Phishing-Attacken: Geheimzahlenklau erreicht Rekordhoch

BERLIN taz Das Problem dürfte den meisten E-Mail-Nutzern bekannt sein. Immer mal wieder finden sich vermeintlich offizielle Anschreiben der eigenen Bank im Postfach, mit dem Hinweis, doch bitte das Online-Konto erneut freizuschalten. Dazu müssten lediglich die persönlichen Zugangsdaten auf einer Website eingegeben werden. Folgt man der Aufforderung, kann das bittere Konsequenzen haben: Denn Absender sind statt fürsorglicher Bankangestellter kriminelle Netzwerke, die mit den PINs und TANs das Konto plündern.

Phishing nennt sich das Problem, bei dem Bankdaten und Profile auf Reiseportalen und Auktionshäusern ausgespäht und missbraucht werden. Nach Angaben des Hightech-Verbands Bitkom sind die Betrugsfälle im Internet inzwischen auf ein Rekordhoch gestiegen. 2007 hätten die Landeskriminalämter rund 4.100 Phishing-Fälle registriert - gegenüber dem Vorjahr ein Anstieg von 25 Prozent.

Bundesweit hoben Kriminelle demnach insgesamt etwa 19 Millionen Euro von Konten der Betroffenen ab. "Der Geheimzahlen-Klau hat durch immer raffiniertere Betrugsmethoden seinen bisherigen Höhepunkt erreicht", betonte Bitkom-Präsidiumsmitglied Dieter Kempf. Die herkömmliche Methode, mit E-Mails Nutzerdaten auszuspähen, habe ausgedient. Stattdessen würden für Angriffe zunehmend Trojaner und andere Schadsoftware verwendet. Doch Kempf hatte auch eine gute Nachricht: Für 2008 sei eine Trendwende erkennbar. "Die Daten des ersten Halbjahres lassen erwarten, dass die Opferzahlen deutlich sinken." Die Wirtschaft habe ihre Sicherheitsmaßnahmen verbessert, und Internet-Nutzer gingen inzwischen wesentlich behutsamer vor.

Von Beruhigung kann bei den Strafverfolgungsbehörden keine Rede sein - obwohl Phishing im Bereich der organisierten Kriminalität lediglich vier Prozent der Schadenssumme ausmacht. "Die gesamte digitale Identität des Nutzers wird heute angegriffen", warnte der Chef des Bundeskriminalamts, Jörg Ziercke. Die zunehmende internationale Vernetzung und bessere Organisation von Phishern mache deren Bekämpfung schwieriger.

Er plädierte daher für "eine breite Auswahl an Ermittlungsinstrumenten". Für besonders geeignet hält Ziercke die im Januar in Kraft getretene Vorratsspeicherung von Telefondaten, die neben Rufnummern und Anrufzeit auch die IP-Adresse umfasst. "Oft stellt die IP-Adresse den einzigen Ermittlungsansatz dar", erklärte Ziercke.

Auch der elektronische Personalausweis, der im Jahr 2010 eingeführt werden soll, werde für Verbraucher den Verkehr im Internet sicherer machen, so Ziercke. Denn anstatt sich mit bisherigen Verfahren über PINs und TANs auf Bankkonten anzumelden, ließe sich das künftig mit der eindeutigeren elektronischen Identifizierung regeln. "Ein solcher Ausweis hat Vorteile für alle", freute sich auch Bitkom-Präsidiumsmitglied Kempf.

Womöglich sogar für Phishing-Betrüger, wenden Kritiker des E-Passes ein. Denn immerhin werden auf dem Ausweis-Chip neben biometrischem Foto und Adressdaten optional auch Fingerabdrücke gespeichert. Und sind die nicht ausreichend gesichert, bieten sie eine neue Angriffsfläche.