Warum Du nie auf einen Link in einer E-Mail klicken solltest
Die E-Mail sieht aus, als käme sie von Deiner Bank. Es gebe ein Problem mit Deinem Konto, heißt es darin. Du hättest vierundzwanzig Stunden Zeit, Deine Daten zu bestätigen, sonst werde es gesperrt. Da ist ein Button. Dein Puls steigt, Dein Daumen bewegt sich darauf zu und dieser kleine Sprung – von der Sorge zum Antippen – ist der gesamte Angriff.
Das ist Phishing und es muss gar nicht besonders raffiniert sein, um zu funktionieren. Es zielt darauf ab, dass Du handelst, bevor Du nachdenkst. Die nützlichste Sicherheitsgewohnheit, die Du Dir aneignen kannst, ist daher fast schon peinlich einfach: Handle niemals direkt aus der E-Mail heraus. Klick nicht auf den Link, tipp nicht auf die Schaltfläche, öffne keinen Anhang, den Du nicht erwartet hast. Die E-Mail darf ruhig da sein. Du musst einfach nichts tun, worum sie Dich bittet.
Phishing zieht an einem von zwei Hebeln
Fast jede Betrugs-E-Mail zielt auf dieselben beiden Emotionen ab, denn beide verhindern, dass man sorgfältig nachdenkt.
Das Erste ist Angst. Dein Konto ist gesperrt. Eine Zahlung ist fehlgeschlagen. Jemand hat sich aus einem anderen Land eingeloggt. Handle jetzt oder verliere den Zugriff. Der Countdown verrät es: Ein seriöses Unternehmen lässt Dich gerne auch morgen noch einloggen. Diese künstlich erzeugte Dringlichkeit soll Dich davon abhalten, innezuhalten – denn genau in diesem Moment würdest Du merken, dass etwas nicht stimmt.
Das Zweite ist Gier oder ihr sanfterer Verwandter: eine angenehme Überraschung. Du hast gewonnen. Eine Rückerstattung wartet auf Dich. Für ein Paket muss eine kleine Gebühr freigegeben werden. Ein alter Kontakt hat eine Gelegenheit für Dich. Wenn Dich eine E-Mail plötzlich wegen Geld begeistert, mit dem Du nicht gerechnet hast, betrachte diese Begeisterung als Warnsignal. Es gilt die alte Regel: Wenn es zu gut klingt, um wahr zu sein, dann ist es das auch.
Du musst Dir keine Liste mit Betrugsmaschen auswendig lernen. Lerne einfach, das Gefühl zu erkennen. Ein plötzlicher Anflug von Angst oder ein plötzlicher Anflug von Freude. Das ist Dein Stichwort, einen Gang zurückzuschalten. Egal, welche neue Form ein Betrug nächstes Jahr annimmt – er wird immer noch einen dieser beiden Hebel betätigen müssen und Du wirst es spüren.
Man kann die Fälschungen nicht mehr zuverlässig erkennen
Der übliche Rat lautet: „Überprüfe den Absender.“ Das lohnt sich zwar, reicht aber nicht mehr aus, um sich darauf zu verlassen. Der Anzeigename in einer E-Mail ist nur eine Bezeichnung, die der Absender selbst wählt – daher kann „PayPal-Support“ über jeder beliebigen Adresse stehen. Auch die Adresse selbst kann eine Fälschung sein: paypa1.com mit einer Ziffer oder eine echt aussehende Domain, die an einen Dienst angehängt ist, von dem Du noch nie gehört hast. Die Fälschungen sind mittlerweile sehr gut geworden und „Ich schaue einfach genau hin“ ist eine Gewohnheit, die an jenem hektischen Morgen, an dem es darauf ankommt, versagt.
Anstatt also zu versuchen, ein „Finde-den-Unterschied“-Spiel zu gewinnen, das Du letztendlich sowieso verlieren wirst, ändere die Regel einfach komplett: Geh davon aus, dass Du es nicht erkennen kannst. Geh direkt zur Sache.
Der direkte Weg – in der Praxis
Wenn Du in einer E-Mail aufgefordert wirst, Dich anzumelden, zu bezahlen oder „Deine Daten zu bestätigen“, ist es am sichersten, den Dienst so zu nutzen, wie Du es sonst auch tust – und nicht über die E-Mail.
- Öffne die App. Egal ob Bank, Posteingang oder Shop-Konto: Öffne die zugehörige App auf Deinem Handy. Dort wartet eine echte Benachrichtigung auf Dich. Eine gefälschte gibt es dort nicht.
- Nutze Dein eigenes Lesezeichen. Keine App? Öffne die Seite über ein Lesezeichen, das Du Dir früher gespeichert hast, als Du ruhig und auf der echten Seite warst.
- Lass Deinen Passwort-Manager sie finden. Wenn Du einen nutzt, klick auf seinen Eintrag für den Dienst und lass ihn die Seite öffnen.
Was Du auf keinen Fall tun solltest: Gib die Adresse nicht jedes Mal aus dem Gedächtnis in die Adressleiste ein. Angreifer registrieren falsche Schreibweisen beliebter Websites und warten ab – schon ein einziger falsch eingegebener Buchstabe kann Dich auf eine überzeugende Fälschung führen. Sorgfältiges Tippen ist kein Schutz; Lesezeichen und gespeicherte Anmeldedaten hingegen schon.
Noch ein Mythos, der aus der Welt gehört: Das Löschen Deines Browserverlaufs hilft überhaupt nicht gegen Phishing. Es ist zwar gut für den Datenschutz auf einem gemeinsam genutzten Computer, hält aber keinen einzigen gefälschten Link auf. Der echte Schutz sind die langweiligen Dinge weiter oben: den Dienst auf Deine eigene Art aufzurufen.
Der stille Alarm, den die meisten Leute übersehen
Das hier solltest Du Dir merken, auch wenn Du alles andere vergisst.
Ein Passwort-Manager füllt Deine Anmeldedaten auf einer Website aus, indem er die tatsächliche Adresse der Website abgleicht. Dieser Abgleich erfolgt exakt. Wenn Du also statt auf paypal.com auf paypa1.com landest, macht Dein Passwort-Manager etwas sehr Nützliches: nichts. Keine Aufforderung zum automatischen Ausfüllen. Es wird kein gespeichertes Login angeboten. Er bleibt einfach still, denn aus seiner Sicht handelt es sich um eine Website, die er noch nie gesehen hat.
Meistens deuten die Leute diese Stille als Fehler an und geben das Passwort manuell ein. Dabei ist es genau das Gegenteil eines Fehlers. Die Stille ist das Warnsignal. Wenn eine Anmeldeseite die Daten nicht wie gewohnt automatisch ausfüllt, hör auf. Du bist höchstwahrscheinlich nicht dort, wo Du denkst, dass Du bist. Ein Tool, das sich nicht von einer ähnlich aussehenden Domain täuschen lässt, übernimmt das Erkennen für Dich, sodass Du das nicht mehr tun musst. (Falls Du noch keinen Passwort-Manager nutzt, ist das eine kleine Geschichte für sich: Du musst Dir nur zwei Passwörter merken .)
Der Anhang, um den Du nicht gebeten hast
Die gleiche Regel „Handle nicht aufgrund der E-Mail“ gilt auch für Dateien. Öffne keinen Anhang, den Du nicht erwartet hast, auch wenn er von einem Absender stammt, den Du kennst. E-Mail-Adressen können gefälscht und Konten gekapert werden.
Ein Dokument ist nicht immer nur ein Dokument. PDFs und Office-Dateien können eingebettete Skripte und Makros enthalten und schon das Öffnen einer solchen Datei kann ausreichen, um dem Absender einen Zugang zu Deinem System zu verschaffen. Wenn eine Rechnung, ein Lieferschein oder ein „aktualisierter Vertrag“ aus dem Nichts auftaucht, verifiziere die Echtheit über einen Kanal, dem Du vertraust, bevor Du die Datei öffnest. Eine kurze Nachricht an die echte Person ist besser als ein Klick, den Du später bereust.
Bilder verdienen eine genaue Bezeichnung, denn im Internet wird das Thema oft übertrieben dargestellt. Ein Bild kann nur dann Code ausführen, wenn das Programm, das es öffnet, eine echte Sicherheitslücke aufweist – also einen dieser seltenen, ungepatchten Bugs, die hinter den gelegentlichen „Zero-Click“-Schlagzeilen stecken. Das ist zwar wahr, trifft aber nicht auf jedes Katzenfoto in Deinem Posteingang zu. Das alltägliche Risiko durch Bilder ist unauffälliger: Ein von einem unbekannten Absender geladenes Bild verrät diesem stillschweigend, dass Deine Adresse aktiv ist und Du die Nachricht geöffnet hast – wodurch Du von einer zufälligen Adresse zu einem bestätigten Ziel wirst. Genau deshalb blockieren E-Mail-Apps standardmäßig Bilder von Unbekannten. Lass diese Einstellung aktiviert.
Sorge dafür, dass ein gestohlenes Passwort nicht zum Problem wird
Auch wenn Du Dir all diese Gewohnheiten aneignest, könnte eines Tages doch mal etwas durchrutschen: ein Moment der Müdigkeit, eine besonders gut gemachte Fälschung. Deshalb ist die letzte Sicherheitsstufe so wichtig. Aktiviere die Zwei-Faktor-Authentifizierung, wo immer sie angeboten wird. Damit reicht Dein Passwort allein nicht mehr aus, um Zugang zu erhalten – ein einziger falscher Klick bedeutet also nicht mehr das Aus. Es ist der Unterschied zwischen dem Verlust eines Schlüssels und dem Verlust eines Schlüssels für ein Schloss, das zusätzlich Deinen Fingerabdruck benötigt.
(Nicht alle zweiten Authentifizierungsfaktoren sind gleich und die sicherste Variante lässt sich überhaupt nicht per Phishing knacken, selbst wenn Du darauf klickst. Das ist ein Thema für einen anderen Beitrag.)
Das soll Dich keineswegs dazu bringen, Deinem eigenen Posteingang zu misstrauen oder einen Bedrohungsbericht zu studieren. Es ist ein einziger, gelassener Reflex, den Du einmal verinnerlichst und dann immer wieder anwendest: Lass die E-Mail einfach liegen und hol Dir das Original selbst. Der Link war nie der einzige Weg hinein. Er war nur der, den jemand anderes für Dich ausgewählt hat.
