Bundesamt für Sicherheit in der Informationstechnik

Phishing: Wie der Datenklau funktioniert

Cyber-Kriminelle bedienen sich vielfältiger Tricks, um an sensible Daten von Internetnutzern zu gelangen. Zu den am weitesten verbreiteten Maschen zählt das so genannte Phishing. Das Wort setzt sich aus den englischen Begriffen "password" und "fishing" zusammen. Das heißt übersetzt soviel wie "Angeln nach Passwörtern". Gelangen die Täter an Anmeldedaten und Passwörter für Internetdienste wie Online-Shops, können sie beispielsweise auf Kosten der zumeist ahnungslosen Opfer über deren Benutzerkonto einkaufen.

Online-Diebe auf Beutezug

Über verschiedene Quellen wie gehackte Datenbanken oder digitale Adressbücher, aber auch durch das Einsammeln von Visitenkarten, gelangen Kriminelle zunächst an E-Mail-Adressen und teils weitere Informationen ihrer potenziellen Opfer. Im Namen bekannter Firmen oder Organisationen versenden sie dann massenhaft täuschend echt imitierte E-Mails. Diese tarnen sie mit gefälschten Absenderadressen, um etwa als bekannter, seriöser Online-Dienstleister, aber auch als Bank, Kreditkarteninstitut oder staatliche Organisation aufzutreten.

In der E-Mail werden die Empfängerinnen und Empfänger aufgefordert, einen Link anzuklicken. Als Grund für die Aufforderung wird häufig die notwendige Verifikation eines Nutzer-Kontos unter Androhung sofortiger Sperrung oder eine Sicherheitsüberprüfung vorgeschoben. Wer den Link klickt, gelangt auf eine Webseite, die weiterhin denselben Anbieter imitiert. Meist befindet sich dort ein Online-Formular, in dem Zugangsdaten inklusive Passwort oder andere persönliche Informationen eingegeben werden sollen. Sobald das Formular auf dieser gefälschten Webseite ausgefüllt wird, landen genau diese sensiblen Informationen in den Datenbanken der Cyber-Kriminellen. So können detaillierte Profile von Nutzerinnen und Nutzern entstehen. Außerdem können sie mit den erbeuteten Zugangs- und Kontoinformationen im Namen ihrer Opfer online einkaufen und hohe finanzielle Schäden verursachen.

Bei Phishing-Verdacht: E-Mail löschen

Wichtig: Grundsätzlich fordert keine seriöse Firma oder Organisation jemals Kundinnen oder Kunden zur Preisgabe vertraulicher Informationen wie des Passworts auf! Sollten Sie einen Phishing-Versuch hinter einer E-Mail vermuten, löschen Sie diese am besten sofort. An welchen Merkmalen Sie den Betrugsversuch erkennen können, hat BSI für Bürger für Sie in einem neuen Video "Phishing-E-Mails enttarnen" zusammengefasst.