Was tun, wenn ich auf eine Phishing-Mail hereingefallen bin?

„Sehr geehrter Kunde, Ihre Kontodaten laufen in 24 Stunden ab. Um Ihren Account weiterhin zu nutzen, aktualisieren Sie bitte Ihre Kontodaten über den untenstehenden Link.“

So oder so ähnlich versuchen Kriminelle über sogenannte Phishing-Mails an persönliche Informationen wie Telefonnummer, Adresse oder gar Passwörter, PINs und Kontodaten zu kommen. Die Gefahren der gefälschten E-Mails sind vielen bekannt, trotzdem fallen Nutzer*innen immer wieder auf Betrügereien rein – mit schwerwiegenden, Folgen wie der Cyberangriff auf Kärntens Landesverwaltung vor wenigen Tagen zeigt. Laut der IT-Abteilung des Landes habe im April ein Mitarbeiter auf einen Link in einer E-Mail geklickt, wodurch eine Schadsoftware schließlich die IT-Systeme des Landes infizieren konnte.

Doch was tun, wenn der Ernstfall bereits eingetreten und man auf eine Mail hereingefallen ist? Die futurezone beantwortet die wichtigsten Fragen.

Wie erkenne ich eine Phishing-Mail?

Betrügerische Mails sehen oft täuschend echt aus. „Es gibt sehr gute Phishing-Mails, die nur anhand des Mailtextes schwer als solche zu erkennen sind“, erklärt Josef Pichlmayr, Geschäftsführer der Cybersicherheitsfirma Ikarus. Nutzer*innen sollten in einem ersten Schritt feststellen, ob der Absender der Nachricht vertrauenswürdig erscheint. „Die sind aber oft geschickt gemacht. Dann schaue ich mir am besten den Link an. An dem erkenne ich im Regelfall schon, ob er dorthin führt, wo er hinführen soll“, sagt Pichlmayr.

Indizien eines gefälschten Links seien zum Beispiel viele Sonderzeichen oder Fehler in der Grammatik und Orthografie. „Zum Beispiel, wenn in Raiffeisen ein F fehlt“, veranschaulicht der Experte.

Was, wenn ich eine Phishing-Mail geöffnet habe?

Bei reinen Text-E-Mails, die im Browser oder mit einem E-Mail-Programm öffnen, kann nichts passieren. „Der Angreifer will mir ja irgendwelche Informationen entlocken. Solange ich nicht auf Anhänge oder Links klicke, kann da nichts sein“, sagt Pichlmayr.

Bei E-Mails im sogenannten HTML-Format ist das allerdings anders. Im Gegensatz zum Reintext-Format können hier Bilder oder Grafiken eingebettet werden, die die Mail optisch aufwerten. Im HTML-Format können Schadprogramme versteckt sein nicht nur in Link oder Anhang versteckt sein, sondern auch im Quellcode. Ein Klick auf ein Bild oder ein Firmenlogo kann daher schon gefährlich werden. Die gute Nachricht: Die Anzeige von Mails im HTML-Format kann mit wenigen Klicks deaktiviert werden.

Was, wenn ich einen Link angeklickt habe?

Phishing-Mails versuchen ihre Opfer in der Regel dazu zu bewegen, auf einen bestimmten Link zu klicken. Ein solcher Link kann arglose Nutzer*innen auf gefälschte Webseiten führen, die aussehen wie die Startseite der eigenen Bank oder eines Versandhändlers. Dort fordern Betrüger sie auf, Benutzernamen, Passwort oder Zahlungsinformation anzuführen.

Aber auch „nur“ ein Klick auf den schädlichen Link kann zum Verhängnis werden. „Beim Besuch der Webseite können User einen Virus oder Trojaner herunterladen“, erklärt Pichlmayr. „Das ist dann streng genommen keine Phishing-Mail mehr, sondern ein direkter Angriff.“

Jetzt gelte es, das Virenschutzprogramm zu aktualisieren und es den PC durchsuchen zu lassen. Sicherheitshalber sollten auch die Zugangsdaten zu Accounts geändert werden, am besten auf einem anderen Endgerät. Wer sich unsicher ist, sollte besser den Stecker ziehen und einen Experten hinzuziehen, erklärt Pichlmayr. „Wenn sie in der Nacht aufwachen und einen Einbrecher im Haus vermuten, stellen sie den ja auch nicht selbst, sondern rufen die Polizei“, so der Experte.

Was, wenn ich einen Anhang geöffnet habe?

Phishing-Mail-Anhänge enthalten so gut wie immer Viren oder Trojaner. Die Schadsoftware wird dabei in harmlos aussehenden Dateien versteckt. 

Hier sollte ebenfalls ein Virenscan verwendet und ein Experte zurategezogen werden, rät Pichlmayr. Bei wem der Virenscanner nicht anschlägt, der könne die schädliche Datei zusätzlich in einen kostenlosen Multiscanner-Dienst, wie virustotal.com einspeisen. Pichlmayr: „Der identifiziert mit hoher Wahrscheinlichkeit die entsprechende Schadsoftware."

Was, wenn ich persönliche Daten angegeben habe?

Die Daten sind nun in den Händen der Betrüger*innen. Alle weiteren Schritte hängen davon ab, welche Informationen weitergegeben wurden. „Betrifft das nur mich persönlich? Dann einfach Passwörter und Sicherheitsfragen ändern“, rät der Experte oder gegebenenfalls die Bank Konten und Karten sperren lassen. „Wenn es aber eine Webseite ist, die innerhalb der Firma liegt, sollte man sich sofort mit dem IT-Administrator in Verbindung setzen“, lautet Pichlmayrs Appell. 

Wer seine Arbeit von privaten Rechnern aus verrichtet, ist besonders verwundbar, da man auf diesen enthemmter surft. Auch wenn über abgesichertes VPN (Virtual Private Network) auf Firmendaten zugegriffen werde, könne einiges passieren. „Ein VPN legitimiert nur die Verbindung zum Unternehmensnetz. Der Server kann nicht zwischen einem Angreifer und dem Individuum unterscheiden“, erklärt Pichlmayr.

Wie schütze ich mich am besten?

• Adresse des Absenders prüfen. Nutzer*innen sollten auf die Glaubwürdigkeit der Mailadresse des Absenders achten, vor allem auf Rechtschreibfehler.
• Keine Links und Anhänge in dubiosen Mails anklicken. Auf keinen Fall sollte man Links und Anhänge in dubiosen Mails anklicken und schon gar nicht Passwörter auf fremden Webseiten eingeben. Die Web-Adressen von Links, die in den E-Mails angegeben werden, sollten ebenfalls genau auf ihre Schreibweise überprüft werden. Rechtschreibfehler und ungewöhnlich viele Sonderzeichen können ein Indiz für ein Phishing-Mail sein, so Pichlmayr.
• Informationen prüfen. Beinhalten Mails Informationen, die verunsichern, sollten in jedem Fall andere Quellen hinzugezogen werden. 
• Geräte für die berufliche und private Nutzung trennen. Rechner, mit denen man sich ins Firmennetzwerk einloggt, sollten nicht privat genutzt werden. Pichlmayr empfiehlt nach Möglichkeit, für privates Surfen ein eigenes Gerät zu benutzen.
• Betrugsmaschen kennen. Pichlmayr empfiehlt auf Watchlist-Internet.at nach den neuesten Betrugsmaschen Ausschau zu halten. Hier melden zahlreiche Nutzer*innen täglich Phishing-Versuche und unseriöse Mails
• Virenscanner verwenden: Virenschutzprogramme sollte immer auf dem neuesten Stand sein. Wer glaubt, eine schädliche Software auf dem PC zu haben, kann zusätzlich die potenziell verseuchten Dateien mit virustotal.com überprüfen.