300 Euro Schaden durch einen Moment der Unachtsamkeit, erlebte Kölnerin Antje M.. Was hinter Phishing steckt - und wie man den Betrug rechtzeitig erkennt.
PhishingBetrug, den man erst Wochen später auf den Kontoauszügen bemerkt
Von Amelie Breer
4 min
Betrüger versuchen auch über Anrufe persönliche Daten zu ergaunern.
Copyright: IMAGO/Zoonar
Die Kölnerin Antje M. ist im Urlaub in Kopenhagen, als sie auf eine gefälschte Park-App hereinfällt. Sie gibt ihre Kreditkartendaten und TAN ein – dann erscheint auf dem Bildschirm eine merkwürdige Meldung: „Du kannst jetzt spielen." „Da war ich total verunsichert", erzählt sie. Aus Panik löscht sie die App. Dass sie Opfer eines Betrugs geworden ist, bemerkt sie erst Wochen später – auf ihren Kontoauszügen tauchen wiederholt Namen ausländischer Websites auf, immer mit Abbuchungen zwischen 30 und 50 Euro. Insgesamt verliert sie 300 Euro.
Einen Teil des Geldes wird sie nie wiedersehen: Weil sie selbst eine TAN eingegeben hatte, gilt die Zahlung als autorisiert, eine Erstattung durch die Bank scheidet aus. Als sie nach dem Unternehmen recherchiert, von dem die Abbuchungen stammen, stößt sie auf viele Menschen, denen dasselbe passiert ist. Seitdem, sagt sie, bewege sie sich vorsichtiger – aber auch ein bisschen ängstlicher – durchs Internet.
Was ist Phishing?
Antje M. ist kein Einzelfall. Jüngst sorgte eine Angriffswelle über den Messenger-Dienst Signal für Schlagzeilen. Deutsche und ausländische Sicherheitsdienste warnten seit Monaten davor. Sie soll auf die heimliche Übernahme von Signal-Konten von Politikern, Beamten, Diplomaten, Militärs und Journalisten abzielen.
Phishing zählt zu den am weitesten verbreiteten Betrugsformen im Netz. Der Begriff leitet sich vom englischen fishing – Angeln – ab: Betrüger werfen Köder aus, in Form von Links in E-Mails oder SMS, gefälschten Websites oder Apps, um an ihre Beute zu gelangen: persönliche Daten. Die Täter geben sich dabei als seriöse Institutionen aus – Banken, Behörden, bekannte Unternehmen – und erfinden Szenarien, in denen scheinbar sofortiges Handeln nötig ist: eine drohende Kontosperrung, ein vermeintlicher Gewinn, ein ausstehender Sicherheitscheck.
Michael Babing kämpft täglich gegen solchen Betrug. Als Leiter des Kriminalkommissariats 33 in Köln, zuständig für Betrugsdelikte, beobachtet er derzeit eine neue Variante: Kriminelle kontaktieren Verkäufer auf Second-Hand-Plattformen, geben vor, einen Artikel kaufen zu wollen, und schicken einen Link – angeblich zur Bezahlung. Wer darauf klickt, gibt seine Daten direkt in die Hände der Täter.
Druck als Warnsignal
Auch Banken sind täglich mit Phishing konfrontiert. Hauke Kramm, Pressesprecher der Deutschen Kreditbank (DKB), kennt das wichtigste Warnsignal: Sobald ein Absender enormen Druck aufbaue und durch Drohungen zu einer bestimmten Handlung dränge, sei besondere Vorsicht geboten. In solchen Fällen solle man Herkunft, Sprache, Formatierung und Inhalt der Nachricht kritisch prüfen.
Nico Rudolf, der bei der ING-Bank in der Betrugsprävention arbeitet, empfiehlt im Zweifel einen einfachen Schritt: das betreffende Unternehmen oder die Bank direkt und eigenständig kontaktieren – nicht über den erhaltenen Link – und nachfragen, ob die Nachricht tatsächlich von ihnen stamme.
Grundsätzlich gilt: Seriöse Unternehmen und Banken fordern per E-Mail, SMS oder Telefon niemals sensible Daten wie Passwörter oder PINs an und verlangen keine Transaktionsfreigaben per TAN. Darin sind sich beide Experten einig.
Vorsicht vor Links und QR-Codes
Eric Dieden, Präventionsbeamter für Cybercrime bei der Polizei Köln, kennt ein weiteres Merkmal, das ausschließlich Betrüger nutzen: Nur Kriminelle forderten ihre Opfer auf, Programme zu installieren, die einen Fremdzugriff auf das eigene Gerät ermöglichen. Ein echter Bankmitarbeiter benötige so etwas nicht – unter keinen Umständen.
Wer einem Link oder QR-Code folgt, verlässt den geschützten Bereich der eigenen Bank oder Plattform, warnt ING-Experte Rudolf. Auf den Seiten der Betrüger finde keine Kontrolle mehr statt – dort könnten sie ungehindert Daten abgreifen.
Links lassen sich vorab prüfen: Fährt man mit der Maus über einen Link, wird die Zieladresse sichtbar. Betrügerische Websites enthalten häufig unnötige Zeichen oder Zahlen neben dem Namen der Bank oder des Unternehmens. Wird die Zieladresse gar nicht angezeigt, rät das Bundesamt für Sicherheit in der Informationstechnik (BSI) dazu, den Link nicht zu öffnen.
Auch hinter QR-Codes verbergen sich Links. Wer die Zieladresse vorab prüfen möchte, kann den QR-Code fotografieren und das Bild in der Smartphone-Galerie öffnen – dort wird die Adresse häufig angezeigt, ohne dass der Link aufgerufen wird.
Banken und Verbraucherzentralen berichten auf ihren Websites regelmäßig über neue Betrugsformen. Die Polizei Köln klärt ebenfalls online auf und bietet zweimal jährlich anonyme YouTube-Seminare an. Für Kinder hat die Polizei Rhein-Erft den Podcast „Sicher im Netz“ entwickelt, der in mehreren Sprachen über Gefahren im Internet informiert.
Was tun, wenn man Opfer wurde?
Wer merkt, dass Kontodaten in fremde Hände geraten sind, sollte sofort handeln: Konto und Karte sperren – über das Online-Banking, die App oder den bundesweiten Sperr-Notruf 116 116 (aus dem Ausland: +49 116 116). Anschließend empfiehlt sich ein Anruf bei der Service-Hotline der eigenen Bank, die auch bei der Anzeigenerstattung unterstützen kann, sagt DKB-Sprecher Hauke Kramm.
Eine Anzeige kann persönlich im Polizeipräsidium oder online erstattet werden. Bei der Online-Anzeige besteht zusätzlich die Möglichkeit, Screenshots als Beweise anzuhängen. Einen Mindestschaden gibt es nicht: Allein der Verdacht auf eine Straftat reicht aus, betont Präventionsbeamter Eric Dieden.