Hackerangriff durch gesundes Misstrauen und Schutzsoftware verhindern

"Beim 'klassischen Phishing' bekommt man unaufgefordert eine Mail oder findet sich auf einer Webseite wieder und soll Zugangsdaten und Passwort eingeben." Jeder Nutzer in dieser Situation müsse sich fragen, wer ihn da behelligt. "Wenn sich das nicht klären lässt, heißt es: Finger weg und auch nicht neugierig sein", riet Neugebauer.

Kriminelle können nicht nur Bank-Webseiten fälschen, sondern laut Neugebauer etwa auch Startseiten sozialer Netzwerke. Die Betreiber von Last.fm etwa weisen darauf sogar selbst hin. Wer auf der Seite seines Netzwerks landet, obwohl er sie gar nicht aufgerufen hat, muss deshalb misstrauisch werden. Ein Blick auf die Web-Adresse kann schon Vorsorge genug sein: Steht dort nicht die bekannte URL, sind wohl Betrüger am Werk, die es auf persönliche Daten abgesehen haben.

Nach und nach wird die Methode, die Lutz Neugebauer "klassisches Phishing" nennt, aber dadurch abgelöst, dass Kriminelle mit Trojanern auf Passwörter- oder Kontonummern-Fang gehen. Diese Späh-Programme kommen häufig mit E-Mail-Anhängen auf Rechner argloser Nutzer. Daher gilt: Nachrichten von Unbekannten werden besser ungesehen gelöscht. Auch Software-Downloads aus nicht nachvollziehbarer Quelle sind riskant. Außerdem gehören ein aktuelles Virenschutzprogramm und eine Firewall zur Grundausstattung.

Um nicht Opfer sogenannter Brute-force-Attacken zu werden, müssen Besitzer von E-Mail-Konten sich Gedanken über ihr Passwort machen und es regelmäßig erneuern: Besteht es aus beliebig aneinandergereihten Buchstaben und Zahlen, haben es Schadprogramme, die alle Begriffe aus dem Wörterbuch durchprobieren, bis sich mit einem das Mailfach öffnen lässt, viel schwerer. Wer den Namen der Freundin oder eine einfache Zahlenreihe als Passwort hat, muss schon eher befürchten, dass es geknackt wird.

Nutzer, die fürchten, genau das sei passiert, haben laut Carsten Ulbricht, Rechtsanwalt und Experte für IT-Recht aus Stuttgart, kein Anrecht darauf, dass ihnen der Betreiber des Mail-Dienstes Auskunft erteilt. Anders sehe es dagegen unter Umständen aus, wenn seitens des Anbieters ein Sicherheitsleck bestand - was bei Hotmail aber wohl nicht der Fall war und laut Neugebauer generell wenig wahrscheinlich ist. Dann sollte der Nutzer versuchen, mit seinen in Paragraf 34 des Bundesdatenschutzgesetzes (BDSG) verankerten Auskunftsansprüchen zu argumentieren, rät Ulbricht.

Stellt sich heraus, dass das Mailfach tatsächlich geknackt wurde - weil die Hacker im Namen des Besitzers Nachrichten verschickt oder sein Passwort verändert haben -, heißt es, schnell zu handeln, wie Neugebauer rät. "Dann muss man sich überlegen, was man alles über diesen Account abwickelt." Ist die Adresse etwa Teil der Zugangsdaten bei einem Onlineshop, müssen diese geändert werden. Zudem empfiehlt es sich, die Personen in der eigenen Kontaktliste zu warnen. Und künftig wird die Adresse nur noch da angegeben, wo es wirklich nicht anders geht. Bei allen anderen Gelegenheiten kommen speziell dafür angelegte Ausweich-Accounts zum Einsatz.