Monat: Mai 2006

  • Schutz vor Spam: Spamfilter nachrüsten

    Sollte Ihr E-Mail-Programm noch nicht mit einem Spamfilter ausgestattet sein – das ist zum Beispiel bei älteren Outlook-Versionen der Fall –, können Sie den Filter kostenlos nachrüsten. Einen guten Filter für fast alle Mail-Programm finden Sie auf der Webseite www.spamihilator.com. Der Spamihilator entfernt über 98 Prozent der Spam-Mails bereits beim Herunterladen heraus.

    Einen interessanten und erfolgreichen Ansatz im Kampf gegen Spam verfolgt der Anbieter Spamfighter (www.spamfighter.de). Neben klassischen Spamfiltern setzt Spamfighter auf die Zusammenarbeit mit anderen Anwendern. Die über fünf Millionen Spamfighter-Nutzer sind untereinander vernetzt. Sobald Spamfighter in Ihrem Postfach Spam erkennt oder Sie eine Mail als Spam kennzeichnen, erfahren das auf einen Schlag auch alle anderen Spamfighter-Nutzer. Dadurch lassen sich Spammails viel besser erkennen als allein durch Filter. Auch Falschmeldungen treten kaum noch auf. Spamfighter gibt es kostenlos für Outlook und Outlook Express.

  • Schutz vor Spam: Spamfilter einsetzen

    Auch wenn Ihre E-Mail-Adresse trotz aller Vorsicht in die Mühlen der Spammer gelangt ist, ist der Kampf gegen die Werbeflut noch nicht verloren. Als letztes Mittel können Sie einen Spamfilter einsetzen. Der Filter wirkt wie ein Sieb, das alle eingehenden E-Mails überprüft. Handelt es sich eindeutig um Spam, werden sie automatisch ausgefiltert und landen erst gar nicht im Posteingang.

    Die Spamfilter versuchen, anhand von charakteristischen Merkmalen Spam von „echten“ E-Mails zu unterscheiden. Dabei kommen meist ausgeklügelte Wortfilter zum Einsatz, um etwa Werbung für Viagra – in welcher Schreibweise auch immer –gar nicht erst durchzulassen. Auch Merkmale wie dubiose Anhänge, übertriebene Geldversprechen, der massive Einsatz von Grafiken und vieles mehr sind für Spamfilter ein sicheres Indiz für Werbemüll.

    Viele Mailprogramme sind bereits von Hause aus mit Spamfiltern ausgestattet. Ab der Version 2003 ist zum Beispiel im E-Mail-Programm Outlook ein Spamfilter aktiv, der recht zuverlässig Spam erkennt und in einen eigenen Ordner Junk-E-Mail (Müll-E-Mail) verschiebt.

    Werbung lässt sich auch direkt beim Internetanbieter filtern. Viele Internetprovider wie Web.de (www.web.de), GMX (www.gmx.de) oder 1&1 (www.1und1.de) bieten für das Mailpostfach einen integrierten Spamfilter. Ideal ist eine Doppelstrategie: Verwenden Sie sowohl den Spamfilter des E-Mail-Anbieters als auch den Spamfilter des Mailprogramms. Dabei sollten Sie den Filter des Internetproviders auf Niedrig stellen, um zunächst nur die eindeutigen Fälle herauszufiltern. Der lokale Filter im Mailprogramm kann dann in der Stufe Hoch den Rest erledigen.

    Wenn Sie einen Spamfilter zum ersten Mal einsetzen, sollten Sie ihm zunächst einige Wochen auf die Finger schauen. Denn oftmals werden „echte“ Mails fälschlicherweise als Spam erkannt und ausgefiltert. Werfen Sie daher regelmäßig einen Blick in die Spam-Ordner, um fälschlich aussortierte Werbung wieder als unbedenklich zu kennzeichnen. Bei den meisten Spamfiltern können Sie zudem eine Whitelist aller Empfänger anlegen, die niemals als Spam aussortiert werden. Hier sollten Sie alle Freunde, Bekannte und Familienmitglieder eintragen.

  • Tipps für weniger E-Mail-Werbung: So vermeiden Sie Spam

    Spam ist nicht nur lästig, es kostet auch bares Geld. Durch das stundenlange Lesen und Löschen von Spam-Mails hat sich Spam zum regelrechten Arbeitszeitkiller entwickelt. Einer EU-Studie zufolge belaufen sich die Kosten durch Spam allein in Europa pro Jahr auf über 2,5 Milliarden Euro.

    Die gute Nachricht: Wenn Sie sorgsam mit Ihrer E-Mail-Adresse umgehen, können Sie das Überfluten des Posteingangs mit Spam-Mails verhindern. Folgende Maßnahmen haben sich in der Praxis bewährt:

    – Sorgsam mit der Adresse umgehen

    Der wichtigste Ratschlag: Deklarieren Sie Ihre E-Mail-Adresse zur „Geheimsache“. Geben Sie sie nicht blind an jeden weiter. Die private E-Mail-Adresse sollte nur Freunden und Verwandten bekannt sein. Je häufiger Sie die E-Mail-Adresse im Internet angeben – etwa bei Gewinnspielen oder Newsletter-Anmeldungen –, umso schneller fällt sie in die Hände der Spammer. Einmal in einer Adressliste eines Spammers gelandet, kommen Sie aus der Spam-Spirale nicht mehr heraus.

    – Separate E-Mail-Adressen für jeden Zweck

    Bei einigen Internetanbietern können Sie mehrere E-Mail-Adressen anlegen und diese auf eine Haupt-Adresse umleiten. Diesen Service sollten Sie nutzen, um für jeden Zweck eine eigene Adresse zu verwenden, etwa onlineshop-xyz@meineadresse.de für Bestellungen beim im Onlineshop XYZ. Wenn Sie später genau an diese Adresse Spam-Mails erhalten, wissen Sie zumindest, wer Ihre Adresse an Adresshändler weiterverkauft hat. Viel wichtiger ist jedoch die Möglichkeit, beim Internetanbieter die Adresse zu sperren oder alle dorthin geschickten Mails über den Regelassistenten des Mail-Programms direkt in den Papierkorb umzuleiten.

    – Zweit- und Dritt-Adressen einrichten

    Falls Ihr Internetanbieter keine Möglichkeit bietet, zusätzliche Adressen anzulegen, können Sie bei anderen Anbietern eine Zweit- oder Drittadresse einrichten. Diese können Sie dann für Internet-Gewinnspiele oder ähnliche Angebote verwenden. Bei diesen Adressen spielt es dann keine Rolle, falls sie mit unerwünschter Werbung überflutet werden. Nimmt die Werbeflut überhand, können Sie das Benutzerkonto für die Zweitadresse löschen und ein neues erstellen. Kostenlose E-Mail-Adressen erhalten Sie bei Anbietern wie GMX (www.gmx.de) oder Web.de (www.web.de). Die Anmeldung dauert nur wenige Minuten und wird ausführlich auf der Internetseite des Anbieters erläutert.

    – Einmalige Wegwerf-Adressen verwenden

    Bei Anmeldung zu einem Gewinnspiel, einem Forum oder ähnlichen Onlinediensten müssen Sie sich mit Ihrer E-Mail-Adresse anmelden, an die dann ein Bestätigungslink geschickt wird. Für solche Zwecke eignen sich Wegwerf-E-Mail-Adressen. Das sind Adressen, die nur einmal und dann nie wieder gebraucht werden. Sollte ein Spammer diese Adresse in die Hände bekommen, bleiben Sie davon unberührt, da alle weiteren Mails an die Einwegadresse ins Leere gehen. Eine kostenlose Wegwerf-Adresse bekommen Sie beispielsweise bei Spamgourmet unter www.spamgourmet.com. Hier können Sie festlegen, dass die Adresse nach einer bestimmten Anzahl eingehender Mails oder einer festgelegten Gültigkeitsdauer automatisch wieder gelöscht wird.

    – E-Mail-Adressen verschleiern

    Wegwerf-Adressen eignen sich nur für einmalige Verwendungen wie Anmeldungen bei Onlineforen. Mitunter lässt es sich aber kaum vermeiden, die eigene E-Mail-Adresse im Internet zu veröffentlichen, zum Beispiel im Impressum der eigenen Webseite oder in Foren bzw. Newsgroups. Genau hier suchen die sogenannten Adress-Harvester (Adressen-Ernter) nach neuen Adressen. Roboter durchforsten das Internet regelrecht nach hier veröffentlichten E-Mail-Adressen. Daher sollten Sie E-Mail-Adressen so verschleiern, dass zumindest Adressen-Roboter die Adresse nicht automatisiert einlesen können. Hierzu können Sie die Adresse zum Beispiel nicht in Textform, sondern als Grafik einfügen. Geben Sie die Adresse als Text in Word oder Wordpad ein, und legen Sie sie mit der [Druck]-Taste als Grafik in die Zwischenablage. Über den Befehl Bearbeiten | Einfügen können Sie die Grafik anschließend in ein Grafikprogramm einfügen und daraus eine JPG-Datei erstellen. Wenn Sie diese Grafik auf Ihre Webseite platzieren, ist sie zwar für das menschliche Auge lesbar, nicht jedoch für Adress-Roboter.

    Wenn Sie Ihre E-Mail-Adresse in Onlineforen oder Newsgroups angeben möchten, lässt sich der Grafiktrick leider nicht anwenden. Hier sollten Sie zu einer anderen List greifen. Verschleiern Sie Ihre Adresse mit Texthinweisen, die Adressroboter nicht entziffern können. Geben Sie die Adresse zum Beispiel statt in der Form

    annemariemueller@meine-adresse.de

    als

    annemariemuellerLOESCHMICH@meine-adresse.de (LOESCHMICH vorher löschen)

    oder

    annemariemueller-at-meine-adresse.de (-at- durch @ ersetzen)

    an. Wer Ihnen eine E-Mail schicken möchte, muss zuvor den angegebenen Hinweis befolgen und beispielsweise den Zusatz LOESCHMICH entfernen.

    – Kontaktaufnahmen mit Werbetreibenden vermeiden

    Keine Frage, E-Mail-Werbung ist lästig. Doch auch wenn es in den Fingern juckt, den Absendern die Meinung zu sagen und sie aufzufordern, in Zukunft auf Werbemails zu verzichten, sollten Sie darauf verzichten. Vermeiden Sie grundsätzlich jegliche Kommunikation mit dem Absender der Werbemails und antworten Sie keinesfalls auf Spam. Denn dann tritt genau das Gegenteil ein und Sie erhalten noch mehr Werbung. Der Grund: Wenn Sie auf eine Werbemail antworten, wissen die Absender, dass die Adresse tatsächlich existiert und Werbung gelesen wird. Die Adresse ist für Spammer dann noch wertvoller und wird unverzüglich an weitere Werbetreibende verkauft. Die Folge sind noch mehr Spam-Mails.

    Vermeiden Sie es auch in Newslettern oder Werbebriefen auf Links zum angeblichen Austragen aus der Liste zu klicken. Meist sind die Links mit Austragen, Remove Me, Unsubsrcibe oder Unlist gekennzeichnet. Auch hier erkennt der Werbetreibende nach dem Klick sofort, dass Ihre E-Mail-Adresse existiert.

  • Schutz vor Spam-Mails: So entsteht Spam

    Früher oder später erwischt es jedes Mail-Postfach: Der Posteingang quillt über vor lästigen Werbemails. Spam lässt sich zwar kaum vermeiden, aber eindämmen. Intelligente Spamfilter sorgen dafür, dass Spammails gar nicht erst im Postfach landen.

    Wie entsteht Spam eigentlich?

    Als Spam wird das massenhafte Verschicken von Werbe-E-Mails bezeichnet. Die Versender der elektronischen Werbung – im Fachjargon Spammer genannt – senden dabei mehrere Millionen E-Mails gleichzeitig an Empfänger weltweit. Das „Erfolgsgeheimnis“ von E-Mail-Spam: Im Vergleich zu herkömmlicher Werbung auf dem Postweg entstehen beim E-Mail-Spam praktisch keine Kosten. Ob nur eine oder zehn Millionen E-Mails verschickt werden, spielt auf der Kostenseite kaum eine Rolle.

    Ursprünglich ist Spam die Abkürzung für Spiced Ham (Gewürzter Schinken) und seit 1936 in den USA ein Markenname für Dosenfleisch. Dass Spam ein Synonym für massenhaft verschickte E-Mails wurde, liegt an einem Sketch der Comedyserie Monthy Python’s Flying Circus, in dem das Wort Spam über einhundert Mal erwähnt wird. Im Sketch geht es um eine Speisekarte, die nur aus Gerichten mit Spam besteht.

    Für Spammer gilt: Je mehr Empfänger auf dem E-Mail-Verteiler stehen, umso größer stehen die Chancen, dass genügend Empfänger auf die Werbung hereinfallen. Wenn von einer Million Empfängern nur 0,05 Prozent ein neues Produkt kaufen, sind das immerhin 5.000 neue Kunden. Und genau darauf spekulieren die Spam-Versender.

    Spammer sind daher immer auf der Suche nach neuen E-Mail-Adressen. Im Internet gibt es Adresshändler, die E-Mail-Adressen sammeln und an Spammer verkaufen; und das in Paketen zu einer Million, fünf Millionen, zehn Millionen oder 100 Millionen Adressen.

    Da es für Spammer so einfach ist, an neue E-Mail-Adressen zu kommen, steigt die Masse an Spam-Mails von Tag zu Tag. Nach aktuellen Studien des MessageLabs Intelligence Report (www.messagelabs.com/Threat_Watch/Intelligence_Reports) sind im Schnitt fast zwei Drittel der im eigenen Postfach landenden E-Mails Spam.

    Rechtlich sind Sie in Sachen Spam eigentlich auf der sicheren Seite. In Deutschland darf E-Mail-Werbung nur dann verschickt werden, wenn das Einverständnis des Empfängers vorliegt. Allerdings können selbst hohe Bußgelder, die in Deutschland und anderen Ländern für unverlangt zugesandte Werbemails drohen, Spammer nicht abschrecken. Da über 90 Prozent der Absender die Werbeflut aus dem Ausland verschicken, gibt es kaum eine rechtliche Handhabe gegen die Versender.

    Wichtig ist es daher, gar nicht erst mit der eigenen E-Mail-Adresse in den Listen der Adresshändler zu landen. Denn wer dort erst einmal eingetragen ist, kommt nie mehr aus den Listen heraus und wird sein Leben lang von Spam belästigt.

  • Phishing: Richtig reagieren bei Phishing-Angriffen

    Die Maschen der Webbetrüger werden immer dreister. Selbst für erfahrene PC-Benutzer ist es nicht immer einfach, eine „echte“ E-Mail oder Webseite von einer gefälschten zu unterscheiden. Sollten Sie trotz der Sicherheitsvorkehrungen doch auf einen Phishing-Angriff hereingefallen sein, müssen Sie rasch reagieren.

    Wenn Sie zum Beispiel merken, dass während des Onlinebankings die Verbindung abbricht oder plötzlich statt der Überweisungsbestätigung die Startseite der Bank erscheint, sollten umgehend den Browser schließen und einen alternativen Browser wie Firefox (www.mozilla.com) oder Opera (de.opera.com ) starten. Melden Sie sich hier noch einmal mit Ihren Zugangsdaten bei der Bank an und prüfen Sie, ob zum Beispiel die getätigte Überweisung auch tatsächlich durchgeführt wurde. Taucht die Überweisung im Onlinekontoauszug auf, ist alles in Ordnung. Fehlt die Überweisung in der Liste, sollten Sie telefonisch bei der Bank nachzufragen, ob sie angekommen ist.

    Besteht der Verdacht, dass Ihre Zugangsdaten oder PIN und TANs ausspioniert wurden, ändern Sie umgehend Ihre PIN. Melden Sie sich hierzu bei Ihrem Onlinekonto an, und ändern Sie die PIN-Nummer. Falls Sie auf Anhieb den passenden Menüpunkt nicht finden, sperren Sie den Zugang einfach. Dazu hilft ein Trick: Melden Sie sich drei Mal hintereinander absichtlich mit einer falschen PIN bei Ihrem Konto an. Beim dritten Fehlversuch sperrt die Bank den Zugang. Damit kommen Sie zwar selbst nicht mehr online ins Konto, die Hacker aber auch nicht. Wenden Sie sich anschließend an Ihren Kundenberater, um den Zugang wieder zu entsperren und neue Zugangsdaten zu beantragen. Das ist bei allen Banken problemlos möglich.

  • Phishing: Sicher surfen mit dem Phishingfilter

    Im Kampf gegen Phishing-Angriffe werden Sie vom Betriebssystem bzw. dem Browser unterstützt. Ab der Version 7 ist im Internet Explorer ein Phishingfilter integriert. Bei jeder aufgerufenen Webseite prüft der Browser, ob die Webadresse „sauber“ ist oder eventuell auf einer Liste der „Schwarzen Schafe“ steht. Erst wenn der Phishingfilter keine Gefahr sieht, wird die Seite angezeigt. Kommt dem Filter etwas verdächtig vor, erscheint statt der Webseite eine Warnmeldung.

    Welche Version des Internet Explorers auf Ihrem Rechner installiert ist, erfahren Sie über das Fragezeichenmenü und den Befehl Info. Sollte noch eine alte Version installierten sein – etwa Internet Explorer 6 –, sollten Sie den Browser aktualisieren. Die neueste Version inklusive Phishingfilter finden Sie auf der Webseite www.microsoft.com/germany/windows/ie. Eine gute Alternative sind Firefox (www.mozilla.com) oder Opera (de.opera.com ), die ebenfalls mit Phishingfiltern ausgestattet sind.

    Der Internet Explorer unterscheidet zwischen gelben und roten Warnungen. Gelb gekennzeichnete Seiten weisen zwar die typischen Eigenschaften einer Phishingwebseite auf, sind jedoch nicht auf „Schwarzen Liste“ der bereits gemeldeten Phishingseiten. Daher sollten Sie bei diesen Seiten besonders vorsichtig sein und keine persönlichen Daten, Kennwörter oder PIN/TAN-Nummern eingeben.

    Eindeutig ist die Sachlage bei rot markierten Webseiten. Da es sich hier eindeutig um Phishingseiten handelt, wird die Webseite vom Internet Explorer blockiert und gar nicht erst angezeigt.

    Dass der Phishingfilter im Hintergrund eine Seite prüft, können Sie leicht erkennen. Während des Prüfvorgangs, der in der Regel nur wenige Augenblicke dauert, erscheint in der Statusleiste des Browsers ein kleines Fenstersymbol mit Ausrufezeichen. Sollte das kleine Icon nicht erscheinen, ist der Phishingfilter deaktiviert. Rufen Sie in diesem Fall den Befehl Extras | Phishingfilter | Phishingfiltereinstellungen auf, und prüfen Sie, ob im Abschnitt Phishingfilter die Option Automatische Websiteprüfung einschalten aktiviert ist.

    Sollten Sie nicht sicher sein, ob der Browser die aktuelle Webseite geprüft hat oder nicht, können Sie die Prüfung manuell wiederholen. Wählen Sie hierzu im Menü Extras den Befehl Phishingfilter | Diese Webseite überprüfen. Bedenken Sie, dass Phishingfilter keinen hundertprozentigen Schutz von Webbetrügern bieten. Mitunter kann es passieren, dass Sie trotz eingeschaltetem Filter auf einer Phishingseite landen. Vertrauen Sie nicht blind der Schutzfunktion des Browser, und beachten Sie auch weiterhin die oben genannten Sicherheitshinweise im Umgang mit E-Mails und Webseiten.

    Übrigens: Sollte Ihnen eine Webseite verdächtig vorkommen, können Sie sie Microsoft melden. Wenn Sie den Befehl Extras | Phishingfilter | Diese Webseite melden aufrufen, wird die Seite von den Phishing-Experten überprüft gegebenenfalls in die „Schwarze Liste“ aufgenommen.

  • So schützen Sie sich gegen Phishing-Betrüger

    Um gegen Phishing-Angriffe gefeit zu sein, hilft vor allem eine Portion gesundes Misstrauen. Wenn Sie folgende Verhaltensregeln verinnerlichen, verlaufen Phishing-Attacken ins Leere:

    E-Mails generell misstrauen

    Misstrauen Sie generell jedem, der PIN, TAN oder Zugangskennwörter verlangt – selbst wenn die Aufforderung scheinbar von einem vertrauenswürdigen Absender stammt.

    Kine Links in E-Mails anklicken

    Klicken Sie nie auf Links in E-Mails, insbesondere wenn der Link angeblich zur Webseite Ihrer Bank führt. Wenn Sie die Webseite Ihrer Bank besuchen möchten, geben Sie die Adresse stattdessen immer von Hand in die Adresszeile des Browsers ein, oder verwenden Sie einen selbst angelegten Favoriteneintrag.

    Geheimdaten nie speichern

    Sensible Daten wie Passwörter, PIN und TAN sollten niemals auf dem Computer gespeichert werden. Auch dann nicht, wenn die Homebanking-Software eine solche Möglichkeit anbietet. Sind die Daten im Rechner hinterlegt, ist es für Viren und Trojaner ein leichtes, sie auszuspähen und unbemerkt an einen Betrüger zu senden. Lassen Sie zudem die TAN-Listen Ihrer Bank nicht offen liegen. Auch das Versteck unter der Tastatur ist keine gute Wahl. Am besten bewahren Sie die Nummernblöcke in einem Versteck auf, zum Beispiel unauffällig in einem Buch. Zudem sollten Sie PIN und TAN nie gemeinsam, sondern getrennt verstecken oder die PIN-Nummer auswendig lernen und den Originalzettel vernichten.

    Kontoauszüge kontrollieren

    Überprüfen Sie regelmäßig die Kontoauszüge auf ungewöhnliche Buchungen. Um den möglichen Schaden zu begrenzen vereinbaren Sie mit der Bank ein Limit für Überweisungen, etwa 1.000 Euro pro Überweisung oder Tag.

    Onlinebanking nur Zuhause

    Bankgeschäfte sollten Sie nur am heimischen PC durchführen. Öffentlichen Computer, etwa in Internet-Cafés oder Hotels sind für Homebanking nicht geeignet.

  • So erkennen Sie Phishing-Mails

    Um nicht auf die Phishing-Masche hereinzufallen, gibt es eine goldene Sicherheitsregel: Wenn es um Geld und Zugangsdaten geht, klicken Sie niemals auf die Links, die in E-Mails enthalten sind. Denn bei E-Mail-Links können Sie nie sicher sein, wohin sie führen. Stattdessen geben Sie die Webadresse Ihrer Bank immer direkt in das Browserfenster ein. Damit stellen Sie sicher, dass Sie nicht heimlich auf die Webseite eines Betrügers umgeleitet werden.

    Phishing ist übrigens nicht nur beim Onlinebanking ein Problem. Die Webbetrüger sind überall dort aktiv, wo Zugangsdaten erforderlich sind. Neben PIN und TAN haben es die Gauner auch auf Benutzernamen und Kennwörter von Onlineshops oder Auktionshäusern abgesehen.

    Bei Phishing-Mails fälschen Betrüger sowohl den Absender als auch den E-Mail-Text. Die Methoden werden immer perfekter. Auf den ersten Blick sehen Phishing-Mails aus wie offizielle E-Mails von Banken und Geldinstituten oder Onlineshops. Nur wenn man näher hinschaut, lassen sich Phishing-Mails enttarnen. Achten Sie auf folgende typische Merkmale von Phishing-Mails:

    Stichwort Sicherheit

    Typischerweise drehen sich fast alle Phishing-Mails um das Thema Sicherheit; meist geht es um vermeintliche Sicherheitsaktualisierungen, Verbesserung der Schutzfunktionen oder Überprüfung der Zugangsdaten.

    Dringender Handlungsbedarf

    Phishing-Mails fordern zu unverzüglichem Handeln auf, oft kombiniert mit Drohungen, anderenfalls den Zugang zum Onlinebanking zu sperren.

    Rechtschreibfehler

    Da Phishing-Angriffe meist aus dem Ausland erfolgen, enthalten Phishing-Mails oft Rechtschreibfehler, Buchstabendreher oder holprige Satzkonstruktionen.

    Gefälschte Links

    Zentrales „Werkzeug“ der Angreifer sind gefälschte Links im E-Mail-Text. Auf den ersten Blick erwecken die Internetlinks den Anschein, als führten sie direkt zur Bank. Alles nur Tarnung. In Wirklichkeit führt der Link direkt zur Webseite des Betrügers. Erkennbar ist das meist nur, wenn Sie in den Quelltext der E-Mail schauen. Hierzu mit der rechten (!) Maustaste in das Mailfenster klicken und den Befehl Quelle anzeigen aufrufen. Wohin der Link wirklich weist, erfahren Sie im Quelltext in der Zeile <a href=…>.

    Fehlende Sicherheitsmerkmale auf der Phishingseite

    Auch wenn Sie bereits einen Phishing-Link angeklickt haben, ist es noch nicht zu spät. Erst wenn Sie hier Ihre Zugangsdaten oder PIN und TAN eingeben, hat der Angreifer sein Ziel erreicht. Dass Sie sich auf einer manipulierten Webseite befinden, lässt sich anhand einiger Schlüsselmerkmale leicht erkennen.

    Phishing-Angreifer verzichten zum Beispiel auf eine Verschlüsselung der Webseite. Auf Phishing-Webseiten fehlt daher das Schloss-Symbol unten rechts in der Taskleiste bzw. am rechten Rand der Adresszeilen, das normalerweise bei verschlüsselten Webseiten erscheint. Zudem steht in der Adresszeile statt https (s steht hier für Sicherheit bzw. Verschlüsselung) lediglich http. Nur wenn die Adresszeile mit https (wichtig ist das s) beginnt, handelt es sich um eine verschlüsselte Webseite.

    Ebenfalls verdächtig: Beim Onlinebanking wird bei der Anmeldung nur nach der Kontonummer und PIN-Nummer gefragt und erst bei Bankgeschäften wie Überweisungen nach TAN-Nummern. Sollte im Formular gleichzeitig nach PIN und TAN gefragt werden, befinden Sie sich auf einer Phishing-Seite.

  • PIN und TAN in Gefahr: Phishing

    Wenn Sie Ihre Bankgeschäfte nicht mit HBCI und Banksoftware, sonder über den Internet-Browser und PIN/TAN-Verfahren tätigen, müssen Sie auf sogenannte Phishing-Attacken Acht geben. Mit raffinierteren Tricks versuchen Webbetrüger, an die PIN und TAN-Nummern zu kommen und danach das Konto leerzuräumen. Beim Phishing wird im wahrsten Sinne des Wortes nach PINs und TANs gefischt.

    Phishing funktioniert nach einem ganz einfachen Prinzip: Die Angreifer verschicken massenhaft gefälschte E-Mails, sogenannte Phishing-Mails. Hier werden Sie aufgefordert, einen in der Mail angegebenen Link anzuklicken. Meist geht es dabei um vermeintliche Sicherheitsaktualisierungen, die unverzüglich durchgeführt werden müssen. Sowohl die Absenderadresse als auch der Link zur Bank sind jedoch gefälscht. Statt auf der Homepage Ihrer Bank landen Sie auf der Webseite der Betrügers. Das Tückische dabei: Die gefälschte Seite sieht auf den ersten Blick tatsächlich aus wie die echte Bankseite – der Betrüger hat die Originalseite meist nur kopiert. Auf der gefälschten Seite werden Sie aufgefordert, Ihre PIN sowie einige TAN-Nummern einzugeben, um sich zu legitimieren. Wer der Aufforderung nachkommt, tappt direkt in die Falle der Betrüger. Eingegebene PIN- und TAN-Nummern landen beim Betrüger, der damit den Schlüssel zum Bankkonto erhält und mit den TAN-Nummern Geld vom Konto abheben kann.

  • PIN, TAN, iTAN, HBCI & Co. – Wie sicher ist Homebanking?

    Onlineshops wie Amazon oder Auktionshäuser wie ebay setzen als Zugangskontrollen auf Benutzernamen und Kennwörter. Wer das richtige Passwort eingibt, kann im Shop einkaufen oder Waren ersteigern. Beim Homebanking reicht die Zugangskontrolle per Kennwort nicht aus. Onlinebanken setzen weitaus raffiniertere und effektivere Mechanismen ein, um Geldgeschäfte sicher zu machen. Und das ist auch gut so, denn sonst könnte jeder, der in den Besitz des Kennworts gelangt, auf die Onlinekonten zugreifen.

    Beim Homebanking kommen verschiedene Sicherheitsmechanismen zum Einsatz, um Bankgeschäfte am PC sicher zu machen:

    PIN/TAN-Verfahren

    Viele Banken verwenden das PIN/TAN-Verfahren. Sie erhalten von Ihrer Bank per Post zwei Nummern bzw. Nummernblöcke: die PIN-Nummer sowie TAN-Nummernblöcke. Die PIN (Personal Identification Number) ist Ihr Kennwort zum persönlichen Bankingbereich der Bank. Die PIN-Nummer alleine gestattet jedoch noch keine Bankgeschäfte wie Überweisungen oder Aktienkäufe. Damit lassen sich lediglich Kontostände oder Umsatzlisten einsehen. Erst die TAN-Nummern machen Überweisungen und andere Bankgeschäfte möglich. Sie erhalten von der Bank eine Liste mit knapp 100 Transaktionsnummern. Für jede Überweisung oder Auftragserteilung fragt die Bank nach einer neuen Transaktionsnummer. Erst wenn eine gültige TAN-Nummer des TAN-Blocks eingeben wird, führt die Bank den Auftrag durch.

    Die TAN funktioniert wie ein Einmalpasswort. Wurde sie für eine Banktransaktion verwendet, ist die Nummer verbraucht; für weitere Bankgeschäfte benötigen Sie eine neue TAN-Nummer. Dabei spielt es keine Rolle, in welcher Reihenfolge Sie vorgehen. Sie können jede beliebige Transaktionsnummer des TAN-Blocks verwenden. Sobald alle Transaktionsnummern verbraucht sind, erhalten Sie von der Bank automatisch einen neuen TAN-Block.

    Wenn Sie sorgsam mit PIN und TAN umgehen, ist das PIN/TAN-Verfahren eine sichere Methode, um gefahrlos alle Bankgeschäfte am PC zu erledigen. Weiter unten im Abschnitt Gegen Phishing schützen erfahren Sie, wie Sie PIN und TAN sicher aufbewahren und einsetzen.

    Erweiterte TAN-Verfahren

    Um das PIN/TAN-Verfahren noch sicherer zu machen, wird es bei vielen Banken mittlerweile durch erweiterte Verfahren abgelöst, meist durch das iTAN-Verfahren (indiziertes TAN-Verfahren). Das funktioniert im Prinzip wie das PIN/TAN-Verfahren; die Transaktionsnummern sind hier jedoch zusätzlich nummeriert (indiziert).

    Jeder TAN-Nummer erhält auf dem TAN-Block eine fortlaufende Nummer, etwa von 1 bis 100. Bei einer Überweisung können Sie dann nicht mehr eine beliebige TAN-Nummer verwenden, sondern werden von der Bank aufgefordert, eine ganz bestimmte TAN einzugeben, etwa TAN Nr. 46. Zudem kann die von der Bank angeforderte TAN nur für diese eine Transaktion verwendet werden. Andere Transaktionen sind damit nicht möglich. Das erhöht die Sicherheit gegenüber dem klassischen PIN/TAN-Verfahren. Beim „alten“ Verfahren musste ein Datendieb nur eine beliebige TAN-Nummer ergaunern, um zusammen mit der PIN Überweisungen zu tätigen. Anders beim iTAN-Verfahren: Da hier explizit nach einer ganz bestimmten TAN gefragt wird, müssten Onlinebetrüger genau diese TAN ergattern.

    Neben iTAN gibt es weitere TAN-Verfahren, die die Sicherheit der Transaktionsnummern erhöhen. Beim mTAN-Verfahren (Mobile TAN) erhalten Sie nach dem Ausfüllen einer Überweisung per SMS eine einmalig und nur für wenige Minuten gültige Transaktionsnummer. In der mTAN ist zusätzlich die Zielkontonummer enthalten, um eine Umleitung auf ein anderes Konto unmöglich zu machen. Einige Banken setzen auch einen sogenannten Smart-TAN-Generator ein. Das ist ein kleines Zusatzgerät, das zusammen mit der ec-/Maestro-Karte auf Knopfdruck TANs in einer bestimmten Reihenfolge generiert.

    HBCI

    Als drittes Verfahren hat sich HBCI (Homebanking Computer Interface) etabliert. HBCI ist das bisher sicherste Bankingverfahren; allerdings ist es – zumindest bei der Ersteinrichtung – auch das komplizierteste. Beim HBCI erhalten Sie von Ihrer Bank eine Chipkarte, auf der Ihr individueller Homebanking-Schlüssel gespeichert ist. Jede Banktransaktion wird mit diesem Schlüssel von Ihnen digital unterschrieben.

    Um den HBCI-Zugang einzurichten, ist zunächst einiger Aufwand notwendig. Nach der Installation der Banking-Software erzeugen Sie auf Ihrem PC einen digitalen Schlüssel. Diesen Schlüssel müssen Sie ausdrucken, unterschreiben und per Post an die Bank schicken. Anhand des Ausdrucks kann die Bank erkennen, dass der Schlüssel auch tatsächlich von Ihnen stammt. Erst jetzt schaltet die Bank den HBCI-Zugang Ihres Kontos frei. Geldgeschäfte sind dann nur noch in Kombination mit Ihrer PIN und der HBCI-Karte möglich.

    Wichtigster Unterschied zum PIN/TAN-Verfahren: HBCI-Bankgeschäfte lassen sich nicht im Browser erledigen; Sie brauchen hierzu eine Bankingsoftware wie WISO Mein Geld oder StarMoney. Die Kombination aus HBCI-Chipkarte und Bankensoftware schützt am besten vor Phishing-Attacken.

    Falls Ihre Bank nur das PIN/TAN-Verfahren anbietet oder Ihnen HBCI zu kompliziert ist, können Sie Onlinebanking mit einem Trick erheblich sicherer machen. Verwenden Sie für die Bankgeschäfte nicht den Internet-Browser, sondern eine Banking-Software. Da die Bankgeschäfte damit nicht mehr über Webseiten, sondern innerhalb der Bankingsoftware ablaufen, geht von gefälschten Webseiten keine Gefahr mehr aus – sofern Sie ausschließlich die Bankingsoftware nutzen. Besonders empfehlenswert sind die Finanzprogramme Quicken Deluxe (www.quicken.de), WISO Mein Geld (www.buhl.de) und StarMoney (www.starmoney.de).

    Neben der erhöhten Sicherheit bieten Bankingprogramme weitere Vorteile. Sie können damit Ihr gesamtes Vermögen wie Sparbuch, Girokonto, Bausparvertrag, Kreditkartenkonto, Wertpapierdepot und Barmittel verwalten. Zudem gibt es nützliche Komfortfunktionen wie Vorlagen für häufige Überweisungen, umfangreiche Such- und Sortierfunktionen zum Auffinden von Buchungen sowie Finanzberichte und Auswertungen zur Einnahmen- und Ausgabenentwicklung oder Wertpapiergewinnen.