderung, persönliche Daten und Zugangsdaten ist ein weiterer Hinweis. Gleiches gilt auch für PIN oder TAN, die von Banken und Online-Zahlungsdienste nicht per E-Mail eingefordert werden.
In immer mehr Phishing-E-Mails werden die Empfänger zum Öffnen einer Datei aufgefordert, die sich im Anhang der E-Mail befindet oder über einen Link erreichbar ist. Solchen Aufforderungen sollten Anwender vor allem bei unerwarteten Mails keinesfalls nachkommen. Oft enthält eine derartige Datei gefährliche Schadsoftware wie einen Virus oder ein trojanisches Pferd.
In der Regel versenden Banken keine E-Mails, sondern Briefe. Banken und andere Dienstleister versenden nur in Ausnahmefällen E-Mails mit Links, auf die der Empfänger klicken soll. In solchen Mails geht es beispielsweise um neue AGBs, niemals aber um das Einloggen in das Kundenkonto. Wer auch ansonsten keine E-Mails von seiner Bank erhält, sollte die Mail am besten löschen. Gleiches gilt bei der elektronischen Kontaktaufnahme von Dienstleistern mit dem keine Geschäftsbeziehung besteht.
Nicht blenden lassen
Manche Phishing-Mails sind sehr gut gemacht und daher nicht einfach zu erkennen. Die Absender-E-Mailadresse scheint vertrauenswürdig, der Link im Text auch, das Deutsch ist flüssig? Trotzdem raten die Experten zur Vorsicht. Denn auch Absenderangaben von E-Mails lassen sich fälschen. Klarheit schafft oft ein Blick in den so genannten Mail-Header. Dort steht die IP-Adresse des Absenders. Nur diese Adresse ist fälschungssicher und gibt Aufschluss über den tatsächlichen Absender.