1897996

Die größten Gefahren des Webs im Überblick

07.06.2014 | 09:23 Uhr |

Trojaner, Phishing, Botnetze, Passwortklau, Spionage und Nutzer-Tracking – über die Internetverbindung sind PCs, Notebooks und Co. vielfältigen Gefahren ausgesetzt.

Neue Malware, Hacker-Attacken und fortwährende Sicherheitslecks in Windows sowie in Anwendungen gefährden Ihre Dateien an PC und Mobilgeräten. Zur Wahrung Ihrer Privatsphäre sowie zum Schutz Ihrer Daten sind effektive Vorsichtsmaßnahmen unerlässlich. Damit Sie sich wirksam schützen können, müssen wissen, auf welche Gefahren Sie vorbereitet sein sollten.

Permante Schnüffelei: Big Data

Sobald Sie am PC oder Notebook surfen, Software, soziale Netze und Online-Dienste nutzen, Ihr Smartphone oder Tablet einschalten, liefern Sie Unternehmen in aller Welt wertvolle Daten – über sich selbst, über Ihren Aufenthaltsort, Ihr Kaufverhalten und Ihre täglichen Nutzungsgewohnheiten. Sie geben Konto- und Kreditkartendaten preis, verraten Ihren Freundeskreis und erlauben in Kombination mit Angaben über Ihren Wohnort und die Bankverbindung Rückschlüsse auf Kaufkraft, sozialen Status und Solvenz. Und Sie liefern durch die Nutzung von Online-Diensten aller Art Informationen über Ihre besonderen Interessen und Vorlieben – von denen möglicherweise nicht mal die Menschen Ihrer nächsten Umgebung etwas wissen. Das systematische Auswerten solcher Informationen heißt Big Data.

Das alles geschieht mehr oder minder legal, weil Sie entweder Ihre explizite Zustimmung dazu erteilt haben – etwa in den Nutzungsbedingungen des jeweiligen Dienstes oder einer Software – oder weil Anwendungen und Apps entsprechende Daten unbemerkt oder sogar unerlaubt an die dahinter stehenden Firmen weitergeben. Für Datenschützer ist es ein Horrorszenario – der Werbeindustrie und dem Handel erlauben die neuen Möglichkeiten zielgruppengenaues Marketing. Einzige Schutzmaßnahme vor Big Data: Geben Sie prinzipiell so wenig persönliche Daten wie mögich preis!

WLAN-Hotspots: Das sind die Risiken

In den Nutzungsbedingungen legen Unternehmen wie Google, Microsoft, Apple oder Facebook fest, was sie mit Ihren Daten alles anstellen dürfen.
Vergrößern In den Nutzungsbedingungen legen Unternehmen wie Google, Microsoft, Apple oder Facebook fest, was sie mit Ihren Daten alles anstellen dürfen.

Klassische Malware

Schadprogramme wie Viren und Trojaner sind inzwischen so raffiniert, dass sie online weitere Funktionen nachladen und sich ständig verändern können. So versuchen sie sich einer Erkennung durch Virenscanner zu entziehen. Einfach gestrickte Viren oder Würmer sind selten, denn Malware der neuesten Generation wird in der Regel nicht mehr vorrangig von Einzelpersonen geschrieben, die für Wirbel sorgen möchten. Hinter modernen Schadprogrammen stecken meist kriminelle Netzwerken, die international operieren und mit Malware im großen Stil Geld verdienen wollen. Entsprechend komplex sind die Schadprogramme und die darin enthaltenen Tarnverfahren. Malware kann Passwörter und Zugangskennungen ausspähen und zum Angreifer übermitteln, unbemerkt Daten versenden und Dokumente heimlich manipulieren.

Auf den Rechner des Anwenders gelangt Malware über infiziere Webseiten mit schädlichem Code. Dazu nutzen die Angreifer Sicherheitslücken in Webservern und Content-Managment-Systemen aus und manipulieren den Code von Webseiten oder Werbebannern so, dass der Schädling automatisch oder beim Anklicken auf den PC des Anwenders geladen wird. Weist Ihr Rechner ein Sicherheitsleck auf, etwa weil Updates fehlen, reicht es sogar aus, eine solche Internetseite zu besuchen, um sich einen Schädling einzufangen. Weil Sie als Nutzer davon nichts mitbekommen und oft auch nichts dazu beitragen müssen, spricht man von einem Drive-by-Download.

Auch die klassischen Infektionswege für Malware erfreuen sich weiterhin großer Popularität: verseuchte Downloads auf Webseiten, in Newsgroups und Raubkopierportalen. Ebenfalls sehr verbreitet: infizierte Dateianhänge. Schutz vor Schadcode-Angriffen bieten aktuelle Virenscanner und Security Suites.

Lösegeld-Trojaner wie Cryptolocker sperren den PC des Opfers und fordern zur Zahlung einer Lösegeldsumme auf.
Vergrößern Lösegeld-Trojaner wie Cryptolocker sperren den PC des Opfers und fordern zur Zahlung einer Lösegeldsumme auf.

Lösegeld-Trojaner

Lösegeld- oder Erpresser-Trojaner sind für Online-Kriminelle sehr lukrativ. Der BKA-Trojaner ist dabei das bekannteste Beispiel.

Allen Erpresser-Viren gemeinsam ist, dass sie den Rechner blockieren und unter einem Vorwand Lösegeld erpressen. Die Erpresser-Viren sperren Windows in dem meisten Fällen so, dass weder die Tastenkombination Strg-Alt- Entf noch ein Neustart die Sperre umgehen können. Es wird nur eine Meldung auf dem Monitor ausgegeben, die angeblich vom BKA, der GEMA oder auch Microsoft stammt. Die Nachricht besagt, dass illegale Inhalte auf dem PC gefunden wurden und dieser daher gesperrt wurde. Zu zahlen sind meist 100 Euro über einen Bezahldienst wie Ukash. Trojaner wie Cryptolocker verschlüsseln zudem Dateien auf dem PC.

Verbreitet werden die Lösegeld-Trojaner wie andere Malware über verseuchte Internetseiten und per Mail. Die Erpresser-Trojaner stammen meist aus Baukastensystemen. Damit können sich Kriminelle ohne Aufwand laufend neue Trojaner zusammenstellen, ohne große Programmierkenntnisse besitzen zu müssen. Schutz vor Lösegeld-Trojanern bieten Virenscanner und Security Suites.

Beim Ablegen von Dokumenten Cloud-Diensten müssen Sie darauf vertrauen, dass Ihre Daten nicht in falsche Hände geraten.
Vergrößern Beim Ablegen von Dokumenten Cloud-Diensten müssen Sie darauf vertrauen, dass Ihre Daten nicht in falsche Hände geraten.

Online-Speicher: Die Cloud-Datenfalle

Der praktische Online-Zugriff auf Daten über Cloud-Dienste wie Dropbox, Skydrive oder Google Drive birgt einen schwerwiegenden Nachteil: oft sind ihre privaten Daten in der Cloud gar nicht so privat, wie die Enthüllungen im Rahmen der NSA-Affäre und Einbrüche bei Dropbox gezeigt haben. Wer persönliche Dokumente und Bilder bei Cloud-Speicherdiensten ablegt, sollte sich daher mit dem Datenschutz beschäftigen.

Generelles Problem: Durch die Nutzung von Cloud-Speicher vertrauen Sie Dritten die vollständige Kontrolle über ihre Daten an. ist die Sicherheit dabei nicht gewährleistet, kann ihr gesamtes Cloud-Datenarchiv ausspioniert werden. Kein Betreiber von Cloud-Diensten lässt sich in die Karten sehen, in welchem umfang er Sicherheitsvorkehrungen gegen Datenklau betreibt und wie wirkungsvoll die Maßnahmen sind. Große Gefahr geht auch von Trojaner- und Phishing-Angriffen aus: Ein auf diesem Weg erbeuteter Zugangscode zu ihrem Cloud-Speicher öffnet Dritten den Zugang zu ihren Daten, ohne dass Sie davon etwas mitbekommen. Weiterer Knackpunkt: Da die meisten großen Cloud-Dienste wie Google, Dropbox, Google Microsoft, Amazon oder Apple in den USA beheimatet sind, haben US-Justiz- und Sicherheitsbehörden nach amerikanischen Recht weitreichende Möglichkeiten zum Zugriff auf ihre Daten.

Bedrohliches Phishing

Bei den illegalen Bedrohungen für persönliche Daten und die Privatsphäre belegt Mail-Betrug durch Phishing inzwischen einen Spitzenplatz. Zwischen Mai 2012 und April 2013 waren weltweit 37 Millionen Anwender einem Phishing- Angriff ausgesetzt – 87 Prozent mehr als im Vorjahreszeitraum. Deutschland spielt bei Phishing-Attacken eine Schlüsselrolle, sowohl was die Zahlen der Opfer als auch die Angriffe betrifft. Untersuchungen des Sicherheitsunternehmens Kaspersky Labs zufolge hat sich die Datenschutz Zahl der Betroffenen in Deutschland auf 2,3 Millionen mehr als verdoppelt.

Beim Phishing ahmen Angreifer populäre Webseiten nach, um Anwendern auf täuschend echt wirkenden, aber gefälschten URLs per Eingabeformular Zugangsdaten und Passwörter zu entlocken. Die Webseiten von Facebook, Google, Amazon und Yahoo gehören zu den Phishing-Hauptangriffszielen. Der Link zur gefälschten Website wird über gezielt oder massenhaft verschickte Mails verbreitet. Mit den erbeuteten Daten gelangen die Angreifer dann an die Daten der Anwender oder nutzen deren Accounts bei Maildiensten und in sozialen Netzwerken, um Spam oder Malware zu verbreiten. Die gestohlenen Datensätze werden oft auch verkauft. Bester Schutz vor Phishing-Abzocke: Geben Sie niemals Ihre Zugangsdaten auf einer Webseite ein, wenn Sie in einer Mail samt Link dazu aufgefordert werden.

Phishing- und Trojaner-Angriffe auf Websites zum Online-Banking gehören zu den Top- Bedrohungen, denen Internetnutzer derzeit ausgesetzt sind.
Vergrößern Phishing- und Trojaner-Angriffe auf Websites zum Online-Banking gehören zu den Top- Bedrohungen, denen Internetnutzer derzeit ausgesetzt sind.

Banking-Attacken

Die Zahl gezielter Phishing-Angriffe auf Anwender, die ihre Bankgeschäfte mit dem Rechner erledigen, wächst rasant. Auch die Zahl der daraus hervorgehenden Betrugsfälle steigt an. Beim Banking-Phishing werden Homebanking- Zugriffsdaten über gefälschte Mails, Webseiten oder SMS abgefangen. In Deutschland hat bereits fast jeder Dritte Erfahrungen mit gefälschten Mails von Banken gesammelt, in denen vertrauliche Zugangsdaten für das Konto abgefragt wurden, so der Branchenverband Bitkom. Angriffe auf das Online-Banking sind für Cyberkriminelle ein lohnendes Geschäft mit enormen Gewinnmargen.

Neben dem Einsatz von Internetsicherheitstools bietet der gesunde Menschverstand Schutz vor Banking-Betrügereien. „Egal, wie seriös eine E-Mail oder Webseite gestaltet ist, bei der Bitte um eine Testüberweisung oder die Eingabe der persönlichen Zugangsdaten zur Überprüfung sollte der Bankkunde misstrauisch sein“, mahnt der Rechtsanwalt Christian Solmecke. Er vertritt viele Opfer von Betrugsfällen aus dem Bereich Banking-Phishing. Tückisch sind Pharming-Angriffe, die auf einer Manipulation der DNS-Anfragen von Webbrowsern basieren. Der Nutzer bemerkt nicht, dass er nicht zur offiziellen Bank-Website gelangt, sondern auf eine gefälschte Webseite weitergeleitet wird.

Gefahren und Schutz beim Online-Banking

mTAN-Trojaner

Eine technisch viel aufwendigere Angriffsmasche ist es, Android-Smartphones von Online- Banking-Nutzern mit einem Trojaner zu infizieren, um per SMS empfangene TANs (mTANs) abzugreifen. Diese Angriffe laufen über einen Windows-Trojaner, der die Zugangsdaten zum Online-Banking-Portal des Nutzers ausspäht. Zudem wird er über einen gefälschten Warnhinweis seiner Bank aufgefordert, ein Sicherheitsupdate auf dem Smartphone zu installieren. Dazu erfragt der Trojaner die Handynummer und verschickt einen Link, der statt des Updates einen Trojaner enthält. Mit den erbeuteten Zugangsdaten und den mTANs können die Hacker Überweisungen autorisieren. Schutz bieten Virenscanner für PC und Handy.

Bei dieser Phishing-Attacke auf Kunden der Targo-Bank führt ein Link in einer fingierten Mail zu einer gefälschten Website zum Ändern der Telefonbanking-PIN.
Vergrößern Bei dieser Phishing-Attacke auf Kunden der Targo-Bank führt ein Link in einer fingierten Mail zu einer gefälschten Website zum Ändern der Telefonbanking-PIN.

Gefälschte Tools

Immer wieder kursieren gefälschte Antivirenund Reparaturtools im Internet, die vorgeben, einen gefährlichen Virus oder PC-Defekt entdeckt zu haben. Im Vergleich zum erstmaligen Massenaufkommen gefälschter Sicherheits- Tools im Jahr 2009 hat sich an der grundlegenden Masche wenig geändert. Allerdings nutzen die Urheber nun die gestiegenen Bedenken in Bezug auf Datenschutz und Privatheit von Daten, um Nutzer zu täuschen.

Die Programme nötigen den Anwender, für die angebliche Säuberung oder Problembehebung Zahlungen zu leisten. Neu sind vorgebliche Antiviren- und Reparaturprogramme, die mit dem Aufhänger um die Prism-Affäre dazu verleiten, die Sicherheit des PCs mithilfe dieser Tools zu überprüfen. Vertrieben werden die Programme über gefälschte Websites oder Bannerwerbung auf Untergrund-Webseiten.

Bei der Ausführung informieren die Fake-Tools den Anwender über einen angeblichen Befall des PCs und fordern zur Geldzahlung auf. Tatsächlich ist der betreffende Rechner jedoch zu keinem Zeitpunkt infiziert oder in Gefahr. Im September 2013 hat das Sicherheitsunternehmen Zscaler rund 20 Domains ausfindig gemacht, auf denen Imitate von Antivirenprogrammen oder Ransomware, also Software, die sich fälschlich als Reparatur-Software ausgibt, zum Download angeboten wurden. Einfacher Schutz: Laden Sie Programme und Tools für Ihren Rechner nur aus seriösen Quellen. Sichere Download-Quellen sind etwa die Original-Website des betreffenden Software- Herstellers oder ein vertrauenswürdiger Drittanbieter wie www.pcwelt.de .

DDoS-Attacken

DDoS steht für „Distributed Denial of Service“, wörtlich: „Verteilte Dienstblockade“. Bei DDoS-Angriffen bombardieren Kriminelle die Server oder Router mit Anfragen, bis diese unter der Last zusammenbrechen. In der Folge sind die anvisierten Webseiten oder Netzgeräte nicht erreichbar. Je mehr Computer an der Attacke teilnehmen, desto erfolgreicher ist der Angriff. Koordiniert werden DDoS-Attacken meist über Botnetze. Mitunter verteilen Angreifer auch ein DDoS-Tool, das selbst Unkundigen die Teilnahme erlaubt. Für das angegriffene Unternehmen ist der Image-Schaden groß. Bei einer aus dem Netz geworfenen Bank fragen sich etwa viele Nutzer, ob das Bankinstitut möglicherweise ein Sicherheitsproblem hat – auch wenn eine erfolgreiche DDoS-Attacke nicht zwangsläufig etwas mit den Sicherheitsmaßnahmen der Bank zu tun haben muss. Ausfälle kosten Online-Händler bares Geld. Solange die Seite offline ist, können Kunden nicht einkaufen. Vor DDoS-Attacken schützen Virenscanner und Internet-Security-Suiten.

Botnetze

Als Folge einer Malware-Infektion etwa über einen infizierten Dateianhang kann Ihr Rechner unbemerkt Teil eines Bot-Netzwerks werden. Ein Botnetz ist eine Gruppe verseuchter Computer oder mobiler Geräte, die über einen Trojaner aus der Ferne zusammengeschlossen und gesteuert werden. Dazu nutzen die Angreifer vor allem Schwachstellen in den Microsoft- Betriebssystemen aus.

Es gibt kleine Botnetze mit einer Handvoll ferngesteuerter Rechner bis hin zu gigantischen Netzen mit mehreren Millionen infizierter Systeme. Solange die einzelnen Rechner eines Botnetzes in Wartestellung sind, verhalten sie sich unauffällig. Erst wenn die Verursacher der Schadprogramme Kommandos an den befallenden PCs übermitteln, passiert etwas. So kann der infizierte Botnetz-PC etwa im Hintergrund zum Versenden von Spam-Mitteilungen oder DDoS-Angriffen missbraucht werden. Dazu muss er nur online sein. Für Kriminelle sind Botnetze ein lukratives Geschäft: Sie können ihre Netze für illegale Zwecke an andere Kriminelle vermieten. Vor Botnetz-Trojanern schützt ein Virenscanner.

Laut G-Data soll die Anzahl neuer Schad-Apps für Android, die darauf setzen, infizierte Mobilgeräte in Botnetze einzubinden, in den nächsten Monaten kontinuierlich wachsen. Damit lassen sich die angegriffenen Smartphones verwenden, um sie zum Beispiel als SMS-Spam- Schleudern zu missbrauchen oder um die Geräte heimlich teure Premium-Telefonnummern anrufen zu lassen.

Diese Gefahren bedrohen Ihr Passwort

Falsche Freunde

Ein Trend in sozialen Netzwerken wie Facebook, Google+, Twitter und Instagram ist der Kauf von Followern und „Gefällt mir”-Klicks. Dabei geht es um Angebote, um die eigene soziale Popularität zu steigern. Beworben werden Dienstleistungen, mit denen sich Follower, Freunde, „Gefällt mir”-Klicks (Likes) und Retweets kaufen lassen. Neben zahlreichen echten Anbietern, die Freunde im Dutzend oder auch im Tausender-Paket verkaufen, gibt es solche, die nicht halten, was sie versprechen. Wer auf diesen Trick hereinfällt und persönliche Infos wie Name, E-Mail-Adresse und Bankoder Kreditkartendaten preisgibt, darf sich einer missbräuchlichen Nutzung sicher sein. Guter Schutz: Setzen Sie auf echte Freunde!

Echte Sterne oder nicht? Durch manipulierte Bewertungen können App-Entwickler ihre Popularität und Umsätze ankurbeln.
Vergrößern Echte Sterne oder nicht? Durch manipulierte Bewertungen können App-Entwickler ihre Popularität und Umsätze ankurbeln.

Gefälschte Bewertungen

Ob Apps bei Google Play und Apple App Store oder Waren bei Amazon & Co. – neben dem Verkaufspreis sind vor allem die Bewertungen anderer Nutzer für das Wohl und Wehe einer App oder Ware ausschlaggebend. Deshalb greifen immer mehr App-Entwickler und Verkäufer in die Trickkiste und schönen ihre Bewertungen. Wer auf den Bewertungs-Nepp hereinfällt, kauft möglicherweise ein Produkt oder eine App, die nicht hält, was sie verspricht. Durch die Rückgabemöglichkeit beim Online-Kauf und in Google Play Store ist das tatsächliche Schadensrisiko allerdings gering. Schutz bietet ein gründliches Studium aller Rezensionen.

Den Gerätediebstahl selbst kann die Handy-Ortungsfunktion zwar nicht verhindern, aber das Smartphone lässt sich aufspüren und sperren, damit ein Missbrauch von Daten verhindert wird.
Vergrößern Den Gerätediebstahl selbst kann die Handy-Ortungsfunktion zwar nicht verhindern, aber das Smartphone lässt sich aufspüren und sperren, damit ein Missbrauch von Daten verhindert wird.

Gefahren durch Geräteklau

Geklaut, vergessen oder verloren – ist das Smartphone, Tablet oder notebook erst mal weg, gibt es häufig zahlreiche Probleme. als wäre der Verlust des Geräts selbst nicht schon schlimm genug, kommen dabei meist jede Menge private und vertrauliche Daten in die hände Dritter. Egal, auf welchem Weg die eigene hardware abhandengekommen ist – es gilt, zügig und vor allem richtig zu handeln, um im Verlustfall den Schaden so gering wie möglich zu halten. Wirkungsvolle Erste-hilfe-Maßnahmen setzen allerdings voraus, dass man vorgebeugt hat. Bei einem Smartphone bedeutet das etwa, die Sperrcode-abfrage einzurichten, damit man das handy ohne den entsprechenden Code nicht einschalten oder aus dem Ruhemodus aufwecken kann. auf diese Weise können weder Dieb noch Finder Telefonkosten verursachen oder Daten ausspähen. Es empfiehlt sich, die Handy-Ortung im Mobilbetriebssystem einzuschalten (ioS) beziehungsweise eine Sicherheits-App zu installieren (Android), die das aufspüren und Fernsperren des handys ermöglicht. Ergänzend notieren Sie sich für eine mögliche Providersperrung die iMEi-Seriennummer des Geräts (abfrage mit der Kurzwahl *#06#) und die hotline-nummer ihres Providers.

Ein weitere wirkungsvolle Vorbeugungsmaßnahme ist es, vertrauliche Dokumente möglichst gar nicht – und wenn doch, dann stets verschlüsselt – auf notebook, Smartphone oder Tablet-PC zu speichern. Empfehlenswert ist ferner ein Verzicht auf das permanente Speichern von Kennwörtern für Online-Dienste wie Dropbox, ihr Mail-Postfach und soziale netzwerke. Melden Sie sich bei nichtbenutzung auf entsprechenden Webseiten und in apps wie outlook.com, Ebay, VPN, Paypal, Google Drive und so weiter ordnungsgemäß ab. auch wenn es Mühe macht, die jeweiligen Passwörter jedes Mal erneut einzugeben, so kommt doch ein Dieb oder Finder dann nicht so leicht an persönliche informationen heran.

0 Kommentare zu diesem Artikel
1897996