Phishing ist eine englische Wortschöpfung für Passwort-Fischen. Die Fantasie der Kriminellen kennt keine Grenzen. Sie missbrauchen die Namen von Kreditkartenunternehmen und Banken ebenso wie die von Versandhäusern, Online-Shops, Ministerien oder Behörden. Mit einem sogenannten Phishing-Radar versucht die Verbraucherzentrale Nordrhein-Westfalen, Nutzer vor aktuellen Maschen zu warnen. Laut Polizeilicher Kriminalstatistik hat sich die Zahl der gemeldeten Phishing-Fälle in den letzten fünf Jahren mehr als verdoppelt. Allein 2011 betrug der Schaden 26 Millionen Euro.

Köder per Mail

Der Köder kommt entweder per Mail ins Postfach oder wird über soziale Netzwerke oder Webseiten verteilt. Meist ist es ein Schreckensszenario wie die Sperrung eines Kontos, das den Empfänger dazu bringen soll, übereilt und unüberlegt zu handeln - zum Beispiel auf einen Link zu klicken oder einen Anhang zu öffnen. Doch wer den Aufforderungen nachkommt, hat schon angebissen. Der Link führt zu einer Webseite, die der Webseite einer Bank oder eines Online-Shops täuschend ähnlich sieht. Dort wird der Nutzer aufgefordert, sensible Daten einzugeben. Manchmal steckt in dem Anhang auch noch ein Virus.

"In den vergangenen Monaten haben wir einen starken Anstieg an E-Mails mit angehängten Schadprogrammen beobachtet", warnt Patricia Baumann vom Bundesamt für Sicherheit in der Informationstechnik. Die spionieren Daten und Passwörter aus oder sperren sogar den Rechner. Deswegen ist die erste Regel im Umgang mit verdächtigen Mails: "Klicken Sie niemals auf einen Link oder Anhang", betont Ralf Scherfling von der Verbraucherzentrale Nordrhein-Westfalen. Eine Adresse sollte immer per Hand eingegeben werden. Zudem gilt es, Betriebssystem, Browser und Virenscanner immer aktuell zu halten.

Anzeichen: Fehlende Anrede, gute Optik

"Der beste Schutz ist aber, solche Mails zu ignorieren", sagt Baumann. Misstrauisch werden sollte man bereits, wenn plötzlich eine E-Mail der Hausbank im Postfach liegt, obwohl die Bank sonst nie Mails verschickt. Wenn dann etwa eine persönliche Anrede fehlt, Handlungsdruck aufgebaut wird oder sich Grammatik- und Rechtschreibfehler häufen, gehört die Mail gelöscht. Doch längst gibt es auch fast perfekte Phishing-Mails - sogar mit korrekter Anrede. Auch Phishing-Webseiten sind mitunter so professionell gefälscht, dass sie kaum von der echten Seite zu unterscheiden sind. Helfen kann da oft nur noch ein Blick in die Adresszeile. "Da sollte ich schauen, ob das die Adresse des echten Anbieters sein kann", rät Scherfling. Wilde Zahlen- und Buchstabenreihen sollten misstrauisch machen.

Beim Online-Banking und wann immer sonst persönliche oder sensible Daten eingegeben werden sollen, gilt es, auf das https am Anfang der Adresszeile zu achten, das eine gesicherte Verbindung anzeigt. Mit einem Klick auf das Schloss-Symbol kontrolliert man, wer die Seite betreibt und wer sie zertifiziert hat. Immer mehr Seiten setzen ständig auf sichere Verbindungen. Im Umkehrschluss heißt das: Niemals persönliche oder sensible Daten eingeben, wenn die Verbindung nicht gesichert ist, was am http am Anfang der Adresszeile zu erkennen ist.

Die Betrüger probieren es auch am Telefon. Sie geben sich als Verbraucherschützer und Mitarbeiter von Behörden oder Unternehmen aus, versprechen etwa den Eintrag in eine Sperrliste gegen unerwünschte Werbeanrufe oder Gewinne. Für die angebliche Überweisung fragen die Betrüger zum Beispiel nach der Kontonummer. "Hier muss man schauen, ob wirklich die Firma dahintersteckt, die der Anrufer nennt", rät Rechtsanwältin Carolin Semmler von der Verbraucherzentrale Nordrhein-Westfalen. "Hellhörig sollte ich vor allem werden, wenn der Anruf von einem Unternehmen kommt, dass ich nicht kenne, oder wenn nach persönlichen Daten gefragt wird."

Rückfragen lassen Schwindel oft auffliegen

Oft helfe es, das Gespräch selbst in die Hand zu nehmen. Eigene Rückfragen lassen den Schwindel oft schnell auffliegen. Manch gefährliche Nachricht kommt auch aufs Handy. Rückrufwünschen in SMS unbekannter Absender sollte man keinesfalls nachkommen, warnt Semmler. Meist handle es sich um eine kostenpflichtige Nummer.

Wer Phishern ins Netz gegangen ist und Daten wie Kontonummer, Passwörter oder sogar TANs herausgegeben hat, muss schnell sein: Das Passwort sofort ändern, die Bank kontaktieren, das Konto sperren lassen oder wenigstens regelmäßig kontrollieren - und natürlich Anzeige erstatten. Denn Phishing ist eine Straftat. Eine Köder-E-Mail oder ähnliches sollte man für Ermittlungen speichern.