Mit immer ausgeklügelteren Methoden machen Internetkriminelle Jagd auf arglose Surfer. So genannte Phisher locken ihre Opfer auf gefälschte Onlinebanking-Seiten oder jubeln ihnen Trojaner unter, um an Onlinebanking-Daten, also TAN- und PIN-Nummern zu gelangen. Wer die einmal preisgegeben hat, hatte die längste Zeit Geld auf dem Konto: Die Betrüger benutzen die Zugangsdaten, um das gesamte Guthaben an sogenannte Finanzagenten zu überweisen.

Viele dieser Agenten werden durch Internet-Stellenanzeigen angeworben, in denen lukrative Nebenbeschäftigungen in Aussicht gestellt werden. Der "Agent" hebt die Beute in Bar ab, überweist sie per Western Union ins Ausland. Der Phisher braucht das so gewaschene Bargeld nur noch in Empfang nehmen. Der ganze Vorgang hinterlässt kaum verwertbare Spuren.

Die Folgen: Das Phishing-Opfer bekommt nicht nur Probleme mit der Bank, sondern bleibt, wenn es grob fahrlässig gehandelt hat, sogar auf dem Schaden sitzen. Der Finanzagent, oft genug selbst nur ein argloses Opfer der Phisher, macht sich unter Umständen der Geldwäsche und "fahrlässiger Erbringung von Finanzdienstleistungen" strafbar. Darüber hinaus muss er, wenn sich die Meinung des Landgerichts Köln durchsetzt, dem Phishingopfer den Schaden ersetzen.

Der erste Auftrag kommt sofort, die Polizei nach zwei Wochen

Den Phishern ist dabei oft nur schwer auf die Schliche zu kommen. Sie sitzen oft im Ausland, lassen ihre Finanzagenten die gefährliche Drecksarbeit machen. Per Spam-Mail, Instant Messenger oder Skype-Telefonat suchen sie dazu "flexible, ehrliche Mitarbeiter zur Verstärkung unseres Teams". Als Treuhandagent, so lauten die Spam-Nachrichten, könne man "bei freier Zeiteinteilung" 300-600 Euro verdienen. Georg Borges, Phishing- und Rechtsexperte an der Uni Bochum, kennt den weiteren Ablauf: "Wer sich auf so eine Anzeige meldet, bekommt kurz darauf den ersten Auftrag: Eine Überweisung, die in Bar abgehoben und per Western Union ins Ausland überwiesen werden soll. Zwei Wochen später steht dann die Polizei vor der Tür."

Borges, 43, ist Rechts-Professor an der Ruhr-Uni Bochum (RUB) und Mitbegründer der Arbeitsgruppe Identitätsschutz im Internet e.V. Die gemeinnützige Organisation ist ein Zusammenschluss von Forschern der RUB sowie Praktikern aus dem Bereich IT-Sicherheit. Sie hat sich zum Ziel gesetzt, den "Schutz der Internet-Nutzer gegen alle Formen des Identitätsmissbrauchs zu verbessern." Ein Topthema: Phishing.

Denn auch wenn die Zahl der Opfer in Deutschland vergleichsweise gering ist, so ist der Schaden, den die Internetfischer verursachen, doch groß. Im Jahr 2006 wurden laut Bundesverband Informationswirtschaft, Telekommunikation und neue Medien (Bitkom) über 3200 Menschen Opfer von Phishing. Durchschnittlich konnten die Betrüger etwa 4000 Euro erbeuten, der Bitkom geht von einem Gesamtschaden von über 13 Millionen Euro aus.

Nach Phishing kommt Vishing

Und die Zahl der Opfer steigt. Ein Grund dafür ist, dass Hightech-Herangehensweisen die traditionellen Phishingmethoden ersetzen. Statt auf gefälschte Bankwebsites setzen die Phisher auf Trojanersoftware. Die schleusen sie per Mail oder von manipulierten Websites aus auf die Computer der potentiellen Opfer. Die Trojaner laden oft zusätzliche Software herunter, verstecken sich vor Virenscannern, horchen den Anwender aus und tätigen im Verborgenen Überweisungen. Da so ein Trojaner den kompletten Computer übernehmen kann, bemerkt der Anwender möglicherweise noch nicht einmal etwas von dem Angriff. Einige dieser Schadprogramme können sogar die Bildschirmanzeige manipulieren.

Ein weiterer Trend: Vishing. Das FBI warnt vor diesen neuen Phishing-Attacken per Telefon. Bei Vhishing-Angriffen erhält das Opfer eine Mail, vermeintlich von seiner Bank oder seinem Kreditkarten-Institut, wird aufgefordert, eine Telefonnummer anzurufen, um ein Problem zu beseitigen. Wer die angegebene Telefonnummer gutgläubig wählt, wird aufgefordert, die gleichen Daten einzugeben, die in einem Phishing-Angriff sonst per Webseite abgefragt werden: Sozialversicherungs-, Kreditkarten- und PIN-Nummern.

Vor solchen Gefahren kann man sich schützen - und das wird vom Verbraucher auch gefordert. Georg Borges: "Einfach einen Computer kaufen und ab ins Internet geht nicht mehr." Um nicht grob fahrlässig zu handeln - und damit jede Chance auf Kulanz der Bank zu verspielen - müssen sich Onlinebanking-Teilnehmer per Virenscanner schützen und diesen auch regelmäßig auf den neuesten Stand bringen. Die neue Browser-Generation (Internet Explorer 7, Firefox 2) warnt den Anwender zusätzlich, falls eine Website möglicherweise von Phishern manipuliert wurde. Der beste Schutz zumindest vor herkömmlichen Phishing-Angriffen, mahnt Borges, ist aber immer noch der gesunde Menschenverstand - und eine gewisse Portion Skepsis.

Lesen Sie im zweiten Teil, wie Sie Phishing-Angriffe entdecken und sich vor ihnen schützen. Welche Rechte und Pflichten sie haben und was Sie tun können, falls sie Opfer eines solchen Angriffs wurden.

So schützen Sie sich vor Phishing-Angriffen

Die Arbeitsgruppe Identitätsschutz im Internet e.V. führt zehn Gebote auf, deren Einhaltung maßgeblich für den Schutz vor Phishing ist. Eine detaillierte Anleitung finden Sie auf der Website des Vereins.

1. Pflegen Sie die Browser-Software regelmäßig mit aktuellen Sicherheits-Updates.
2. Überprüfen Sie das Sicherheitszertifikat der Web-Seite.
3. Überprüfen Sie, ob die Website gesichert ist, bevor kritische Daten eingegeben werden: Die URL sollte mit "https://" und nicht nur mit "http://" beginnen.
4. Gehen Sie niemals über einen angebotenen Link zu der gewünschten Website, geben Sie stattdessen immer die entsprechende URL in den Browser ein.
5. Deaktivieren Sie Javascript im Browser, um Cross-Site-Scripting zu vermeiden, und den Windows Skripting Hosts (WSH), um die Ausführung von ungewollten Skripten zu unterdrücken.
6. Öffnen Sie möglichst keine Mails von unbekannten Absendern und wenn doch, klicken Sie auf keinen darin enthaltenen Link und bestätigen Sie niemals Kontonummern, Passwörter oder andere geheime Daten nach einer Mail-Aufforderung - entsprechende Institute oder Firmen würden ein solches Vorgehen aus Sicherheitsgründen nie wählen.
7. Verifizieren Sie auffällige Mails von vertrauten Adressaten (wie zum Beispiel der eigenen Bank) mit einem kurzen Anruf.
8. Schließen Sie den Browser, falls die gewünschte Website in der Regel eine Authentifizierung verlangt und plötzlich ohne eine solche auszukommen scheint.
9. Installieren Sie Webfilter, die ihren Sperrkatalog ständig um gefälschte Web-Seiten erweitern.
10. Setzen Sie aktuelle Anti-Virenprogramme und Firewalls ein. Verwenden Sie die neuesten Signaturen.

Welche Rechte und Pflichten gilt es zu beachten?

Wer sich nicht ausreichend gegen Phishing schützt, kann nicht mit einer Schadensbegleichung der Bank rechnen, da er möglicherweise grob fahrlässig gehandelt hat. Ein aktuelles Urteil des Landgerichts Köln verlangt, dass beim Onlinebanking ein verständiger, technisch durchschnittlich begabter Anwender eine aktuelle Virenschutzsoftware und eine Firewall verwendet, regelmäßige Sicherheitsupdates für sein Betriebssystem und die verwendete Software einspielt.

Außerdem müsse der Nutzer die Warnungen der Banken beachten und niemals PIN und TAN auf Anforderung per Telefon oder Mail herausgeben. Deutliche Hinweise auf gefälschte E-Mails oder Internetseiten seiner Bank muss er erkennen - zum Beispiel bei sprachlichen Mängeln, deutlich falschen Internetadressen, Adressen ohne https:// oder dem fehlenden Schlüsselsymbol in der Statusleiste des Browsers.

Nicht verlangt wird hingegen die Verwendung besonders leistungsfähiger Virenschutzprogramme oder spezialisierter Software zum Schutz gegen Schadsoftware, die Veränderung der Standard-Sicherheitseinstellungen von Betriebssystemen oder Programmen, das Arbeiten ohne Administratorrechte, die ständige Überprüfung der Zertifikate oder auch das Erkennen subtiler Abweichungen in der Internetadresse.

Wer ungewollt Mittäter des Phishers wird, indem er als "Finanzagent" die Überweisungen tätigt, macht sich unter Umständen der Geldwäsche und "fahrlässiger Erbringung von Finanzdienstleistungen" strafbar. Auf die Jobofferten per Spam-Mail oder Instant Messenger sollte man sich also erst gar nicht einlassen.

Was tun, wenns brennt?

Wer auf Kontoauszügen entdeckt, dass plötzlich all sein Geld auf ein unbekanntes (Privat)konto überwiesen wurde oder wer glaubt, gerade auf einen Phishingangriff hereingefallen zu sein, soll sich sofort bei seiner Bank melden. Wer nicht fahrlässig gehandelt hat, bekommt den Schaden von der Bank beglichen.

Weigert sich die Bank, kann sich der Gang zum Rechtsanwalt lohnen. Und selbst wer fahrlässig gehandelt hat, kann zumindest versuchen, vom Finanzagenten sein Geld zurückzufordern. Erst im Dezember sprach das Landgericht Köln einem Phishing-Opfer einen Schadensersatzanspruch gegen den Geldkurier zu.