Cyberkriminelle haben es nicht selten auf unsere sensibelsten Daten abgesehen. Zugangsdaten zu sozialen Netzwerken, E-Mail-Accounts und Online Banking sind die Kernbereiche in denen Kriminelle die Identität anderer bestmöglich für Ihre Zwecke missbrauchen können. Wer einmal Opfer davon geworden ist, muss erst einmal Zeit, Mühe und Nerven investieren, um sich von dem Schaden wieder zu erholen. Der verursachte Schaden reicht von der Beschädigung der eigenen Reputation durch gehackte Konten in sozialen Netzwerken bis zu hohen finanziellen Verlusten und monatelang andauernden Rechtsstreits aufgrund diverser Zahlungsforderungen.

[color-box]Autor dieses Gastbeitrags ist Timm Hendrich von Netzsieger.de. Dieses Unternehmen wird unterstützt von Founderslink, einem Internet-Investor bzw. -Inkubator, welcher unter anderem an Mister Spex und MyToys.de beteiligt ist.[/color-box]

Welcher Taktiken bedienen sich Hacker und wie kann ich mich dagegen schützen?

Phishing

Phishing-Seiten präsentieren sich als legitime Geschäftswebseiten wie zum Beispiel Online-Shops oder Online-Banking-Portale. Inzwischen sind viele der Phishing-Seiten so originalgetreu nachempfunden, dass es schwierig ist, die Betrüger von den realen Anbietern zu unterscheiden. Auch über gefälschte Emails im Namen von Banken oder dubiose Gewinnspiele wird Phishing betrieben. Dabei wird das Opfer um Angabe von verschiedensten persönlichen Daten gebeten: Name, Wohnort, Bankdaten, Passwörter und sogar Sozialversicherungs- und Führerscheinnummer können gefragt sein. Auch wenn zuverlässige Browser und viele Internet-Security-Programme in der Lage sind, die Phishing-Seiten zu erkennen, sollte man sich jedoch vor allem auf seine Intuition verlassen. Einzig ein genauer Blick in die URL-Leiste kann die Phishing-Seite entlarven. Vorausgesetzt man kennt die richtige URL des Anbieters. Einige Browser verschleiern die aufgerufene URL und verweisen nur auf die Haupt-Domain. Hier sollte man sich mit ein paar mehr Mausklicks im Zweifel aber schnell zu helfen wissen, wie die genaue URL lautet, auf der man sich grade befindet.

Täuschend echt: Sparkassen-Nachbildung als Phishing-Seite
Täuschend echt: Sparkassen-Nachbildung als Phishing-Seite

Trojaner und Spyware

Schadsoftware agiert heutzutage sehr weitreichend, z.B. durch:

  • Aufzeichnen der Tastaturbewegungen durch Keylogging
  • Heimliches Erstellen von Screenshots
  • Gewähren von Einsicht in Dateien
  • Ferngesteuertes Versenden von Nachrichten (z.B. bei Smartphones)
  • Tan-Verfahren von Online-Banking umgehen und Überweisungen abfangen

Natürlich kann man seltsame Email-Anhänge oder dubiose Internetseiten vermeiden, dennoch ist es allein damit nicht getan. Mittlerweile sind Hacker dazu in der Lage, die Online-Auftritte von seriösen Webangeboten mit Malware vollzupumpen. Um sich mit Schadsoftware zu infizieren, muss noch nicht mal etwas angeklickt oder heruntergeladen werden. Dabei kommt es zur sogenannten Drive-by-Infection; ausgelöst nur durch den Besuch der Seite. Dementsprechend sollten Rechner natürlich mit einer starken und stets aktuellen Antivirus-Software ausgestattet sein, die derlei Szenarien verhindert.

Passwörter knacken

Viele Internetuser machen den Fehler und verwenden das gleiche Passwort für jeden einzelnen Online-Account. Das ist ein schwerer Fehler, denn sollte es einem Hacker gelingen, einen Login-Prozess auszuspähen, hat er auch automatisch Zugang zu allen anderen Konten. Auch die Sicherheit der Passwörter ist häufig schlecht gewählt und können mithilfe von Brute-Force-Attacken leicht geknackt werden.. Kennworte wie der Name des Haustiers, „123456“ oder auch „Passwort“ sind keine Seltenheit und nur allzu leicht zu knacken. Das optimale Passwort besteht aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen, die am besten in keinem sinnvollen Zusammenhang zueinander stehen und keine nachvollziehbaren Worte ergeben.

[color-box]Tipp: Wem es verständlicherweise schwer fällt, sich viele solcher komplizierter Passwörter zu merken, dem sei zu einem Passwort-Manager geraten. Damit muss man sich nur noch ein Kennwort – den Masterschlüssel für die Software – merken und das Programm füllt alle Anmeldeformulare automatisch aus.[/color-box]

Informationen in sozialen Netzwerken beschaffen

In unseren leicht exhibitionistischen Zeiten müssen oft gar keine Tricks wie Phishing oder Malware angewendet werden, um an Daten zu kommen. Manchmal reicht schon ein Blick auf Facebook. Dort sind die Sicherheitseinstellungen einiger User aus Unwissen oder Geltungsdrang so niedrig eingestellt, dass sich Betrüger nach Lust und Laune an den Daten bedienen können. Ein Social- Media-Profil sollte so eingestellt sein, dass nur diejenigen, die vom User persönlich als vertrauenswürdig eingestuft werden, Zugriff und Einblick in die persönlichen Angaben haben. Ohnehin sollten sich User stets mehr als einmal fragen, ob sie eine bestimmte Information über Social-Media-Kanäle wirklich teilen sollten. Im Übrigen ist auch bei der Kommunikation in sozialen Netzwerken Vorsicht geboten: Man stelle sich einmal vor, eine Sicherheitslücke gibt die Facebook-Nachrichten preis oder der Account eines Freundes wurde gehackt und fortan missbraucht. Auch in diesem Falle gilt, äußerst vorsichtig und misstrauisch zu sein, wenn es um persönliche Daten geht.

Fremde WLAN-Verbindungen hacken

Beim sogenannten Session Hijacking erhalten Hacker Einblick in die Online-Aktivitäten von Nutzern, die in ein bestimmtes WLAN-Netzwerk eingewählt sind. Dazu ist lediglich simple und frei verfügbare Software wie Firesheep nötig. Deshalb sollte man nicht nur vermeiden, allzu persönliche Belange in öffentlichen Netzwerken abzuwickeln, sondern auch die heimische WLAN-Verbindung zu Hause so sicher wie möglich gestalten. Neben Sicherheitsstandards wie der Passwort-Verschlüsselung bestehen weitere Optionen wie die Verschleierung des Netzwerknamens oder das Abschalten des DHCP-Servers, mit dem automatisch IP-Adressen vergeben werden. Dadurch wird eine WLAN-Verbindung zwar noch lange nicht zu Alcatraz, aber man macht es Hackern immerhin schwerer als die meisten.

Spähprogramm Firesheep in Aktion
Spähprogramm Firesheep in Aktion

Identitätsdiebstahl wird in vielen Fällen leider viel zu spät festgestellt. Das kann manchmal daran liegen, dass viele User zu unregelmäßig ihre verschiedenen Accounts, insbesondere ihre Online-Banking-Konten überprüfen. Bevor der User feststellt, dass etwas nicht stimmt, wurden Konten bereits leer geräumt. Insofern kann ein regelmäßiger Check der Konten und natürlich auch der Kontoauszüge nicht schaden, selbst wenn kürzlich keine Finanzaktivitäten mit dem Konto durchgeführt wurden. So lässt sich die Aktivität von Cyberkriminellen frühzeitig feststellen und die entstandenen Schäden können noch vergleichsweise schnell begrenzt und aus der Welt geschafft werden.