Irrtum 1: “Meine PC-Firewall schützt mich vor allen Angriffen aus dem Internet.”

Leider ist es nicht so einfach. Ohne die richtige Konfiguration bietet eine Firewall keinen optimalen Schutz vor Angriffen aus dem Internet. Die sogenannte “Personal Firewall“ kontrolliert den eingehenden und abgehenden Datenfluss, um den heimischen PC vor Viren und anderer Schadsoftware zu schützen. Angriffe aus dem Internet nutzen jedoch jede Sicherheitslücke in installierten und genutzten Programmen wie auch in der Firewall selbst aus. Wie bei einzelnen Programmen gilt deshalb auch bei der Firewall: Vor allem die Konfiguration ist entscheidend. Nur mit den richtigen Filterregeln und Einstellungen kann die Sicherheit des Computers gewährleistet werden. So sollten die Einstellungen regelmäßig überprüft und die Filterregeln so definiert werden, dass nur unbedingt notwendige Zugriffe erlaubt sind. Verlangt ein nicht bekanntes Programm Zugriff auf das Internet, sollte der Nutzer dies kritisch prüfen. Nicht vergessen werden sollte auch die Firewall von Internet-Routern. Mehr Informationen zu Firewalls haben wir hier zusammengestellt.

Irrtum 2: “Wenn ich ein aktuelles Virenschutzprogramm habe, muss ich Updates für andere Software nicht sofort installieren.”

Dieser Gedanke ist ein Trugschluss. Zwar ist ein Virenschutzprogramm wichtig für sicheres Surfen im Internet – Updates für die genutzten Anwendungen sollten jedoch immer schnellstmöglich installiert werden. Jedes auf den eigenen Geräten installierte Programm birgt die potentielle Gefahr, aus dem Internet angegriffen zu werden. Aktuelle Schadsoftware kann bestehende Sicherheitslücken ausnutzen, bevor sie von Antivirenprogrammen erkannt wird. Die Angreifer nutzen dabei beispielsweise das Zeitfenster aus, in dem ein neu entwickelter Schadcode von der Antivirensoftware noch nicht erkannt wird. Daher versuchen Software-Hersteller fortwährend mit Updates und sogenannten Patches (englisch für “Flicken”), Sicherheitslücken in ihren Programmen zu schließen. So wird verhindert, dass Schadsoftware überhaupt wirksam werden kann. Virenschutzprogramme sollten natürlich trotzdem jederzeit aktuell gehalten werden. Denn sie bieten nur dann zusätzlichen Schutz, wenn ihre Viren-Signaturen durch Updates auf dem neuesten Stand gehalten werden. Informationen für ein Update– und Patchmanagement finden Sie hier.

Irrtum 3: “Ein einziges langes Buchstaben- und Zeichen-Passwort reicht für meine Online-Dienste vollkommen aus.”

Nein, denn sollte ein Online-Dienst kompromittiert und Ihr Passwort gestohlen werden, sind alle mit diesem Passwort geschützten Dienste in Gefahr. Insbesondere bei der Verwendung von E-Mailadressen zur Authentifizierung lassen sich Nutzernamen und Passwort einander gut zuordnen. Daher ist ein gutes und sicheres Passwort unerlässlich – es sollte aber bei jedem Online-Dienst ein anderes Passwort genutzt werden. Besonders bei Diensten, die sensible Daten enthalten oder abfragen, ist auf ein starkes Passwort zu achten. Beispiele hierfür sind Zugänge zum Online Banking oder –Shopping. Grundsätzlich empfiehlt es sich, ein Passwort mit einer Länge von mindestens 8 Zeichen, Groß- und Kleinbuchstaben sowie Sonderzeichen und Ziffern zu wählen. Das Passwort sollte nicht in Wörterbüchern vorkommen und kein Eigenname sein. Es kommt vor, dass Anbieter Einschränkungen bei der Vergabe von Passwörtern machen, zum Beispiel bei der Länge oder der Verwendung von Sonderzeichen. Dann sollten die Passwortempfehlungen des BSI zumindest so weit umgesetzt werden, wie es die Einschränkungen zulassen. Zudem sollten Kennwörter nicht mehrfach, also für unterschiedliche Online-Dienste genutzt werden. Passwort-Verwaltungsprogramme geben Hilfestellung, denn sie können nicht nur die Passwörter verwalten, sondern auch sichere Passwörter generieren. Mehr Informationen zum Umgang mit Passwörtern geben wir hier.

Irrtum 4: “Ich surfe nur auf vertrauenswürdigen Seiten, darum muss ich mich nicht vor Cyber-Angriffen schützen.”

Leider können auch vertrauenswürdige Seiten hin und wieder von Schadsoftware betroffen sein. Sie kann sich beispielsweise in Werbebannern verstecken und sich unbemerkt auf dem PC des Nutzers installieren. Es ist ratsam, sich nur auf vertrauenswürdigen Seiten aufzuhalten – vor Cyber-Angriffen ist man deshalb aber leider nicht geschützt. Anwender, die sich auf gängigen und bekannten Internet-Seiten mit seriösem Inhalt bewegen, wähnen sich oftmals in falscher Sicherheit vor Cyber-Attacken. Grundsätzlich gilt, dass Schutz immer dann erforderlich ist, wenn Nutzer im Internet surfen – unabhängig davon, welche Seiten sie dabei besuchen. Sogenannte Drive-by-Downloads, bei denen Inhalte ohne Zutun des Nutzers im Hintergrund heruntergeladen werden, und schädliche Scripts können auch über populäre Internet-Seiten erfolgen. Ein gründlicher Schutz durch Virenschutzprogramme und Firewalls – mit den oben genannten Einschränkungen – sowie regelmäßige Sicherheitsupdates ist trotz aller Vorsicht empfehlenswert.

Irrtum 5: “Das Surfen mit einem Virtual Private Network (VPN) ist anonym und eine sichere Internetnutzung”

Bei der Nutzung eines kommerziellen Anbieters stimmt das nicht so ganz. Bei der Nutzung eines kommerziellen Anbieters wird eine IP-Adresse des Anbieters genutzt und in der Regel kennt der Anbieter auch Ihre echte Identität. Daher handelt es sich hier eher um eine pseudonyme und nicht anonyme Nutzung des Internets. Bitte bedenken Sie auch, dass eine VPN ausschließlich den Datenverkehr zwischen PC und VPN-Server verschlüsselt, jedoch nicht vor dem Download von Schadsoftware schützt!

Irrtum 1: “Meine Daten sind in der Cloud sicher vor Fremdzugriff geschützt.”

Daten in Cloud-Diensten sind nicht immer ausreichend geschützt. Die Ablage von Nutzerdaten in Cloud-Speichern oder die automatische Synchronisation zwischen Mobilgerät und Cloud-Speicher stellt keine ausreichende Sicherung der Daten dar. Nutzer müssen bei solchen Diensten damit rechnen, dass diese Daten unverschlüsselt vorliegen und die Anbieter diese Daten ggf. für eigene Zwecke nutzen. Zwar sorgen seriöse Cloud-Anbieter für die “Sicherheit” der Daten in der Cloud, doch beim Zugriff auf diese lauern Gefahren. Zum einen können Kriminelle über Schadprogramme, die sich auf dem Smartphone, Tablet oder PC befinden, die Zugangsdaten oder sogar die Daten in der Cloud abgreifen. Zum anderen sind im Falle des Diebstahls die Cloud-Daten nur so sicher wie der Schutz des mobilen Geräts:

Wenn Kriminelle beispielsweise nur die vierstellige PIN oder das einfache Sperrmuster knacken müssen und ihnen dies gelingt, können sie über die App bei gespeicherten Zugangsdaten auch mühelos die Cloud-Daten stehlen, verändern oder löschen. Beim Zugriff auf die Cloud über öffentliche WLANs lassen sich ebenfalls persönliche Informationen bei der Datenübertragung von Unbefugten abfangen.Vor der Entscheidung für einen Cloud-Dienst ist im Vorfeld zu prüfen, wer der Anbieter ist, wo er seinen Standort hat und vor allem wo die Rechenzentren stehen. Risiken des Cloud Computings und Sicherheitstipps zur Nutzung haben wir hier zusammengestellt.

Irrtum 2: “Das Surfen in öffentlichen WLANs spart nicht nur Kosten, sondern ist auch sicher.”

Das stimmt leider nur teilweise. Das Angebot kostenloser, öffentlicher WLANs beispielsweise in Bahnhöfen, Cafés oder Hotels ist verlockend, um das monatliche Datenvolumen zu schonen und dennoch unterwegs das Internet zu nutzen. Ein öffentliches WLAN ist jedoch oftmals nicht sicher, da die Datenübertragung zwischen dem mobilen Gerät und dem Router, der die Internetverbindung herstellt, zumeist unverschlüsselt erfolgt.

Dabei können ungeschützte Daten abgegriffen oder Schadsoftware in das Gerät des Nutzers eingeschleust werden. Aus diesem Grund sollten über öffentliche WLANs nie vertrauliche Daten übertragen werden, es sei denn, sie werden zuvor lokal auf dem eigenen Gerät verschlüsselt oder über ein virtuelles privates Netzwerk (VPN) übertragen. Das gilt vor allem, wenn auf das Heim- oder Firmennetzwerk zugegriffen werden soll. Generell sollten Nutzer mobiler Geräte die WLAN-Funktion nur beim Gebrauch einschalten, um die Gefahr des unbefugten Zugriffs zu minimieren. Manche Geräte bieten erweiterte Sicherheitseinstellungen für die Einwahl in öffentliche WLANs.

Nach Beendigung der Verbindung sollte der Hotspot aus der Liste der bevorzugten WLANs gelöscht werden, um ein unbewusstes Einwählen zu einem anderen Zeitpunkt zu verhindern.Sicherheitstipps für die Nutzung von öffentlichen WLANs haben wir hier zusammengestellt.

Irrtum 3: “Wenn ich mir ein neues Smartphone kaufe, habe ich automatisch ein sicheres Gerät.”

Leider ist ein neues Gerät nicht automatisch sicherer.Beim Neukauf eines Smartphones ist zum einen nicht immer die aktuelle Version des jeweiligen Betriebssystems installiert. Vor der Inbetriebnahme des Geräts ist also stets zu prüfen, ob die Firmware auf dem neuesten Stand ist, und diese gegebenenfalls direkt zu aktualisieren bis alle Updates eingespielt sind. Allerdings stellen Smartphone-Hersteller auch bei bekannten Sicherheitslücken nicht immer für alle Gerätetypen ein Update zur Verfügung, sodass diese Lücken auch bei neu gekauften Geräten teils über Monate bestehen und häufig überhaupt nicht geschlossen werden. Zum anderen sind beim Kauf oftmals die Sicherheitseinstellungen noch nicht aktiviert. Nutzer sollten diese Einstellungen überprüfen und entsprechend einrichten.

Dazu gehören auch PINs, Codes oder Muster für die Sicherung der SIM-Karte und das Gerät selbst. Vor der Entsorgung des alten Geräts sollten alle Daten auf diesem gelöscht sowie die alte SIM-Karte entfernt und zerstört werden, falls diese nicht im neuen Gerät genutzt werden soll. Falls eine Verschlüsselung des Geräts angeboten wird, sollte diese aktiviert werden. Nähere Informationen zum Schutz für Smartphone und Co. haben wir hier für Sie zusammengestellt.

Irrtum 4: “Ich habe natürlich automatische Updates und Aktualisierungen des Betriebssystems und von Apps aktiviert, daher muss ich mich um Schwachstellen nicht kümmern.”

Automatische Updates sind sinnvoll, aber nicht zu jeder erkannten Sicherheitslücke steht sofort ein Update bereit. Zwar sind die Hersteller von Betriebssystemen und Apps meistens bemüht, nach Bekanntwerden von Schwachstellen und Sicherheitslücken aktualisierte Softwareversionen bereitzustellen. Aber aufgrund der Vielzahl an Gerätetypen und im Markt befindlichen Versionen von Software und Betriebssystemen, dauert die Bereitstellung entsprechender Sicherheitsupdates eventuell länger oder es wird für bestimmte Probleme gar keines zur Verfügung gestellt.

Je nach Sicherheitslücke kann es in diesem Zeitraum empfehlenswert sein, bestimmte Funktionen nicht zu nutzen oder zu deaktivieren. Selbst bei voreingestellter automatischer Aktualisierung sollten Nutzer sich stets versichern, ob die Programme wirklich auf dem neuesten Stand sind. Manche Hersteller von Apps liefern Aktualisierungen nicht für alle Betriebssystemversionen aus. Aktuelle Informationen zu Schwachstellen und Sicherheitsrisiken erhalten Sie regelmäßig über den BSI Newsletter.

Irrtum 1: “Wenn ich einen Virus oder ein anderes Schadprogramm auf dem Computer habe, macht sich dieser auch bemerkbar.”

Nicht immer kann ein Anwender feststellen, ob sich auf seinem Computer ein Virus oder anderes Schadprogramm eingenistet hat. Es gibt verschiedenste Arten von Viren oder schädlichen Programmen, die Cyber-Kriminelle auf unterschiedlichen Wegen auf Computer oder mobile Geräte einschleusen können. Viele Schadprogramme, die unbemerkt auf einem Computer installiert sein können, verfügen über Funktionen zum Identitätsdiebstahl. Sie haben zumeist zum Ziel, den Nutzer auszuspähen, also beispielsweise Zugangsdaten oder Konto- und Kreditkartennummern auszuspionieren und können den Opfern einen erheblichen wirtschaftlichen Schaden zufügen.

Ebenfalls für den Nutzer vollkommen unauffällig verhalten sich Schadprogramme, die einem Angreifer die Fernsteuerung von infizierten Geräten ermöglicht. Diese Art von Schadcode wird beispielsweise durch E-Mail-Anhänge, das Öffnen einer speziell manipulierten Website oder den Klick auf einen infizierten Werbebanner heimlich in den Computer des Nutzers geschleust. Indem die Urheber etwa tausende von Computern mit der Software infizieren, können sie damit Angriffe auf Webseiten (DDoS-Attacken) starten, um diese lahmzulegen, oder sie für massenhaften Spam-Versand missbrauchen. Zwar gibt es keinen hundertprozentigen Schutz vor diesen Bedrohungen, insbesondere, wenn sogenannte Zero-Day-Exploits ausgenutzt werden. Jedoch können Anwender mit Maßnahmen wie einer Virenschutz-Software und Firewall sowie der umgehenden Installation von Software-Updates und einem vorsichtigen Umgang mit E-Mail-Anhängen ihren Schutz erhöhen. Auch sollten Anwender große Vorsicht walten lassen, wenn sie Software oder andere Daten aus unbekannten Quellen herunterladen oder installieren. Im Zweifel sollte stets darauf verzichtet werden.

Irrtum 2: “Ich habe nichts zu verbergen und keine wichtigen Daten, also bin ich doch kein Ziel für Cyber-Kriminelle und muss mich deshalb nicht schützen.”

Diese Ansicht ist grundlegend falsch, da Cyber-Kriminelle alle verfügbaren Daten für ihre Zwecke nutzen können. Jeder, der mit einem ungeschützten Gerät im Internet surft, einkauft oder Online-Banking betreibt, nutzt und hinterlässt eine Vielzahl an Daten, für die sich Cyber-Kriminelle interessieren. Das sind nicht unbedingt die auf dem Rechner gespeicherten Urlaubsfotos, Korrespondenzen oder andere private Dokumente. Von einem ungeschützten Rechner können Kriminelle dort gespeicherte oder im Internet übertragene Zugangs-, Konto- und Kreditkartendaten leicht stehlen und missbrauchen. Auf ungeschützten Systemen können sich zudem Schadprogramme wie Ransomware einnisten. Die Urheber dieser Programme können den befallenen Computer so verschlüsseln, dass der Nutzer seine Daten nicht mehr lesen kann. Der Nutzer erhält lediglich eine Meldung, einen bestimmten Geldbetrag (Ransom = engl. Lösegeld), zumeist über verschleierte Kanäle wie der Internetwährung Bitcoins, zu bezahlen, damit er wieder an seine Daten kommt. Spätestens dann stellen viele häufig fest, dass sie doch schützenswerte Daten wie Urlaubs- oder Familienbilder haben. Auch können unzureichend abgesicherte Geräte schnell Bestandteil eines Botnetzes und für kriminelle Zwecke missbraucht werden.

Irrtum 3: “Meine Daten sind doch in der Cloud, darum brauche ich kein Back-up.”

Das ist so nicht richtig. Durch die Nutzung einer Cloud ist nicht garantiert, dass die Daten immer verfügbar sind. Zwar bietet die Datenspeicherung in der Cloud eine Reihe von Vorteilen: die vom Anbieter bereitgestellten Sicherheitsmechanismen, die Möglichkeit des Zugriffs auf die eigenen Daten über das Internet jederzeit und von jedem Gerät aus, sowie das Einsparen von Speicherplatz vor allem auf mobilen Geräten. Es gibt Cloud-Dienste, deren Sicherheit und auch die Verfügbarkeit hoch sind.

Dennoch kann der Fall eintreten, dass der Nutzer nicht mehr auf seine Daten zugreifen kann. Technische Probleme, Ausfälle beim Dienstleister oder gar die Einstellung eines Cloud-Dienstes sind mögliche Gründe. Es ist also unerlässlich, wichtige Daten nicht nur an einem Ort – wie in einer Cloud – zu speichern, sondern regelmäßig Back-ups, also Duplikate der Daten, auf einem (externen) Speichermedium zu erstellen. Dabei sollte bedacht werden, dass auch Geräte, Festplatten und Speichermedien unerwartet kaputt oder verloren gehen können oder gestohlen werden. Umfassende Tipps zur Datensicherung haben wir hier zusammengestellt. Was bei der Nutzung von Cloud-Speichern zu beachten ist, lässt sich hier nachlesen.

Irrtum 4: “Wenn ich alle Daten von meinem Gerät lösche und anschließend den Papierkorb leere, sind die Daten ein für alle mal weg.”

Falsch. Um Daten unwiederbringlich von einem Datenträger oder aus einem Gerät zu entfernen, sind zusätzliche Schritte nötig. Wenn Nutzer ein altes Gerät oder ein nicht mehr benötigtes externes Speichermedium verkaufen beziehungsweise entsorgen möchten, sollten sie sicherstellen, dass vorher alle Daten sicher gelöscht wurden, um einem möglichen Missbrauch vorzubeugen. Durch das Verschieben von Dateien in den Papierkorb bleiben die Dateien vollständig auf dem Speichermedium erhalten. Auch nach Leeren des Papierkorbs lassen sich Daten mit wenig Aufwand wieder herstellen, da bei diesem Vorgang lediglich die Verweise auf die Daten im Index, dem Inhaltsverzeichnis der Festplatte, gelöscht werden und der Bereich zum Überschreiben freigegeben wird.

Einzig das Überschreiben von Daten lässt diese bei bestimmten Speichermedien auf Nimmerwiedersehen verschwinden. Um Daten endgültig und sicher zu löschen, sollten am besten spezielle Programme zum Einsatz kommen. Nähere Informationen dazu finden Sie hier. Falls ein Gerät oder Speichermedium ohnehin nicht weitergegeben werden soll oder sich aus anderen Gründen nicht überschreiben lässt, sollte es physikalisch zerstört werden. Nur so kann eine Wiederherstellung der Daten unmöglich gemacht werden. Nutzer sollten dabei jedoch vorsichtig sein, um Verletzungen durch Splitter oder ähnliches zu vermeiden.

Irrtum 1: “Wenn ich eine E-Mail nur anschaue, aber keinen Anhang öffne, kann nichts passieren.”

Das trifft leider nicht zu. Viele E-Mails werden heute im HTML-Format verschickt. Im Gegensatz zu reinen Text-E-Mails sind diese oftmals farbig, mit verschiedenen Schriften und Grafiken gestaltet. Im so genannten Quellcode einer HTML-formatierten E-Mail lauert die Gefahr: Denn dort kann schädlicher Code versteckt sein, der bereits beim Öffnen der HTML-E-Mail auf dem Computer des Empfängers ausgeführt wird, ohne dass dafür ein Anhang angeklickt werden muss. Auch Spammer greifen gerne auf HTML-E-Mails zurück, um die Gültigkeit einer E-Mail-Adresse zu verifizieren. Dies erfolgt über sogenannte “Webbugs“, kleine meist unsichtbare Bilder, welche beim Öffnen der E-Mail von einem Server der Spammer geladen werden und diesen damit den Empfang der E-Mail signalisieren. Deshalb sollten Nutzer in ihrem E-Mail-Programm die Anzeige von E-Mail im HTML-Format deaktivieren. Die E-Mails werden dann zwar nur im Reintext angezeigt und können schlecht lesbar und unvollständig erscheinen. Doch bei vertrauenswürdigen Absendern kann der Empfänger die HTML-Ansicht der E-Mail per Klick auf eine Schaltfläche aktivieren und die Inhalte vollständig betrachten.

Irrtum 2: “Das Antworten auf Spam-Mails birgt keine Gefahr, man kann auch den Links zum Löschen aus dem Verteiler folgen.”

Das stimmt nicht. Unter dem Begriff Spam werden verschiedene Arten unerwünschter E-Mails zusammengefasst. Dazu gehören unaufgefordert zugesandte Werbung für teilweise zweifelhafte Produkte und Dienstleistungen, Nachrichten mit merkwürdigen Inhalten und so genannte Phishing-Mails, die dem Empfänger unter Vorspiegelung falscher Tatsachen Zugangsdaten zu Online-Shops oder Zahlungsdiensten entlocken wollen.Egal, um welche Art unaufgeforderter E-Mail es sich handelt, sollten Empfänger diese ignorieren und umgehend löschen, am besten ohne sie zuvor überhaupt zu öffnen. Auf gar keinen Fall sollten Nutzer Links folgen, die vermeintlich dazu führen, dass die Empfängeradresse aus der Liste gelöscht wird. Denn sobald Sie als Empfänger auf solch eine E-Mail reagieren, weiß der Versender, dass Ihre Adresse gültig und aktiv ist. Die Folge ist ein umso höheres Aufkommen an unerwünschten E-Mails, also Spam, im E-Mail-Eingang. Es kann empfehlenswert sein, sich eine zweite E-Mail-Adresse für die Nutzung von Online-Diensten etc. anzulegen. So kann man Spam-E-Mails zumindest aus seinem Haupt-E-Mail-Postfach weitgehend fernhalten. Zudem können als Freeware erhältlich Spam-Filter genutzt werden.

Irrtum 3: “Eine E-Mail kommt immer von der Adresse, die im Absender-Feld steht.”

Das ist falsch, denn Absenderadressen von E-Mails können mit geringem Aufwand beliebig gefälscht werden. Hinter dem in einer E-Mail angezeigten Namen einer Person oder Organisation kann sich ein ganz anderer Absender verbergen – dies ist üblicherweise bei illegalen Aktivitäten der Fall, wie Spam-Versand oder den Versuch, den Computer eines Nutzers mit Schadsoftware zu infizieren.

Einen ersten Hinweis auf den Absender erhält der Nutzer, wenn er mit der Maus über den angezeigten Namen fährt. Je nach E-Mailprogramm wird dann neben der Maus oder am unteren Bildschirmrand die – angeblich – verwendete E-Mail-Adresse angezeigt.

Die Echtheit des Absenders lässt sich durch die Verifikation des so genannten E-Mail-Headers ermitteln. Der Header beziehungsweise Quelltext der E-Mail kann im E-Mail-Programm angezeigt werden. In den mit “Received From” bezeichneten Zeilen können Nutzer den Weg der Mail verfolgen, der Versender findet sich in der letzten Received From-Zeile. Teilweise manipulieren Angreifer aber auch die Received-Zeilen, sodass es schwieriger wird, die tatsächliche Herkunft der E-Mail festzustellen. Deswegen gilt bei Zweifeln an der Herkunft einer E-Mail immer: Nicht öffnen, sondern direkt löschen.

Auch bei E-Mails von scheinbar bekannten Absendern kann es sich um Spam handeln, beispielsweise wenn ein Rechner von einem Schadprogramm befallen wurde, das automatisch Nachrichten an die Personen im Adressverzeichnis des Opfers versendet. Hier hilft oftmals schon ein Blick auf die Betreffzeile, um zu beurteilen, wie wahrscheinlich es ist, dass gerade diese Person beispielsweise eine englische Formulierung oder einen für sie untypischen Ausdruck verwendet. Weiterführende Informationen zu E-Mails mit falschem Absender.

Irrtum 4: “Phishing-Mails sind leicht zu erkennen.”

Das ist nicht korrekt. Ziel von Phishing (zusammengesetzt aus den englischen Begriff “fishing” für Angeln und dem voran gestellten “P” wie Passwort) ist, den Opfern Zugangsdaten zu Online-Shops, Online-Banking, E-Mail-Konten oder anderen Internet-Diensten zu entlocken. Eine der beliebtesten Methoden dabei ist, E-Mails von Diensten wie Paypal oder Amazon zu fälschen und die Empfänger darin aufzufordern, einem Link zu folgen, um dort beispielsweise Stornierungen oder eine angeblich sicherheitsrelevante Bestätigung der Nutzerdaten vorzunehmen.

Die Aufmachung solcher Mails und auch der Webseiten, auf die darin enthaltene Links führen, sehen den Original-Mails und Webseiten oftmals täuschend ähnlich. Einen Hinweis, ob es sich um eine Phishing-Mail handelt, gibt die bereits in Irrtum 3 erwähnte Kopfzeile der E-Mail (Header), wo die vollständige Absenderadresse sichtbar wird und teilweise nur marginal vom Original-Absender abweicht. Manchmal fehlt auch die Anrede im E-Mail-Text. Die Versender von Phishing-Mails agieren jedoch immer professioneller, sodass auch eine korrekte Anrede oder ein plausibler Inhalt keine Gewissheit bieten.

Auf keinen Fall sollten Empfänger Links in solchen E-Mails folgen! Im Zweifel können Nutzer die Seite des Anbieters im Browser aufrufen und sich direkt auf der dortigen Plattform einloggen, um sich zu vergewissern. Empfehlenswert ist zudem die Deaktivierung der HTML-Anzeige im E-Mail-Programm (siehe Irrtum 1). Nähere Informationen zum Phishing haben wir hier zusammengestellt.

Irrtum 5: “Meine E-Mail ist beim Versenden/Transport vor unbefugten Zugriffen sicher.”

Das ist nicht garantiert. Eine unverschlüsselte E-Mail entspricht in der digitalen Welt einer Postkarte. Der Inhalt ist potenziell, während der Zustellung vom Sender/in zum Empfänger/in, für JEDEN lesbar. Daher ist die Entscheidung, einen geschlossenen Brief zu verschicken, statt des Versendens einer Postkarte, ein guter Grund. Die in der Mitteilung enthaltenen Daten könnten sensible, persönliche und vertrauliche Daten enthalten.

Eine Möglichkeit, um auch eine E-Mail-Kommunikation zu verschlüsseln, ist die Implementierung von S/MIME Zertifikaten. Gerade im Bereich von E-Mail-Clients, wie Outlook, lässt sich dies recht einfach implementieren. So können unbefugte Dritte deren Inhalt nicht mehr einfach lesen. Mehr hierzu finden Sie in unserem Blog Sicherere E-Mail-Verschlüsselung mit S/MIME-Zertifikaten.