So schützen Sie sich

Hallo, Papa, mein Handy ist kaputt, dies hier ist meine neue Nummer (sic!).
Kannst du mir auf WhatsApp eine Nachricht schicken, ist wichtig!!“ – besonders überzeugend ist das SMS nicht, doch so manche:r ist schon drauf reingefallen, hat die angeforderte WhatsApp-Nachricht abgesandt und ist anschließend der Bitte seines vermeintlichen Kindes nachgekommen, eine – meist vierstellige – Summe auf ein bestimmtes Konto zu überweisen.

Der sogenannte „Tochter-Sohn-Trick“ gehört längst zum Standard-Repertoire von Internetkriminellen und kommt mittlerweile so ­häufig vor, dass er explizit im Cyber-crime-Report des Innenministeriums Erwähnung findet. Doch die Tricks werden immer perfider. Im jährlich erscheinenden Cybercrime-Report heißt es unter anderem: „Die digitale Welt bietet Kriminellen ein breites Spektrum an Möglichkeiten, ihre Opfer zu täuschen. Die Deliktformen des Internetbetrugs haben sich auch im Jahr 2023 weiter diversifiziert […].“ Zum Spektrum der ­Betrügereien, mit denen mittlerweile Internetnutzer:innen konfrontiert werden, zählen etwa betrügerische Anrufe, falsche Gewinnversprechen, gefakte Investitionsangebote sowie Love Scams, Phishing-Attacken und betrügerische Aktivitäten im Onlinehandel. Das Innenministerium verzeichnete im Jahr 2023 allein bei diesen Formen des Internetbetruges einen Anstieg von 23,3 % auf 34.069 Delikte. Die Aufklärungsquote sank hingegen um 4,8 Prozentpunkte, was auf die zunehmend raffinierteren Methoden und die Professionalisierung der Täter:innen zurückgeführt wird.

Jeden zweiten Tag eine Warnung

Die Betrugsversuche werden nicht weniger. Auf der Internetseite watchlist-internet.at wurden an den ersten 144 Tagen des heurigen Jahres 74 Warnungen veröffentlicht. Umgerechnet heißt das, dass jeden zweiten Tag eine neue Warnung veröffentlicht wird. Die Bandbreite der Warnungen reicht dabei von falschen Anrufen des Internetzahlungsdienstleisters PayPal^® und angeblichen Amazon^®-Mitarbeiter:innen über Werbungen für ­gefälschte Online-Banking-Seiten oder gefälschte Briefe der Rundfunk und Telekom Regulierungs-GmbH (RTR) bis hin zu Phishingmails im Namen der Österreichischen Gesundheitskasse (ÖGK). Selbst vor gefälschten Nachrichten des Finanzamtes, der WKÖ oder des heimischen Telekomriesen A1 schrecken die Betrüger:innen nicht zurück. Nahezu legendär sind mittlerweile jene täuschend echt nachgemachten Seiten, mit denen in Deutschland während der Corona-Pandemie Unternehmen dazu verleitet wurden, ihre Daten einzugeben. Im Anschluss gelang es den Betrüger:innen, Millionen an Hilfen von staatlichen Stellen zu ergaunern. In einem Medienbericht aus dem Vorjahr war von einem Schaden in Höhe von bis zu 500 Millionen Euro die Rede.

Starker Anstieg der Straftaten

Wie stark die Internetkriminalität in Österreich im Verlauf der vergangenen zehn Jahre gewachsen ist, zeigt die folgende 10-­Jahres-Statistik des Innenministeriums (Tab.).

Zwischen 2014 und 2023 hat sich die Zahl der Straftaten von knapp 9.000 auf fast 66.000 mehr als versiebenfacht. Wobei diese Zahl Expert:innen zufolge nur die Spitze des Eisberges ist, denn vielfach wenden sich die Betroffenen aus Scham nicht an die Behörden und verzichten auf eine Anzeige.

Wenn Vertrauensseligkeit in einem Fiasko endet

Das gilt wohl auch für den „pig-butchering scam“, eine Betrugsmethode, die im vergangenen Jahr in Kombination mit dem klassischen „love scam“ besonders häufig beobachtet wurde. Die Methode besteht darin, über längere Zeit Vertrauen zu Opfern aufzubauen, um sie dann finanziell auszunutzen. Dabei erstellen die Betrüger:innen gefälschte Profile auf Dating-Plattformen oder auf Social-Media-Kanälen und kontaktieren zufällig ausgewählte Personen über Messenger-Dienste, WhatsApp oder auch LinkedIn. Nach Aufbau einer freundschaftlichen, in manchen Fällen sogar auch einer ­romantischen Beziehung empfehlen die Täter:innen betrügerische Krypto-Investitionsplattformen, auf denen angeblich hohe Renditen erwirtschaftet werden können. Nach und nach sollen immer größere Investitionen getätigt werden. Anfangs sieht es – durch Manipulation auf der Krypto-Plattform – tatsächlich so aus, als ob die Investments eine Rendite abwerfen würden. Dem ist aber nicht so. Sind die Ersparnisse des Opfers aufgebraucht, folgen Erpressungsversuche und Drohungen. Die Opfer werden u. a. mit rechtlichen Konsequenzen, der Veröffentlichung ihrer intimen Kommunikation bzw. Bildmaterial und manchmal sogar mit Gewalt bedroht. Der Begriff „pig-butchering“ bedeutet übrigens so viel wie ein „Schwein mästen“ bzw. „schlachten“.

Hausverstand und Skepsis als beste Betrugsabwehr

Der beste Schutz vor Betrüger:innen ist und bleibt eine gesunde Portion Skepsis. Gepaart mit dem sprichwörtlichen Hausverstand trägt sie dazu bei, Cyberkriminellen nicht auf den sprichwörtlichen Leim zu gehen. Im Folgenden eine kurze Zusammenfassung der bekanntesten Betrugsmethoden und wie man sich davor schützen kann:

• Phishingmails: Dabei handelt es sich um gefälschte E-Mails von Banken und immer öfter auch von Behörden, die oftmals täuschend echt aussehen. Ziel ist es, an Login-Daten zu kommen. Prüfen Sie die Absender­adresse immer ganz genau. Wenn Sie dazu aufgefordert werden, auf einen Button zu klicken, können Sie den dahinterliegenden Link prüfen, indem Sie mit dem Mauszeiger über den Button fahren und kurz warten. Meist findet sich eine Webadresse, die absolut nichts mit dem/der angeblichen Absender:in zu tun hat.
• Ransomware: Dabei handelt es sich um Schadsoftware, die Daten verschlüsselt. Anschließend wird vom Opfer ein Lösegeld gefordert, um die Daten wieder freizugeben. In diesem Fall helfen regelmäßige Backups und die jeweils aktuelle Sicherheitssoftware.
• CEO-Fraud: Gefälschte Mails im Namen von Führungskräften mit Aufforderung, Überweisungen zu tätigen. Überprüfen Sie stets durch Rückfragen die Authentizität der E-Mail, am besten per Telefon.
• Identitätsdiebstahl: Kriminelle geben sich als eine andere Person oder als Institution aus, um an Ihre persönlichen Daten zu kommen. Checken Sie die besuchte Seite ganz genau, und geben Sie niemals sensible Daten leichtfertig preis.
• Erpressung: Drohungen mit Datenveröffentlichung oder DDoS-Angriffen, die Ihre ­Website lahmlegen und nur gegen Zahlungen vermieden werden können. Zahlen Sie auf keinen Fall, und melden Sie es den Behörden. (Eine Übersicht über ­verschiedene Meldestellen finden Sie hier)
• Kryptowährungsbetrug (siehe u. a. auch oben): Skeptisch bleiben und recherchieren; so finden Sie heraus, was es mit den ­jeweiligen Seiten auf sich hat bzw. wer ­dahintersteckt.
• Fakenews/Desinformation: gezielte Falschinformationen, um zu manipulieren. Prüfen Sie die Quellen sorgfältig.
• Social Engineering: Darunter versteht man das Ausnutzen menschlicher Schwächen durch geschickte Manipulation. Auch hier hilft der gesunde Hausverstand bzw. das Querchecken der Inhalte.

Aus Expertensicht ist es besonders wichtig, die eigenen Mitarbeiter:innen in regelmäßigen Abständen über neu auftauchende Bedrohungsszenarien zu informieren und sie zu schulen, vor allem was den Umgang mit eingehenden Mails betrifft. Nicht selten haben harmlos erscheinende Bewerbungs-E-Mails mit einem angehängten Word-Dokument schon ganze Firmen lahmgelegt.