Phishing: Drei Tipps für mehr Sicherheit im Mail-Postfach
Berlin (dpa/tmn) - Phishing ist leider ein Teil des digitalen Lebens - so wie Katzenvideos oder Social Media. Und doch erreichen die Absender der Schnüffel-Mails häufig ihr Ziel und können Benutzerdaten ausspionieren. Auch vermeintlich digital fitte junge Leute sind hier nicht immun, wie eine aktuelle Yougov-Umfrage im Auftrag der Initiative Sicher Handeln (ISH) zeigt. Rund jeder Zweite (49 Prozent) ist demnach unsicher im Erkennen typischer Phishing-Warnsignale.
Und auch wenn die Betrugsmails immer besser werden. Es gibt Warnsignale. Zum Beispiel den schnellen Mailcheck des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Eine Anleitung:
Stimmt hier alles? Der schnelle Mailcheck
Komisches Bauchgefühl bei einer E-Mail? Dann hilft eine Stimmigkeitsprüfung. Stimmen Absender, Betreff und Anhang überein? Oder gibt es hier irgendeine Auffälligkeit? Etwa eine Rechnung, ohne dass etwas bestellt wurde? Oder die Bank fragt plötzlich nach dem Passwort? Oder warum sollten die Kinder plötzlich eine Mail mit unbekanntem Anhang schicken?
Das BSI rät hier: kritisch hinterfragen:
- Kenne ich den Absender?
- Ist der Betreff sinnvoll?
- Erwarte ich diesen Anhang?
Im Zweifel gilt: Nicht öffnen, sondern löschen. Und nachfragen - und zwar nicht per Antwort an die verdächtige Mailadresse, sondern persönlich.
Wachsam bleiben: Auch das sind Anzeichen für Betrug
Phishing-Mails waren früher richtig schlecht. Holperige Sprache, schlechte Optik, Fehler. Die Zeiten sind vorbei - aber einige typische Warnsignale gibt es trotzdem. Zum Beispiel:
- Unklare Ansprache («Lieber Herr», «Sehr geehrte Kundin»)
- Formulierungen, die Zeitdruck vortäuschen oder Drohungen
- angeblicher dringender Handlungsbedarf (zum Beispiel, um ein Paket noch zu erhalten)
- Aufforderung zum Datenabgleich von Benutzername und Passwort
- Aufforderung, eine Datei herunterzuladen
- Angebote, die zu gut sind, um wahr zu sein
Und ganz wichtig: «Unternehmen und Behörden fragen nie per E-Mail nach Passwörtern, Bankdaten oder anderen vertraulichen Informationen», so das BSI.
Passwort und 2FA: Technisch auf der Höhe bleiben
Fast jeder hat schon einmal eine solche E-Mail erhalten. Angst muss man deswegen aber nicht haben - man kann sich gut schützen. Das BSI rät unter anderem zu diesen fünf Maßnahmen:
- Nutzen Sie ein starkes Passwort. Es sollte schwer zu erraten sein, mindestesns 8 bis 12 Zeichen inklusive Groß- und Kleinbuchstaben, Zahl und Sonderzeichen haben. Jedes Benutzerkonto braucht ein eigenes Passwort. Um den Überblick zu behalten, nutzt man am besten einen Passwortmanager. Das ist Programm, dass beim Erstellen und Speichern sicherer Passwörter hilft. Gängige Passwortmanager sind etwa Keepass, Onepasswort oder der iCloud-Schlüsselbund. Auch Browser wie Chrome oder Firefox bieten solch einen Dienst an.
- Noch besser sind Passkeys. Das sind verschlüsselte Zugangsberechtigungen, die nur nach einer Identifikation der Nutzer das Konto öffnen. Sie werden auf dem Computer oder Smartphone gespeichert. Dann kann man sich zum Beispiel nur an seinem Konto anmelden, wenn man die Anmeldung per Smartphone bestätigt. Noch nicht alle Dienste bieten die Passkey-Option an.
- Zweifaktor-Authentifizierung aktivieren: Dabei wird das Passwort um eine zweite Sicherheitsstufe ergänzt. Das kann etwa ein per SMS oder per App zugesandter Code sein. Mit dem zweiten Faktor bleibt ein Konto auch dann geschützt, wenn das Passwort ausspioniert wurde.
- HTML-Anzeige abschalten. Wer ein Mailprogramm wie Outlook oder Thunderbird zum Abruf der E-Mails nutzt, kann in den Einstellungen auf die Reintextanzeige von Mails umschalten. Dann werden möglicherweise schädliche Programmteile einer Mail nicht geladen. Dann sehen E-Mails zwar nicht mehr sonderlich chic aus. Es bleiben einem aber Tracking-Pixel, getarnte Links oder Schadcode erspart.
- Sparsam mit der Mailadresse umgehen. Muss man sich wirklich beim Onlineshop mit der Haupt-E-Mail-Adresse anmelden? Nein, sagt das BSI, und rät zu Alias-Adressen. Zum Beispiel für Dinge wie Newsletter, Onlineforen benutzt man eine eigene Adresse, die offizielle «[email protected]» dient dann nur offizieller Kommunikation - etwa mit Banken und Behörden. Viele Mailanbieter stellen kostenlose Alias-Adressen bereit.
