bearbeitet: 02.07.2017    

Einige durchaus nützliche Bemerkungen
zum sicheren Verkehr im Netz und zu Gefahren, die man erkennen kann

Man stellt sich immer wieder die Frage, ob man bösartigen und kriminellen Aktionen, deren Zahl im Netz und im E-Mailverkehr schier grenzenlos ist, völlig machtlos ausgesetzt ist. Meine Antwort: Ist man nicht. Obwohl es natürlich auch in diesem Metier keine absolute Sicherheit geben kann, ist die übergroße Mehrzahl der schädlichen Einfußversuche erkennbar, wenn man einige logische Überlegungen anstellt und sie zum Grundsatz des Handelns macht. Dazu muß man überhaupt nicht hochausgebildeter Informatikspezialist sein.

Die meisten bösartigen Aktionen sind nämlich nicht die, welche vom Benutzer völlig unbemerkt über einen Port eindringen, weil das nämlich nicht so einfach ist, wie es oft dargestellt wird. Ports sind Schnittstellen in der Hardware des Computers, über die eine Kommunikation mit internen oder externen Geräten und auch mit dem Netz ermöglicht wird. Natürlich ist ein offener Port eine ernstzunehmende Gefahr und geradezu eine Einladung für einen Hacker, deshalb muß man dafür Sorge tragen, daß Ports nur für die eigene Verwendung zum beabsichtigten Zweck geöffnet werden und insbesondere für andere, nicht definierte Verwendungen gesperrt werden. Nun muß man dazu aber keinen großen Schreck über die eigene Hilflosigkeit bekommen, weil man die theoretischen Grundlagen der Gestaltung und der Verwendung von Ports ja gar nicht kennt. Die meisten heute verfügbaren Virenscannersysteme und die Internet-Security-Software erledigen diese Aufgaben mit großer Zuverlässigkeit. Schlecht beraten ist hierbei nur derjenige, der keines der genannten Systeme auf seinem Computer unterhält. Virenscanner sind in der Lage, Schadsoftware zu erkennen und schon vor dem Übertragen in den eingenen Speicher zu blockieren. Internet-Security-Software versucht zu ermitteln, wenn ein Port zu anderen als dem vordefinierten Zweck verwendet werden soll und meldet dies dem Benutzer. Mit diesen Mitteln kann man viele Computerschäden und Betrugsversuche eliminieren.

Wenn alle Fragen des unbemerkten Zugangs zum Computer mit den genannten Mitteln geklärt sind, ist ein Hacker gzwungen, über Zugänge einzudringen, die ein Benutzer selber durch die Verwendung seiner Software öffnet. Dies erfordert jedoch die Mitwirkung des Benutzers. Die häufigste Methode ist das gezielte Ansprechen von Benutzern mit E-Mail-Zusendungen, also mit SPAMs, die ihn zu Aktivitäten aufzufordern. Um die Mitwirkung des Benutzers aber zu erlangen, lassen sich die potentiellen Eindringlinge vielfältige Tricks einfallen, mit denen sie die Benutzer zu täuschen und irrezuleiten versuchen. Aber die meisten dieser betrügerischen Versuche sind bei Beachtung einiger einfacher Überlegungen jedoch erkennbar.

Nachfolgend einige Beispiele.

Mit einer E-Mail wird mir ein Lotteriegewinn zugesprochen, oft in Millionenhöhe. In geringerer Größenordnung wird von einem noch nicht eingelösten Gutschein gesprochen. Um ihn in Anspruch zu nehmen, brauchte ich nur einen Link anzuklicken und meine Personalangaben einzutragen. Das geringere Übel wäre dabei, wenn es sich um einen "Datensammler" handelt, der sich auf diese Weise eine Personen- oder Adressendatei aufbauen will, mit der er dann zu handeln beabsichtigt. Meist aber wird mit der Auslösung des Links eine Schadsoftware installiert, die auf dem Computer die vielgestaltigsten Schäden herbeiführt. Hier ist die Überlegung ganz einfach: Wenn ich in einer Lotterie nicht mitgespielt habe, kann ich auch keinen Gewinn erzielt haben. Auch einen Gutschein bekommt man nur, wenn man eine Ware gekauft hat. Eine solche E-Mail ist also eindeutig ein Bluff. Hierin Links anzuklicken oder Anhänge einzusehen, ist deshalb ein argloser Leichtsinn, der mit hoher Wahrscheinlichkeit bestraft wird.

Als PayPal-Kunde werde ich mit einer E-Mail aufgefordert, meine Kontendaten zu überprüfen, da angeblich ein fremder Zugangsversuch zu meinem Konto festgestellt worden sei. Dazu wird man angesprochen mit "Sehr geehrter Nutzer". Ein entsprechender Link für die Überprüfung wird bereitgestellt. Man weiß aber aus Mitteilungen von PayPal, daß Kunden stets mit ihrem Namen angesprochen werden. Auch weiß man, daß PayPal keine E-Mails dieser Art an seine Kunden sendet. Das steht in den Sicherheitsmitteilungen. Nun schaut man in den Versanddaten der E-Mail nach, welche tatsächliche E-Mail-Adresse sich hinter dem Absendernamen PayPal verbirgt und findet heraus, daß sie mit PayPal gar nichts zu tun haben kann. Die E-Mail ist also mit Sicherheit nicht von PayPal. Der Absender will also auf diese Weise offenbar an die Anmeldedaten gelangen. Man muß schon jegliche Vorsicht über Bord werfen, sollte man diesen Link anklicken. Es gibt bei PayPal eine Meldeadresse für Betrugsversuche, dorthin leitet man solche E-Mails weiter.

Ein sehr weit verbreiteter Betrugsversuch ist das Schreiben eines vermeintlichen Rechtsanwaltes, der als Verwalter eines sehr großen Vermögens, oft viele Millionen, eines verstorbenen Klienten auftritt. Er bietet mir an, seine Erbschaft anzutreten, weil ich den gleichen Namen wie der Verstorbene trage. Dafür verlangt er dann eine Provision. Läßt man sich auf ein Gespräch ein, soll man dann seine Personalangaben, Kontodaten, Kreditkartennummern u. a. m. übermitteln, damit er bei einer Bank das Vermögen herauslösen kann. Das alles geschieht mit schaumigen Beteuerungen über die Legalität und die Sicherheit der Unternehmung. Schon dabei ist Argwohn angebracht, weil ich schließlich nicht das Erbe einer völlig fremden Person antreten kann, die zufällig mit mir namensgleich ist. Der Argwohn zahlt sich schnell aus. Man stellt nämlich nach einigen Recherchen fest, daß der angebliche Rechtsanwalt dieses Schreiben gleichlautend an einige zig E-Mail-Adressen gesendet hat, deren Inhaber den gleichen Namen haben. Im Jahre 2007 hatte ich einmal einen solchen Vorgang mit einem togolesischen Rechtsanwalt aus Lomé über mehrere Wochen hinweg diskutiert, um zu ergründen, was da genau passieren soll. Ich habe es nicht herausgefunden. Es war trotz allem für mich ein sehr lehrreicher Schriftverkehr. Wer sich für die ganze Geschichte interessiert, kann sie hier nachlesen: Rechtsanwalt Hammer Koukou

Schon sehr oft hat mich jemand angeschrieben, der mir mit einem langen Text erklärte, wer er sei, und daß er mir nun ein Geheimnis verraten wolle, wie ich jeden Tag 3000 Euro und mehr verdienen könne. Beigefügt werden fingierte Referenzen von Leuten, die das bereits erfolgreich gemacht haben wollen. Selbst wenn es soetwas gäbe, verriete man es kaum seinem Freund und schon gar nicht einer fremden Person, die man nicht kennt und nur deren E-Mail-Adresse ermittelt hat. Es entsteht die Frage, warum er denn diese Mittel nicht selbst verdienen will und die Möglichkeit dazu unbesehen verschenkt. Soviel Samaritertum kann man getrost ausschließen. Solche Zusendungen kann man verwerfen, sie sind die Antwort nicht wert. Es gilt hier ein ganz allgemeiner Grundsatz. Wenn ein Geschäftsmann zu mir kommt mit dem einzigen Anliegen, mir etwas schenken zu wollen, sind ernste Zweifel vonnöten.

Ein ebenfalls sehr verbreiteter Betrugsversuch ist das Versenden einer Rechnung für eine Ware, die ich bestellt haben soll oder eine vermeintlich in Anspruch genommene Leistung. Die Rechnung soll dann umgehend an eine angegebene Kontonummer bezahlt werden. Hintergrund könnte die Annahme sein, daß ich mich nicht erinnern kann, ob der Vorgang real ist oder nicht, und ich so die Rechnung bezahle, um Ärger zu vermeiden. Für den Fall der Nichtbezahlung werden dann allerlei Drohungen angehängt mit weiteren höheren Kosten und Inkassogebühren. Davor muß man nicht erschrecken. Genau hinsehen. Oft ist die Ware oder die Leistung nicht explizit benannt ("Sie haben eine offene Rechnung..."), meist bin auch ich selbst nicht namentlich benannt ("sehr geehrter Kunde"), so daß die Rechnung gar keine Gültigkeit haben kann. So muß man bei Nichtbezahlung auch keine Folgen erwarten.

Ich habe mehrere Betrugsversuche, die mir im Netz zugedacht wurden, ausführlicher analysiert. Die Analysen zeigen, daß man mit recht einfachen Mitteln und einigen gezielten Untersuchungen zwischen echten und unechten Zusendungen unterscheiden kann. Es lassen sich daraus auch einige sehr effektive Grundregeln ableiten. Wer mehr darüber erfahren möchte, kann hier hineinsehen: Rechnungsbetrug