Die Gefährdungslage im Cyber-Raum ist hoch wie nie - das sagte Bundesinnenministerin Nancy Faeser am Dienstag bei der Vorstellung des Lageberichts des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zur IT-Sicherheit in Deutschland. Auch wenn gerade viel von Hackerangriffen auf staatliche Institutionen, kritische Infrastrukturen, Schulen und Unternehmen die Rede ist: Auch Privatpersonen sind gefährdet.
Zahl der Opfer von Cyber-Kriminalität steigt
Der Anteil der Menschen, die bereits Opfer von Kriminalität im Internet geworden sind, ist von 25 Prozent der Befragten des BSI-Digitalbarometer auf 29 Prozent gestiegen. Jeder Vierte ist schon mal beim Online-Shopping betrogen worden. Ebenfalls 25 Prozent stellten einen Fremdzugriff aufs eigene Online-Konto fest. Knapp dahinter liegen Infektionen mit Schadsoftware (24 Prozent). Auf Platz vier folgt das Online-Phishing - also das Erbeuten von Zugangsdaten - mit 19 Prozent.
Phishing weiterhin sehr verbreitet
Phising wird häufig über E-Mails betrieben. Laut IT-Sicherheits-Lagebericht sind neun von zehn Betrugsmails Phising-Mails, in denen die Opfer dazu bewegt werden sollen, persönliche Identitäts- oder Authentifizierung preiszugeben - in der Regel auf gefälschten Websites, die echten Websites teils täuschend ähnlich sehen.
Gerne wird diese Masche bei Banken angewandt, dann spricht man von Finance Phising. Hier gilt nach wie vor: Deutsche Banken fordern ihre Kundinnen und Kunden grundsätzlich nicht per E-Mail auf, ihre Zugangsdaten auf einer Website einzugeben. In solchen Fällen gilt Phishing-Verdacht: Man sollte nicht auf Links in diesen Mails klicken und keine Benutzerdaten eingeben.
Charity Scam-Mails wollen Hilfsbereitschaft ausnutzen
Neuer ist die Masche, die Hilfsbereitschaft von Menschen zu Geld zu machen. Nach der Flutkatastrophe in Nordrhein-Westfalen und Rheinland-Pfalz 2021 sowie seit Beginn des russischen Angriffskrieges gegen die Ukraine kursieren im Netz betrügerische Spendenaufrufe, die zu Websites führen, die denen von Hilfsorganisationen wie dem Malteser Hilfsdienst nachempfunden, aber dennoch gefälscht sind. Charity Scam-Mails nennt man das. Hier empfiehlt es sich, besonders genau auf die Absenderadresse zu schauen: Zum Beispiel gehört die Domain unations.com nicht zu den Vereinten Nationen, deren Internet-Adressen in der Regel auf .org enden.
- Zum Artikel: Internetsecurity: Die wichtigsten Tricks für sicheres Surfen
Zwei-Faktor-Authentifizierung verwenden wo immer möglich
Um sich gegen Phising-Mails und Identitätsdiebstahl zu schützen, empfiehlt das BSI, wo immer möglich die Zwei-Faktor-Authentifizierung, kurz 2FA zu verwenden. Dabei handelt es sich um einen zweistufigen Login. Erst gibt man sein - möglichst sicheres - Passwort ein. Im zweiten Schritte wird dann ein Authentisierungscode, an ein eigenes Gerät, in der Regel das Smartphone geschickt. Diesen Code muss man als zweiten Schritt des Login-Prozesses eingeben.
Komplexes Passwort wählen
Sicher heißt beim Passwort vor allem komplex: Je länger, desto besser, eine Mischung aus Klein- und Großbuchstaben, Zahlen und Sonderzeichen - für jeden Account ein anderes. Weil sich das niemand merken kann, empfiehlt sich die Verwendung eines Passwort-Managers.
Sichere TAN-Verfahren verwenden
Um sich vor unbefugten Zugriffen aufs eigene Online-Bankkonto zu schützen, sollten sichere TAN-Verfahren gewählt werden. TAN steht für Transaktionsnummer, sie wird benötigt, um eine Überweisung zu genehmigen. Das BSI empfiehlt das PushTAN und PhotoTAN - bei beiden Verfahren wird eine Gerätebindung zwischen dem Smartphone und der Online-Banking-Seite des Kunden erzeugt. Die TAN wird bei diesen beiden Verfahren nur ans registrierte Gerät gesendet.
Beim hardwarebasierten Chip-TAN-Verfahren wird die eigene Bankkarte in einen separaten TAN-Generator gesteckt, der nicht mit dem Internet verbunden ist. Aus den Transaktionsdaten wird ein graphischer Code erstellt, der wiederum mit dem ChipTAN-Generator ausgelesen wird. Das macht das Verfahren besonders sicher, weil auf der Bankkarte gespeicherte Merkmale für die Erzeugung der TAN nötig sind.
smsTAN ist vergleichsweise unsicher
Das smsTAN-Verfahren gilt als deutlich unsicherer: Zum einen wird die SMS mit der TAN unverschlüsselt versendet, zum anderen besteht die Gefahr des SIM-Swappings. Betrüger könnten im Namen des Opfers eine weitere SIM-Karte zur selben Mobilfunknummer bestellen und so die SMS mit der TAN ebenfalls erhalten.
BSI: Verbraucher ergreifen zu wenige Schutzmaßnahmen
Diese Tipps sind zwar schon länger bekannt, werden aber nach wie vor nur unzureichend befolgt: "Die Anwendung von Schutzmaßnahmen durch Verbraucherinnen und Verbraucher bleibt weiterhin ausbaufähig", heißt es im Lagebericht zur IT-Sicherheit. Am häufigsten sind noch Antivirenprogramme verbreitet, die 53 Prozent der Befragten des Digitalbarometers nutzen. Gefolgt von sicheren Passwörtern (52 Prozent) und einer aktuellen Firewall (44 Prozent). Die Zwei-Faktor-Authentifizierung nutzen nur 38 Prozent der Befragten, automatische Updates nur ein Drittel (34 Prozent). Es gibt also weiterhin viel Bedarf für Aufklärungsarbeit in Sachen IT-Sicherheit.
Das ist die Europäische Perspektive bei BR24.
"Hier ist Bayern": Der BR24 Newsletter informiert Sie immer montags bis freitags zum Feierabend über das Wichtigste vom Tag auf einen Blick – kompakt und direkt in Ihrem privaten Postfach. Hier geht’s zur Anmeldung!