"Selbst dran Schuld!" "Wie doof sind die denn?" "Das könnte mir ja niiieeee passieren!" So lauten sinngemäß die Reaktionen, wenn wieder einmal von Phishing-Angriffen die Rede ist. Etwa vergangene Woche, als gefälschte E-Mails angeblich im Namen von Google umgingen, in denen die Empfänger gebeten wurden, auf einer ebenfalls gefälschten Website ihre Login-Daten einzugeben. Oder als es Angreifer gelang, mithilfe von Phishing das mTan-Verfahren von deutschen Banken auszuhebeln.

Phishing, abgeleitet vom englischen Wort fishing, angeln, beschreibt den Versuch, über gefälschte E-Mails, Websites oder Nachrichten auf dem Smartphone an Nutzernamen und Passwörter zu gelangen. Die Angreifer angeln gewissermaßen nach diesen Informationen, indem sie ihre Opfer mit möglichst echt aussehenden Mails ködern und darauf hoffen, dass diese die Täuschung nicht erkennen. Was natürlich keiner tut, denn niemand ist ja, wie eingangs erwähnt, so doof und klickt seltsame Links in E-Mails an. Nicht wahr?

Leider nicht. Wenn es nicht funktionieren würde, gäbe es vermutlich auch kein Phishing. Doch wie Untersuchungen zeigen, waren Phishing-Versuche im vergangenen Jahr weiter verbreitet denn je. Der internationale Verband Anti-Phishing Working Group (APWG) fand allein im ersten Quartal 2016 fast 290.000 gefälschte Websites, die einzig dem Phishing galten.

Phishing dient unterschiedlichen Zwecken. In Fällen wie Google Docs oder Dropbox versuchen die Angreifer in der Regel, an Passwörter und möglicherweise persönliche Daten zu kommen, die auf diesen Plattformen gespeichert sind. Nicht nur im Fall von Prominenten könnten diese lukrativ sein; auch Unternehmen und Privatpersonen können damit möglicherweise erpresst werden. In anderen Fällen haben die Angreifer es auf Onlineshops oder Banken abgesehen, ihnen geht es ganz direkt um Geld und Güter. Und, wie zuletzt im französischen Wahlkampf, bei der Konrad-Adenauer-Stiftung und im Wahlkampf von Hillary Clinton gesehen, ist Phishing ein beliebtes Werkzeug unter politisch motivierten Hackern.

Phishing kann jeden treffen

Aber wer klickt nun wirklich auf Links, die zu gefälschten Websites führen und gibt dort dann auch noch leichtsinnig seine Daten ein? Die Antwort des Journalisten und früheren IT-Sicherheitsexperten Steve Ragan: Jeder.

Das ist natürlich überspitzt, aber im Kern ist seine Aussage, dass selbst Menschen, die es besser wissen sollten, nicht vor ausgeklügelten Phishing-Versuchen gefeit sind. Das betrifft Prominente wie Schauspielerin Jennifer Lawrence ebenso wie den früheren US-Geheimdienstdirektor James Clapper und Clintons Wahlkampfleiter John Podesta, der aber zuvor grünes Licht von einem IT-Experten bekam – ein Tippfehler, wie es offiziell heißt.

Im vergangenen Jahr fanden Forscher der Universität Erlangen-Nürnberg heraus, dass 56 Prozent aller E-Mail-Nutzer und 40 Prozent aller Facebooknutzer auf Links selbst von Absendern klicken, die sie gar nicht kennen. Versandt wurden die falschen Inhalte an 1.700 Studenten der Universität, also junge Menschen, die eigentlich über eine gewisse Medienkompetenz verfügen sollten. 78 Prozent gaben in einer Befragung auch an, über die Gefahren von Phishing prinzipiell Bescheid zu wissen. Wieso sie trotzdem auf den Link klickten? Reine Neugier.

Nachfragen hilft auch bei US-Politikern

Das IT-Portal Gizmodo hat in dieser Woche einen eigenen Versuch gestartet. Sie schickten 15 Personen aus der Trump-Regierung eine gefälschte E-Mail. Die E-Mail-Adresse des Absenders war security.test@gizmodomedia.com, der Absendername allerdings wurde jeweils zu einer den Empfängern bekannte Person verändert. In der E-Mail selbst war ein Link auf ein Dokument, das auf eine manipulierte Website mit einer Eingabemaske führte. Dort stand kleingedruckt, es handle sich um einen Sicherheitstest von Gizmodo. Wirklich eingeben konnten die Empfänger nichts, die Journalisten wollten schließlich nicht wirklich die Daten abgreifen.

Nach dem Versand der Mails griffen acht unterschiedliche Geräte auf die Fake-Website zu, sagt Gizmodo. Sieben davon innerhalb von zehn Minuten nach dem Senden. In zwei Fällen antworteten die Empfänger sogar direkt per Mail: Der gerade entlassene FBI-Direktor James Comey fragte: "Ich will das nicht einfach öffnen. Was ist es?" Und der frühere Präsidentschaftskandidat Newt Gingrich ging offenbar davon aus, dass es sich bei dem Absender tatsächlich um seine Frau handelte. Obwohl ein genauer Blick auf den E-Mail-Header die E-Mail-Adresse und damit den Fake entblößt hätte. Allerdings war auch Gingrich skeptisch und fragte deshalb lieber noch einmal nach, bevor er den Link öffnete.