"Ihr Paket hat Verspätung. Bestätigen Sie die Lieferung jetzt." Diese und ähnliche SMS verunsichern seit Wochen Kunden, die tatsächlich auf Bestellungen von Onlinehändlern warten. Der Link, der sich in der SMS angeklickt werden soll, führt zur Installation von Schadsoftware, die Zugangs- und Kontodaten auslesen kann. Einen hundertprozentigen Schutz dagegen gibt es nicht, aber bestimmte Regeln, die im Umgang mit Spam eingehalten werden sollten.

Gefahr Homeoffice

Seit anderthalb Jahren, also anders gesagt, seit der Pandemie, blüht das Geschäft der Spam- und Phishing-Attacken wieder einmal auf. 35.915 Anzeigen wegen Internetkriminalität gab es im Jahr 2020, ein Zuwachs von rund 26 Prozent im Vergleich zum Vorjahr und fast doppelt so viele Anzeigen wie 2018. Der Schaden, der sowohl Privatpersonen als auch Firmen entsteht, beträgt laut Wirtschaftskammer mehrere Hundert Millionen Euro. Als einen der Hauptgründe erkennt Joe Pichlmayr vom Austria Security Hub das verstärkte Homeoffice: "Viele Mitarbeiter arbeiten mit ihrer privaten IT-Ausstattung, was zwangsweise zu Sicherheitslücken führt." Sogar Ministerien sind laut einem aktuellen Rechnungshof-Bericht von dieser laschen Sicherheitspolitik betroffen. Dienstliche Daten finden sich somit schnell auf privaten Geräten, die von keiner professionellen IT-Abteilung geschützt werden.

"Mit dem Diebstahl von Daten kann man schnell Geld verdienen, deshalb ist dieser Markt für so viele interessant", erklärt Pichlmayr die derzeitige Situation. Die geringen Kosten für das Versenden von Spam-Mails sind ebenfalls ein Hauptgrund, warum diese Art der Cyberkriminalität so populär ist.

Hinter dem Versand können Einzeltäter stecken, meist sind es aber kriminelle Netzwerke, die ein Stück vom millionenschweren Datenkuchen haben wollen. Egal ob es um die Angriffstools geht oder den Handel mit den Daten selbst, überall gibt es bereits einen großen Markt. Die Professionalisierung der Attacken ist ebenfalls zu spüren. Mails beinhalten mittlerweile eine direkte Anrede, weil die gestohlene Mail-Adresse oft auch den Namen des Nutzers enthält, die Grammatik ist mittlerweile fast fehlerfrei und die Versandadressen der Betrüger sehen zunehmend echten E-Mail-Adressen zum Verwechseln ähnlich. So erkennt man auf den ersten Blick oft nicht, ob es sich um Betrug oder um eine echte Anfrage handelt.

Schutzmöglichkeiten

"Datenschutz ist komplex und oft undurchsichtig", bestätigt Marc Nimmerrichter von der Beratungsfirma Certitude: "Man hat das Gefühl, man kann nicht durch einfache Hebel einen hundertprozentigen Schutz hochfahren, und das erzeugt oft eine gewisse Ohnmacht beim Nutzer." Dennoch gibt es Regeln, die einen guten Schutz gegen viele der Angriffe ermöglichen. Zunächst einmal sollte man alle Browser auf seinen Geräten, beispielsweise Safari, Edge oder Chrome, immer aktuell halten. Sowohl auf dem Desktop-Rechner als auch auf dem Smartphone. Bei Angriffen durch Schadsoftware sind oft ältere Geräte betroffen, die keine aktuellen Updates mehr erhalten. Außerdem sollte man die eigene E-Mail-Adresse nur dort angeben, wo es unbedingt nötig ist. Taucht sie nämlich einmal im Internet auf, dann ist sie wahrscheinlich schon in einer der vielen Datenbanken, die von Angreifern genutzt werden. Ist das passiert, sollte man tatsächlich das Anlegen einer Alternativ-Adresse andenken.

Weiters gilt, Dateien in E-Mails oder SMS immer vorsichtig zu behandeln und nur dann zu öffnen, wenn die Quelle bekannt ist. Programme, die zum Öffnen dieser Dateien gebraucht werden, müssen ebenfalls immer aktuell gehalten werden. Meist sind es Office-Dateien, also Word, Excel oder Powerpoint. "Office-Dokumente haben die größte Angriffsfläche, deshalb werden sie gerne genutzt", sagt Nimmerrichter.

Links von unbekannten Quellen gilt es immer zu ignorieren. Hat man eine Datei dennoch einmal geöffnet, dann ist es ratsam, diese schnell wieder zu löschen. Hat man das eigene Betriebssystem und die benutzte Software zum Öffnen auf dem aktuellsten Stand, dann sollte noch nicht viel passiert sein. Zudem lohnt das regelmäßige Ändern des Passworts, wenn man nicht auf Zwei-Faktor-Authentifizierung setzen will. Und zu guter Letzt ist ein guter, glaubwürdiger Provider beziehungsweise IT-Dienstleister eine gute Rückversicherung, da diese meist bessere Spam-Filter nutzen.

Trends

Das Phänomen Spam-Angriffe wird bleiben, da sind sich die Experten einig. "E-Mails sind dezentral, und jeder kann sie gratis verschicken. Hier gibt es auch keine zuständige Behörde, die eingreifen könnte, um etwaige Sicherheitsstandards durchzusetzen", sagt Nimmerrichter. Pichlmayr vom Austria Security Hub ergänzt, dass auf die Nutzer "völlig neue Angriffsmuster" warten, die uns noch viele Jahre begleiten werden.

Die mittlerweile immer wieder auftauchenden Anrufe, die beispielsweise nach dem Weingeschmack des Gegenübers fragen, würden kein großer Trend werden. Diese seien meist Verkaufsanrufe, die überteuerte Produkte an den Mann bringen wollen. Für Massenanrufe sei diese Methode zu teuer. Dennoch ist auch bei Anrufen Vorsicht geboten, speziell wenn sich im Homeoffice ein angeblicher Techniker der eigenen Firma meldet und meint, er brauche die Zugangsdaten des Mitarbeiters. Pichlmayr: "Bei all diesen Dingen immer den Hausverstand einschalten. Nicht der Bequemlichkeit nachgeben und auf irgendeinen Link klicken oder auch Zugangsdaten weitergeben. Besser zweimal nachfragen." (Alexander Amon, 14.9.2021)