Hallo Herr Herbstritt, Sie sind an der Uni Freiburg verantwortlich für die digitale Sicherheit und beschäftigen sich somit auch mit Phishing. Was ist Phishing denn genau?  

Phishing ist in erster Linie ein Betrug oder Betrugsversuch, bei dem jemand an deine Daten kommen möchte, mit denen er dann weiteren Unfug anstellen kann. Das können zum Beispiel E-Mail-Zugangsdaten oder Bankdaten sein.

Was kann mit meinen Daten passieren, wenn sie in die falschen Hände geraten?

Marc Herbstritt sitzt vor einem Computer.
Marc Herbstritt ist für die digitale Sicherheit der zentralen Bereiche innerhalb der Uni verantwortlich, zum Beispiel die Abläufe und Systeme im Rechenzentrum und in der Verwaltung.

Phishing ist eine der Vorstufen für größere Angriffe auf Unternehmen und Organisationen, aber auch auf Privatpersonen. Das Geschäftsmodell von Cyberkriminellen ist mittlerweile sehr professionell, es gibt eine regelrechte Arbeitsteilung. Das heißt, es gibt Leute, die sich darum kümmern, die Zugangsdaten zu bekommen, dann kommt der Nächste und bereitet einen Angriff damit vor. Den kann er dann verkaufen, sodass alles vorbereitet ist zum Beispiel für einen Erpressungsversuch.

Das heißt, im Hintergrund laufen sehr professionelle Strukturen ab und Phishing steht ganz am Anfang dieser Kette, eben mit dem Ziel, Zugangsdaten abzugreifen.

Manchmal ist es gar nicht so einfach zu verstehen, für was genau die Daten genutzt werden. Aber der Cleverness der Betrüger sind keine Grenzen gesetzt, die wissen dann schon, etwas damit anzustellen.

Welche Rolle spielen neue KI-Technologien beim Thema Phishing?

Manche Phishing-Mails waren vor einiger Zeit noch recht leicht zu erkennen, weil die Sprache nicht gut war oder Anreden fehlten. Das war noch relativ simpel gemacht, aber gerade mit ChatGPT hat sich auch das sprachliche Niveau deutlich verbessert. Das heißt, es wird immer schwieriger, Phishing-Mails zu erkennen.

Es gibt aber noch weitere Betrugsmaschen.

Es gibt aktuell auch viele Scamming-Maschen. Dahinter steht auch eine Betrugsabsicht mit dem Ziel, an Geld oder Gutscheinkarten zu kommen. Da gibt es zum Beispiel Job-Scamming-Geschichten, bei denen Jobs angeboten werden und dann heißt es, damit man sich bewerben kann, muss man irgendetwas kaufen oder Daten angeben oder ein Foto des Personalausweises schicken, und dann sind ganz schnell die Ausweisdaten weg.

Es gibt auch Gift-Card-Scams, wo auf irgendeinem Weg eine Nachricht kommt, nach dem Motto: „Ich bin auf Dienstreise und brauche ein Geschenk für meine Nichte“, und dann soll man schnell noch ein paar Amazon-Gutscheine kaufen und die Codes weiterschicken.

Welche Gefahren bestehen dabei für Studierende?

Ich würde das gar nicht auf Studierende beschränken. Es kann jeden Einzelnen betreffen, sowohl im Privaten als auch im Arbeitsumfeld. Aber es gibt schon immer gewisse ‚Zielgruppen‘ für bestimmte Betrugsmaschen. Also ähnlich wie bei einem klassischen Enkeltrick, der die ältere Generation ansprechen soll.

Bei der jüngeren Generation sehen wir immer wieder diese Job-Scamming-Maschen. Dabei wird zum Beispiel auf komischem Wege auf eine Hiwi-Stelle an der Uni hingewiesen. Wir hatten schon einige Fälle, die wirklich gut gemacht waren. Zum Beispiel, wenn ein PDF mit dem Uni-Logo angehängt war, so dass es wirklich echt aussah. Da kann es schon passieren, dass man darauf reinfällt, wenn man nicht aufpasst.

Wie kann man sich am besten vor Onlinebetrug schützen?

Innerhalb der Uni haben wir dafür technische Maßnahmen, die das erleichtern, aber im Privaten ist das nicht so einfach. Da braucht es einfach gesunden Menschenverstand und eine gewisse Skepsis. Wenn ich also eine Anfrage bekomme, einfach zuerst überlegen: „Macht das jetzt Sinn?“. Und im Zweifel lieber rückfragen, im besten Fall sogar das Telefon in die Hand nehmen und bei der vermeintlichen Firma oder Person anrufen und persönlich nachfragen, ob das von ihr kommt. Das ist zwar mit Aufwand verbunden, aber diese Art der Vorsicht hilft am besten.

Was auch helfen kann, sind Zwei-Faktor-Authentifizierungen. Wenn man die Zwei-Faktor-Authentifizierung aktiviert, loggt man sich zwar mit seinen Zugangsdaten ein, aber um die Anmeldung wirklich durchführen zu können, ist eine Bestätigung über einen zweiten Weg, zum Beispiel eine App oder E-Mail nötig. Wenn ein Betrüger dann die Zugangsdaten bekommt, fehlt ihm die zweite Hälfte, der zweite Faktor, dadurch bekommt der Betrüger nicht direkt Zugriff auf das betroffene Konto.

Angenommen, man wird Opfer eines Phishing-Angriffs. Was sollte man tun?

Im besten Fall erkennt man relativ schnell, dass man auf einen Phishing-Versuch hereingefallen ist. Typischerweise merken die Opfer mit Absenden der Zugangsdaten: „Ups, das war jetzt keine gute Idee!“. Wenn das der Fall ist, sollte man schauen, dass man die Passwörter so schnell wie möglich ändert, um einem Schaden vorzubeugen.

Wenn schon Geld abhandengekommen ist, vor allem bei Maschen wie Gift-Card-Scamming oder Ähnlichem, lohnt es sich auf jeden Fall, Anzeige zu erstatten, also wirklich zur Polizei zu gehen und den Fall zu erläutern. Manchmal ist es auch möglich, versicherungsrechtlich etwas zurückzubekommen, das kommt auf den Kontext an, aber dann lohnt es sich, dass man Anzeige erstattet hat. Die Aufklärungsquote – das muss man ehrlicherweise auch sagen – ist aber eher gering.

Wie kann man psychisch mit dem Betrug umgehen?

Wenn man betrogen wurde, fühlt man sich zunächst ziemlich hilflos – das ist nicht nur extrem unangenehm, sondern erschüttert auch das Vertrauen tief. Man muss dann erst einmal verstehen, dass man wirklich ein Opfer eines Betrugsversuchs geworden ist, denn genau das ist ja das Ziel des Betrügers: einen zu überrumpeln.

Im Nachhinein fragen sich die Betroffenen oft, wie ihnen das passieren konnte, aber das ist ja genau das, was ein Betrüger will. Und das kann wirklich jedem passieren, es muss einen nur im ‚richtigen‘ Moment treffen. Erst vor Kurzem gab es zum Beispiel einen Fall bei dem der Betreiber eines sehr bekannten Datenleck-Prüfdienstes selbst Opfer eines Phishing-Angriffs wurde. Das zeigt, dass selbst Menschen die gut über das Thema informiert sind, zu Opfern werden können.

Opfer von einer Betrugsmasche zu werden ist oft mit einem großen Stigma verbunden. Wie kann man dem entgegenwirken?

Wenn ich selbst davon betroffen bin, hilft es meiner Meinung nach, zumindest im vertrauten Kreis darüber zu sprechen. Das sensibilisiert andere dafür, dass so etwas passieren kann, auch wenn man sich das selbst erst einmal nicht vorstellen kann. Ich finde es wichtig, das Thema nicht zu tabuisieren.

Auch wenn man selbst bisher noch nicht betroffen war, kann es helfen, über komische Anfragen, die ja quasi alle auf Social Media oder über Messenger bekommen, im Freundeskreis zu reden und sich auszutauschen. Also ein gemeinsames Verständnis dafür zu schaffen, was man in solchen Situationen tun kann.

Worin sehen Sie die größte Hürde beim Thema digitale Sicherheit?

Wenn man jemanden fragen würde, ob das Thema relevant ist, würde jeder sagen: „Ja, das ist ein wichtiges Thema, da muss ich mich mal mit beschäftigen!“ Aber kaum jemand nimmt sich die Zeit, es auch zu tun. Dabei gibt es mittlerweile eine ganz klare Empfehlung, wenn es möglich ist, die Zwei-Faktor-Authentifizierung zu aktivieren und einen Passwortmanager zu nutzen, der es einem erleichtert, für jeden Dienst ein eigenes Passwort aufzusetzen.

Zugangsdaten können ja nicht nur durch Phishing in falsche Hände kommen, bei manchen Internetdiensten wird die Sicherheit nicht so großgeschrieben. Es kann immer sein, dass bei Hackerangriffen Kundendaten verloren gehen. Das kann man quasi so gut wie gar nicht verhindern. Deshalb lohnt es sich wirklich, für verschiedene Dienste auch unterschiedliche Passwörter zu nutzen, dadurch kann sich der Schaden dann nicht auf weitere Konten ausbreiten.

Vielleicht würde es da sogar helfen, sich mit einer netten Truppe zum Beispiel aus dem Studium, auf einen Kaffee zu treffen, um gemeinsam Passwortmanager einzurichten. Dann wird es ein Event und man kann sich gegenseitig helfen.