Die Tricks der Datendiebe

In der unpersönlichen Kommunikation via Internet sollen Daten die Frage beantworten, mit wem wir es zu tun haben. Umgekehrt lässt sich aus Daten eine Identität zusammenbasteln und vortäuschen. Der eigene Name, das Geburtsdatum, die Adresse – die Verbreitung dieser Grundinformationen lässt sich im digitalen Zeitalter nur schwer kontrollieren. In jedem Fall müssen sensible Daten wie Passwörter zu Diensten wie dem Onlinebanking, Sozialen Netzwerken und E-Mail-Accounts geschützt werden. Hier einige Gefahrenquellen im Überblick:

  • Datenlecks in Unternehmen
    Nahezu machtlos ist der Nutzer, wenn Firmen seine Daten verlieren. Das passiert selbst Konzernen mit besonders sensiblen Daten. So wurde etwa im Frühjahr 2014 bekannt, dass Angreifer bei Ebay einen laut Unternehmensangaben „großen Teil“ der 145 Millionen Kundendatensätze kopieren konnten. Die Täter sollen sich Zugang zu Mitarbeiterkonten verschafft haben und konnten darüber Namen, E-Mail- und Postadressen, Telefonnummern, Geburtsdaten und verschlüsselte Passwörter erbeuten. Für Kriminelle sind die Datenschätze von Firmen ein attraktives Gut. Mittlerweile existiert ein Schwarzmarkt für solche Datensammlungen. 

  • Phishing
    Beim Phishing verleiten gefälschte Internetseiten, E-Mails und SMS die Internetnutzer dazu, ihre Passwörter, PINs oder TANs selbst preiszugeben. Beispielsweise bauen Betrüger die Webseiten von Finanzinstituten nach, um Benutzer zu täuschen. Eine andere Möglichkeit ist, im Namen der Bank gefälschte Mails zu verschicken, die zur Eingabe von Passwort und TANs auffordern. Ausführliche Informationen bietet der Artikel „Vorsicht Falle – Betrug im Internet“ von iRights.info und klicksafe (siehe Mehr Informationen).

  • Schadsoftware
    Der Klassiker, um sich Schadsoftware einzufangen, sind Dateianhänge in E-Mails, hinter denen sich schädlicher Code verbirgt. Eine modernere Variante davon sind gefälschte Anhänge bei Nachrichten in Sozialen Netzwerken und bei Chat-Diensten oder getarnte Links auf Schadsoftware. Eine weitere Methode besteht darin, dass Angreifer schädlichen Code auf Webseiten einschleusen. Betroffen davon waren bislang nicht nur vergleichsweise dubiose Internetseiten. Auch seriöse Angebote wie die Nachrichtenseiten großer Medienunternehmen können hier Opfer werden, wenn sie etwa Werbung über externe Quellen einbinden lassen. 

    Beim Besuch entsprechender Seiten wird dann im Hintergrund Schadsoftware heruntergeladen, sofern Sicherheitslücken beim Nutzer und schlecht eingerichtete Systeme das zulassen. Beim sogenannten „Drive-by-Exploit“ muss man dafür gar nichts anklicken. 

    Solche Schad- und Spähsoftware kann von Betrügern vielfältig eingesetzt werden. Sie fertigt beispielsweise heimlich Screenshots des infizierten Computers an, protokolliert unbemerkt die Eingabe von Passwörtern (Keylogging), und versendet die erbeuteten Daten unbemerkt an die Hintermänner. Auch einige TAN-Verfahren beim Onlinebanking lassen sich austricksen. Kriminelle klinken sich dann zum Beispiel unbemerkt in den Datentransfer zwischen Kunde und Bank ein (Man-in-the-Middle-Attacken) und lenken Überweisungen oder Daten um. 

  • Unsichere Netzwerke und Verbindungen
    Der amerikanische Programmierer Eric Butler zeigte 2010 mit dem Programm „Firesheep“, wie leicht Dritte in ungesicherten WLAN-Netzen den Datenverkehr mitschneiden können – jedenfalls dann, wenn keine anderen Vorsichtsmaßnahmen getroffen werden. Damit gab er auch großen Webdiensten einen Anstoß, ihre Dienste stärker über gesicherte Verbindungen anzubieten. Ist der Datentransport dagegen nicht verschlüsselt, kann ihn jeder ohne weiteres einsehen und somit an persönliche Daten des Nutzers gelangen. Heutzutage kann man von Webdiensten mit Benutzerkonten erwarten, sichere Verbindungen als Standard anzubieten – erkennbar am „HTTPS“ in der Browserzeile. Das ist etwa bei Facebook, Google, Wikipedia und vielen anderen Webdiensten der Fall, aber leider gibt es nach wie vor Ausnahmen.
     
  • Smartphones und Apps
    Das Smartphone wird noch häufig als Angriffsziel übersehen. Auch hier gibt es Schadprogramme, die speziell für die mobilen Endgeräte programmiert sind. Viele, gerade kostenlose Apps sammeln zudem alle möglichen Daten vom Telefon und übermitteln sie weiter. In der Regel werden diese Daten an Werbeanbieter oder die Entwickler selbst geschickt, doch Missbrauch kann auch dort ansetzen.

    Nach wie vor senden manche Apps Daten unverschlüsselt an die Server von Unternehmen. So können Angreifer sie im Datenverkehr gezielt abfangen. Besondere Vorsicht sollte man auch bei Dritt-Anwendungen etwa für Facebook walten lassen. Versprechen solche Zusatzprogramme, Profilbesuche anzuzeigen oder virtuelle Blumen zu verschicken, ist Skepsis angebracht. Die erste Funktion gibt es gar nicht, die zweite ist womöglich nur Tarnung, um Zugang zu bestimmten Nutzerdaten zu bekommen.