Bundesamt für Sicherheit in der Informationstechnik

Weihnachtszeit ist Phishing-Zeit

BSI weist auf Gefahr von Cyber-Angriffen beim Online-Shopping hin

Ort Bonn
Datum 07.12.2015

Online-Shopping ist gerade zur Weihnachtszeit sehr beliebt - auch bei Cyber-Kriminellen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist aus diesem Grund auf wichtige Schutzmaßnahmen für Einkäufe im Internet hin. Während der Handelsverband Deutschland (HDE) in diesem Jahr einen Online-Weihnachtsumsatz von 11,2 Milliarden Euro prognostiziert, wächst mit den steigenden Umsatzzahlen auch die Gefahr von Cyber-Angriffen und Phishing-Attacken. So nutzen Cyber-Kriminelle das Weihnachtsgeschäft aus, um mit Phishing-Angriffen Adressen, Passwörter und Kontonummern von unachtsamen Nutzern zu stehlen. Denn in der Vorweihnachtszeit sind die Postfächer voll mit Sonderverkäufen und Angeboten und bieten so die perfekte Tarnung für Phishing-Mails. Nach einer Studie des Deutschen Instituts für Wirtschaftsforschung (DIW) soll Internetkriminalität in Deutschland jährlich einen Schaden von rund 3,4 Milliarden Euro verursachen, dies entspricht 0,1 Prozent des deutschen Bruttoinlandsprodukts. Phishing gehört dabei zu den häufigsten Straftaten im Netz und verursacht einen jährlichen Schaden von rund 793 Millionen Euro.

Um Online-Shopper zu sensibilisieren, hat das BSI die wichtigsten Sicherheitsregeln für das Surfen im Internet und den E-Mail-Verkehr zusammengestellt. Erste Regel: Niemals auf Links in E-Mails von unbekannten Absendern klicken. So erhält beispielsweise ein Kunde eines großen Online-Versandhandels eine E-Mail, in der er aufgefordert wird auf den Link „Holen Sie sich Ihren Gutschein“ zu klicken. Der Kunde wird dann auf eine Seite gelockt, die oft der des Unternehmens nachempfunden ist, aber eine andere URL besitzt – das erkennt man, wenn man mit der Maus über den Link fährt und auf die dann angezeigte Adresse achtet. Hier wird meist auf den ersten Blick ersichtlich, dass es sich nicht um das seriöse Unternehmen handelt. Vielmehr verleitet die Seite nur dazu vertrauliche Daten oder Kontodaten preiszugeben, die dann von Schadprogrammen ausgelesen werden. Falls Nutzer unsicher sind, ob die E-Mail echt ist, sollten sie sich telefonisch oder brieflich mit dem entsprechenden Anbieter in Verbindung setzen, aber keinesfalls auf die Nachricht antworten oder dem angegebenen Link folgen.

Wieder andere Phishing-Mails haben die Schadprogramme gleich als ZIP- oder exe-Datei im Anhang: Um die Aufmerksamkeit der Empfänger zu erregen, enthalten sie Informationen zu vermeintlichen Zustellbenachrichtigungen von Paketen, Transaktionsmitteilungen von Banken oder Rechnungen. Öffnet der Empfänger den Anhang der Phishing-Mail, entpackt er damit direkt das Schadprogramm – meist einen Trojaner, der Cyber-Kriminellen dazu dient, Benutzerinformationen auszuspähen. Die auf diesen unterschiedlichen Wegen gewonnenen Daten nutzen Kriminelle, um Zahlungen zu Lasten des Opfers anzustoßen. Generell gilt, dass seriöse Anbieter und Banken ihre Kunden niemals per E-Mail auffordern, ihre Nutzer- oder Kontodaten preiszugeben.

Online-Shopper sollten zudem darauf achten, dass ihre Browser immer aktuell sind. Zusätzlich gibt es Browser-Erweiterungen, die vor gehackten Seiten warnen. Bei den neusten Versionen der gängigen Browser sind bereits Phishing-Filter eingebaut. Regelmäßige Aktualisierungen der Virenschutzsoftware sowie die Nutzung von automatischen Update-Diensten von Betriebssystemen und Programmen schützen ebenfalls. Für tiefgreifende Änderungen am Betriebssystem selbst sind Administratorrechte erforderlich. Ohne diese Rechte können viele Schadprogramme oft nur begrenzt Schaden anrichten. Eine effektive Schutzmaßnahme ist daher, zum Surfen ein Benutzerkonto mit eingeschränkten Rechten zu benutzen.

Zuletzt sollte die Funktion "Aktive Inhalte ausführen" im Browser ausgeschaltet werden – oder es sollte zumindest sichergestellt sein, dass über die entsprechende Funktion in den Sicherheitseinstellungen des Browsers in jedem Einzelfall angefragt wird, ob aktive Inhalte ausgeführt werden dürfen. Dies verhindert, dass über aktive Inhalte Schadprogramme auf das Gerät des Nutzers gelangen.

Durch die Beachtung der genannten Sicherheitsregeln können bereits viele Phishing- und andere Attacken verhindert werden und Online-Shopper können die Vorweihnachtszeit unbeschwert genießen.

Weitere Informationen rund um die Themen Phishing und Risiken im Internet stehen auf der Webseite des BSI "BSI für Bürger" zur Verfügung:

Pressekontakt:

Bundesamt für Sicherheit in der Informationstechnik
Postfach 200363
53133 Bonn
Telefon: +49 228 99 9582-5777
Telefax: +49 228 99 9582-5455
E-Mail: presse@bsi.bund.de