1. NRW
  2. Wuppertal

Telefonaktion zu Cyberkriminalität: Phishing-Mails sehen oft echt aus

Telefonaktion zu Kriminalität im Netz : Phishing-Mails sehen oft täuschend echt aus

Polizei und Verbraucherzentrale haben am Dienstag Fragen rund um die Themen Passwörter, Cyberkriminelle und dubiose Mails beantwortet. Klar ist: Sicherheit geht nur mit Fleiß.

Ihre Tochter habe die Vermutung, dass ihr E-Mail-Konto gehackt wurde, teilte eine Anruferin bei der Telefonaktion zu mehr Sicherheit im digitalen Raum ihre Sorge mit den Experten. Ein Online-Händler hätte ihr Waren zugeschickt, die sie nicht bestellt habe. Zwei Stunden standen Kriminalhauptkommissar Andreas Bredemeier (55) von der Polizei NRW und Michelle Schüler-Holdstein (41), die in der Beratungsstelle der Verbraucherzentrale in Wuppertal als Fachberaterin für Datenschutz in der digitalen Welt zuständig ist, den Anrufern am Dienstagnachmittag Rede und Antwort.

Bredemeier empfahl, dass die Tochter Strafanzeige bei der Polizei erstattet. Dafür solle sie am besten die Rechnung mit der unberechtigten Forderung und den Kontoauszug mitbringen. Sonst könnte es sein, dass sie auf diesen und den Kosten, die noch dazukommen könnten, sollte sich ihre Vermutung bewahrheiten, sitzen bleibe. Die Bestätigung der Anzeige könne dann beim Verkäufer gemeldet werden.

„Wenn ihre Tochter nichts macht und Pech hat, könnte in zwei, drei Wochen das Inkassounternehmen vor ihrer Tür stehen“, erklärte der Experte, der bei der Polizei NRW für Kriminalprävention und Opferschutz zuständig ist. Es sei besser, sofort zu handeln, wenn einem etwas in der Online-Aktivität suspekt erscheint.

Michelle Schüler-Holdstein erzählt von Fällen, die ihr in ihrer Tätigkeit bekannt geworden sind: bei denen sich Betrüger mit fremden Kundendaten Waren an Paketshops liefern ließen und sie mit gefälschten Vollmachten abholten. „Der Betrug fällt leider zumeist erst auf, wenn die Opfer einen Brief vom Inkassounternehmen im Briefkasten haben“, sagt die Fachberaterin. Um zu überprüfen, ob ein E-Mail-Konto gehackt wurde, empfiehlt sie, der Internetseite des Hasso-Plattner-Instituts (HPI) einen Besuch abzustatten. Mit dem „Identity Leak Checker“ könne kostenlos überprüft werden, ob das E-Mail-Konto schon in die Fänge von Kriminellen geraten ist.

Wie oft solle man denn sein Passwort ändern, wollte eine andere Anruferin wissen. Bredemeier antwortete, dass wichtiger als das häufige Ändern des Passworts sei, dass es lang und sicher ist. Zehn bis zwölf Zeichen sollte es mindestens haben und aus Klein- sowie Großbuchstaben, Zahlen und Sonderzeichen bestehen. Die Frau erklärte, sie habe nur ein „normales Wort“ als Passwort. Bredemeier warnte, dass dieses von einem Passwortgenerator sehr leicht geknackt werden könne. Ob sie gerne Sport treibe, wollte er wissen. Die Frau klang etwas irritiert, als sie meinte, dass sie zweimal in der Woche Nordic Walking macht. „Zwei bis drei Mal pro Woche mache ich Nordic Walking“, wiederholte Bredemeier und gab ihr das Passwort vor: „2-3×pWmiNW“. Dieses Passwort sei schon deutlich besser als ein Wort, das man im Duden findet. Und dank der Eselsbrücke sei es ebenso leicht zu merken. Auch wies der Kriminalhauptkommissar darauf hin, dass für verschiedene Dienste im Internet unterschiedliche Passwörter verwendet werden sollten. „Natürlich ist es einfacher, wenn man nur ein oder zwei einfache Passwörter hat, das kann aber auch nach hinten losgehen“, so der Experte. „Bequemlichkeit und Sicherheit passen nicht zusammen.“

Eine Anruferin war sich unsicher, ob sie die richtige Entscheidung getroffen hat, als sie ihrem Telefonanbieter erlaubte, sich als Kundin über ihre Stimme zu identifizieren. Diese Sorge konnte Bredemeier ihr nehmen. Die Stimme zusammen mit der Rufnummer seien ein „guter Schutz“. Generell plädiere er für die sogenannte Zwei-Faktor-Authentifizierung (2FA). Dies bedeutet, dass zusätzlich zum Passwort noch ein weiterer Sicherheitsaspekt vom beispielsweise Online-Händler abgefragt wird. Das könne so aussehen, dass beim Login das persönliche Passwort vom Nutzer eingegeben wird und er anschließend einen Zugangscode auf das Smartphone geschickt bekommt, den er eintippen muss. „Aktivieren Sie unbedingt dieses Verfahren, um auf Nummer sicher zu gehen“, appellierte Bredemeier.

2FA könne aber auch über die Gesichtserkennung oder die Stimmverifikationen übers Mikrofon laufen. In der Corona-Zeit haben Online-Einkäufe zugenommen, deswegen müsse man wachsam sein. Eine andere Anruferin wollte bei der Telefonaktion gerne wissen, wie man Phishing-Mails erkennt, also gefälschte E-Mails, bei denen versucht wird, den Empfängern wichtige Daten zu stehlen.

Phishing-Mails sind professioneller geworden

Andreas Bredemeier musste aus seinen Erfahrungen im Berufsalltag zugestehen, dass diese Phishing-Mails in letzter Zeit immer professioneller geworden sind. Habe man sie vorher noch sehr leicht identifizieren können, etwa aufgrund der merkwürdigen Wortwahl oder falschen Grammatik, oder auch dadurch, dass Gepflogenheiten im formellen Schriftverkehr missachtet wurden, wie zum Beispiel dass die Adressaten geduzt wurden, ist es heutzutage nicht mehr so leicht, den Cyber-Kriminellen auf die Schliche zu kommen. „Leider kann man diese E-Mails häufig nicht mehr vom Original unterscheiden“, bedauert Bredemeier. Generell solle man seinem Bauchgefühl vertrauern. „Erwarte ich von meiner Bank eine E-Mail?“, könne zum Beispiel eine Frage lauten, die man sich stellen sollte. Auch sei es ratsam, sich den Absender genauer anzusehen. Wenn man die Vermutung habe, dass etwas nicht in Ordnung ist: lieber die E-Mail gleich löschen. Als Grundregel ließe sich festhalten, dass Kreditinstitute, die häufig als Absender von Kriminellen genutzt werden, niemals ihre Kunden auffordern würden, irgendetwas in den E-Mails anzuklicken oder sich mit vertraulichen Daten zu authentifizieren.

Bei der Polizei NRW sei man sogar dazu übergegangen, auch die Vorschaufenster der ankommenden E-Mails auszuschalten: also ein Klick links auf die E-Mail offenbart nicht mehr im rechten Seitenfenster deren Inhalt. „Das reicht manchmal schon als Schlupfloch für Malware aus“, weiß der Experte. Die Schadsoftware könne dann Schaden am heimischen PC anrichten.

Michelle Schüler-Holdstein ist trotz der zunehmenden Verbreitung von Cyber-Kriminalität froh, dass auch die Bürger wachsamer und sensibler bei Risiken im Internet geworden sind, und bei Fragen Hilfe von Experten einholen. „Das ist richtig und wichtig“, betont die Expertin.