Der Kampf gegen Phishing

Beim Phishing versuchen Kriminelle, vertrauliche Daten von Nutzern zu erlangen – häufig indem sie per Mail auf eine gefälschte Webseite locken und dort beispielsweise zur Eingabe von Kontodaten auffordern. Im Kampf gegen Phishing rät das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu einem aufmerksamen Umgang mit E-Mails, aber auch zum Einsatz von Antivirus-Software und einer Firewall. Zudem sollten Nutzer das Betriebssystem und Anwendungsprogramme wie den Browser laufend aktualisieren, heißt es in einem Ratgeber des BSI.

Focus Online — Internet: Phishing-Schutz: Viele verlassen sich aufs Gespür

Kommentar

Und, welchen konkreten Nutzen hat ein Antiviren-Programm und eine so genannte „Personal Firewall“, wenn jemand eine Website aufruft und dort Daten für den Zugriff auf sein Bankkonto — oder häufiger — seine Kreditkarte eingibt? Richtig: Diese Software bietet gar keinen Schutz gegen Phishing.

Der Webbrowser, der die Daten nach Eingabe und einem Klick auf „Absenden“ an eine von Betrügern unterhaltene Website sendet, ist in der so genannte „Personal Firewall“ als vertrauenswürdige Anwendung eingetragen, da man damit selbstverständlich aufs Internet zugreifen will. Und ein Virus kommt gar nicht ins Spiel.

Die von Focus Online übernommene DPA-Meldung ist also irreführend und gefährlich; ein weiteres Beispiel für einen Text zu einem wichtigen Internetthema — nämlich der Kriminalität im Internet — der frei von auch nur einer Spur Sachkenntnis geschrieben wurde. Der dabei entstandene, haarsträubende und für naive Menschen sehr gefährliche Unsinn wurde offenbar von niemanden begutachtet, bevor er veröffentlicht wurde. Die Vorstellung, dass dieser Unsinn in wenigen Stunden in einigen gedruckten Zeitungen erscheinen wird und — aufgeladen mit der scheinbaren Autorität des „Qualitätsjournalismus“ — einen Beitrag dazu leisten wird, dass noch mehr Menschen sich in falscher Sicherheit wiegen und aus diesem Irrtum heraus zu Opfern der organisierten Internetkriminalität werden, löst in mir das Gruseln aus.

Das Bundesamt für Sicherheit in der Informationstechnik, auf das diese Fehlinformation angeblich zurückgehen soll, ist ziemlich, aber nicht völlig unschuldig an dieser Fehlinformation. Der anonyme DPA-Schreibtischtäter, der sich bei diesem Artikel der Aufgabe entledigt hat, Text zu einem Thema zu schreiben, von dem er überhaupt nichts versteht, hat allerdings auch dafür gesorgt, dass die wirklichen Empfehlungen des BSI zum Thema Phishing nicht von jedem Leser leicht gefunden werden können, indem er sie gar nicht erst verlinkt hat.

Wer sich einmal die vollständigen Empfehlungen des BSI gegen Phishing anschaut, sieht zwar, dass hier wirklich absurderweise von einer so genannten „Personal Firewall“ und einem Antiviren-Programm die Rede ist. Dies ist jedoch — leicht erkennbar — nicht der Kern der dortigen Mitteilung; vielmehr wird zu einem angemessen vorsichtigen Umgang mit E-Mail, mit Links in E-Mails und sogar mit Telefonanrufen „der Bank“ aufgefordert. Insbesondere sollen dabei niemals Zugangsdaten im Internet oder als Reaktion auf einen Telefonanruf preisgegeben werden. Dass das BSI diese naheliegenden Empfehlungen mit einer Reihe weiterer, allgemeinerer Empfehlungen kombiniert hat, ist sicherlich genau so eine Schwäche des Textes wie die Idee, als Überschrift für einen Artikel zum Thema „Phishing“ den in diesem Kontext beinahe dadaistischen Text „Bringen Sie Ihre Software immer auf den aktuellen Stand!“ zu wählen.

Hoffentlich sehen die Mitarbeiter des BSI in den nächsten Tagen einmal, was für eine gefährliche Desinformation herauskommt, wenn Journalisten die schlampig in den Text reinkopierten, nebensächlichen Tipps zur Hauptsache des „Schutzes gegen Phishing“ machen. Und hoffentlich formulieren diese Mitarbeiter des BSI dann den gesamten Phishing-Text um, damit die Informationen darin vor allem von jenen Menschen richtig aufgefasst werden, die solche Informationen brauchen. Die Nachlässigkeit, in der die Schutzmaßnahmen gegen Phishing dort im Moment formuliert sind, wird wegen ihrer Widerspiegelung in einer DPA-Melduing, die schon morgen in die Druckausgaben diverser Zeitungen zwischen das eigentliche Zeitungsgeschäft — die Reklame — gestempelt werden wird, dazu führen, dass die Betrüger im Internet mehr naive, unaufgeklärte und fehlinformierte Opfer für ihre miesen Machenschaften finden.

Und nicht, dass mich jetzt jemand falsch versteht: Aktuelle Software für Arbeit und Spaß im Internet zu verwenden, ist immer eine gute Idee und eine gleichermaßen einfache wie wichtige Schutzmaßnahme… nur: Das hat nichts mit Phishing zu tun.