Erkennen von Phishing-Mails

Sie sollten vorsichtig sein, wenn folgende Kriterien zutreffen:

• Sie werden aufgefordert, Daten wie Kennung, Passwort, Kontonummer, Kreditkartennummer, TAN, … anzugeben.
• Häufig ist Ihnen der Absender unbekannt. Da Absender von Mails gefälscht werden können, kann Ihnen der Absender aber auch bekannt sein.
• Links in Phishing-Mails führen häufig zu Webseiten, auf denen Sie persönliche Daten eingeben sollen. Bitte überprüfen Sie verdächtige Links, indem Sie den Mauszeiger über den Link schieben (nicht darauf klicken); in der Statuszeile (meist ganz unten im Fenster) wird die Adresse angezeigt, zu der der Link tatsächlich führt. In Phishing-Mails unterscheidet sich der angezeigte Text so gut wie immer von der tatsächlichen Adresse.
• Sind Link-Text und Adresse identisch, überprüfen Sie kritisch, ob der Link zu einer Seite führt, die Sie kennen.
• In manchen Phishing-Mails wird darum gebeten, via Mail mit persönlichen Zugangsdaten zu antworten.
• Achten Sie auf die Sprache: Fehlerhaftes Deutsch oder Englisch weist in Verbindung mit mindestens einem der obigen Kriterien auf eine Phishing-Mail hin.
• Häufig versuchen die Absender von Phishing-E-Mails Druck auszuüben. Dies kann in unterschiedlichen Varianten geschehen: zeitlicher Druck, sie werden dazu aufgefordert schnell zu handeln, da sonst etwas Unangenehmes eintritt oder autoritärer Druck, eine Anwaltskanzlei, Ihre Bank, Ihr Systemadministrator oder ähnliche Autoritäten melden sich bei Ihnen.
• Immer häufiger werden auch sogenannte Spear-Phishing-E-Mails versandt. Dies sind E-Mails, die gezielt auf einzelne Personen oder Personengruppen abzielen. Hier machen sich die Versender vorab deutlich mehr Mühe, Informationen über ihre Opfer zu erhalten, um diese gezielter ansprechen zu können und davon überzeugen zu können, die gewünschte Reaktion (Herausgabe persönlicher Daten, öffnen eines Anhangs mit Schadcode) auszuführen.

Maßnahmen

Wenn Sie den Verdacht haben, eine Phishing-Mail erhalten zu haben, sollten Sie folgendermaßen vorgehen:

• Beantworten Sie eine Phishing-Mail keinesfalls und geben Sie keine persönliche Daten ein.
• Öffnen Sie keinesfalls Anhänge aus E-Mails, die Ihnen zweifelhaft erscheinen.
• Im Zweifelsfall kontaktieren Sie den angeblichen Absender über andere Kommunikationswege, von denen Sie sicher wissen, dass Sie zu der Person gehört, die Sie kennen, wie Telefon, Hotline oder sonstige. Dort erhalten Sie Auskunft, ob es sich um eine Phishing-Mail handelt.
• Passwort. Verwenden Sie das gleiche Passwort auch an anderer Stelle, sollten Sie es bei jedem System ändern!

Passwort ≠ Kennung

• Ihr Passwort sollte niemals genauso lauten wie Ihre Kennung!

Verwenden Sie viele und ungewöhnliche Zeichen

• Ihr Passwort sollte nicht zu kurz sein, normalerweise mindestens 10 Zeichen lang.
• Verwenden Sie Groß- und Kleinbuchstaben sowie Sonderzeichen oder Zahlen – Ihre Tastatur bietet viele Möglichkeiten!

Verwenden Sie keine Namen, normalen Worte und gängigen Muster

• Ihr Passwort sollte nicht Ihren Vor-/Nachnamen oder andere persönliche Daten (z.B. Geburtstag, Spitzname, Auto-Nummer) enthalten.
• Vermeiden Sie Wörter, die in normalen Wörterbüchern vorkommen.
• Es sollte nicht aus gängigen Varianten und Wiederholungs- oder Tastaturmustern bestehen, also nicht asdfgh oder 1234abcd usw.
• Auch Wörter rückwärts oder in der sog. Leetspeak (das Ersetzen von Buchstaben durch ähnlich aussehende Zahlen oder Zeichen) ist keine gute Idee für ein sicheres Passwort.

Um eine ZIP-Datei mit einem Passwort schützen zu können, benötigen Sie ein zusätzliches Programm, das diese Funktionalität zur Verfügung stellt. Für Windows gibt es hier beispielsweise WinZip oder 7-Zip.