Thomas Hirl, Fachbereichsleiter für Cybercrime-Ermittlungen beim Bayerischen Landeskriminalamt (LKA), sprach mit Gäuboden aktuell über die beliebte Internet-Betrugsmasche, Menschen durch falsche Notlage-E-Mails Geld abzuluchsen.

Gäuboden aktuell: Man bekommt eine Mail von einem Freund, der eine Notlage schildert und um Rückantwort per Mail bittet. Wie reagiert man richtig?
Thomas Hirl: Man sollte auf jeden Fall versuchen, den Freund auf anderen Kommunikationswegen zu erreichen, wenn man Zweifel am Wahrheitsgehalt hat, und ihn auf die Mail hinweisen. Weil ja zu vermuten ist, dass sein E-Mail-Account geknackt wurde, sollte man Anzeige erstatten. Der Account-Inhaber sollte parallel dazu auch Anzeige erstatten und die anderen Kontakte von dem Umstand informieren, damit nicht jemand auf die E-Mail reagiert und bezahlt.

Das Problem ist ja oft, dass die Kontakte aus dem Emailaccount zwar von den Tätern angeschrieben, aber dann gelöscht wurden, so dass man oft gar nicht gleich alle Angeschriebenen informieren kann. Was kann man da machen?
Hirl: Man kann höchstens schauen, ob man die Kontakte auch anderweitig gespeichert hat.

Wenn man also präventiv denkt, sollte man seine Kontakte nicht nur auf einem Account speichern?
Hirl: Aus dieser Sicht: ja.


Müssen die angeschriebenen Kontakte befürchten, dass ihr Account auch geknackt wird?
Hirl: Es gibt verschiedene Möglichkeiten, wie so ein geknackter Account missbraucht wird. Diese Notlagen-E-Mails sind eine Möglichkeit. Es gibt aber auch Täter, die verschicken an die Kontakte Links zu Webseiten, auf denen sie vorgeben, dass zum Beispiel das neueste, lustige Prominenten-Video oder irgendein nackter Promi zu sehen ist. In Wirklichkeit wird man auf eine Seite gelockt, von der aus der Rechner mit Schadsoftware infiziert wird. Man sagt immer: Klicken Sie auf keine Links, deren Herkunft Sie nicht kennen, aber in dem Fall gehen die Angeschriebenen ja davon aus, dass der Link von einem Freund stammt.


Wenn jemand nach einer Notlagen-Mail Geld überweist, ist das Geld dann endgültig weg?
Hirl: Die Täter verlangen ja in der Regel, Western Union oder ähnliche Bargeldtransfersysteme zu nutzen. Und wenn das Geld dann wirklich dort abgehoben wird, ist es weg. In der Regel ist das auch nicht nachzuvollziehen.


Muss man sich dann vorstellen, dass die Täter auch dort sitzen?
Hirl: Nicht unbedingt. Natürlich muss in dieser Region jemand sein, der das Geld abhebt. Das muss aber nicht der Täter sein, das kann jemand sein, der unter einem Vorwand oder gegen Bezahlung das Geld entgegen nimmt.


Woran erkennt man, dass der Email-Account gehackt wurde?
Hirl: Jede Veränderung im Email-Account, die man nicht selbst veranlasst hat, ist ein Indiz dafür, dass jemand anderes angemeldet war.Einige Email-Anbieter zeigen eine Login-Historie an, bei der man sieht, wann sich das letzte Mal jemand eingeloggt hat. Es kann auch ein Indiz sein, wenn man gar nicht mehr reinkommt, weil die Täter das Zugangskennwort geändert haben.


Warum ändern die Täter nicht gleich das Passwort?
Hirl: Wenn es gesperrt ist, wird der Nutzer natürlich Kontakt mit dem Provider aufnehmen und fragen, was los ist. Wenn alles erst einmal unentdeckt bleibt, ist der Account länger "am Leben" für die Täter. Ein Indiz könnte auch sein, dass Fehlermeldungen in den Account einlaufen, weil die Täter auch alte Kontakte angeschrieben haben, die nicht mehr stimmen.


Was sollte man machen, wenn der Emailaccount gehackt wurde?
Hirl: Zuerst einmal das Passwort ändern und Anzeige bei der örtlichen Polizei erstatten. Nicht aus einem Impuls heraus die Täter-Emails löschen, weil das vielleicht die einzigen Spuren sind, die wir haben.


Wie kommen die Täter hinter das Passwort bzw. wie verschaffen sie sich Zugang zu einem Email-Account?
Hirl: Es gibt mehrere Möglichkeiten, einen Email-Account zu knacken. Entweder erraten die Täter das Passwort durch massives Ausprobieren, das ist die sogenannte Brute-Force-Attacke, das kann mit einer Dictionary-Attacke kombiniert werden. Dabei kombiniert man Einträge aus Wörterbüchern in dieses Programm, die dann in allen möglichen Konstellationen automatisiert durchprobiert werden. Und wenn das Passwort dann zu einfach ist, also zum Beispiel aus einem Namen besteht, dann ist der Account offen. Eine andere Möglichkeit liegt darin, dass der PC, mit dem Sie sich einloggen, mit einer Schadsoftware infiziert ist, die die Zugangsdaten ausspäht. Dagegen hilft auch kein sicheres Passwort. Die dritte Möglichkeit ist, dass die Täter es schaffen, durch Möglichkeiten, die der Provider mit den Funktionen "Passwort zurücksetzen" oder "Passwort vergessen" anbietet, in den Account zu kommen. Sie beantworten Sicherheitsabfragen, wie z.B. "Wie heißt mein Haustier?" und können so das Passwort zurücksetzen. Die notwendigen Informationen, hier den Namen des Hundes, finden die Täter oft in den Profilen der Nutzer in sozialen Netzwerken. So ähnlich sind auch schon die Accounts von Prominenten wie Paris Hilton gehackt worden.


Wenn der PC mit einer Schadsoftware infiziert wurde, muss man mit mehr Schaden rechnen als nur mit einem gehackten Emailaccount...
Hirl: Ja, richtig. Da sind dann wahrscheinlich auch gleich Kreditkartendaten weg, wenn man online einkauft, und andere Zugangsdaten.


Das verhindert man am besten mit Virenscannern?
Hirl: Ja. Ein sicherer PC besteht aus mehreren Komponenten: Das ist zum einen ein Virenscanner, der am besten mehrmals täglich aktualisiert wird, es sollten immer alle Sicherheitsupdates des Betriebssystems eingespielt werden, aber auch für alle Anwendungen, die installiert wurden. Die meisten Sicherheitslücken, die aktiv ausgenützt werden, sind in zusätzlichen Programmen zu finden, wie dem Browser oder dem Adobe Reader, dem Flash Player oder Java. Und man sollte Anwendungen, die man nicht mehr nutzt, deinstallieren.


Kommen diese E-Mail-Hackerangriffe häufig vor?
Hirl: Der Modus ist nicht völlig neu, aber derzeit treten sie gehäuft auf. Ich habe die Fälle in Bayern 2012 mal überschlagen und bin auf 150 im vergangenen Jahr gekommen. Wahrscheinlich sind es wesentlich mehr, da viele Geschädigte auch keine Anzeige erstatten.


Werden solche Hacker manchmal gefasst?
Hirl: Es ist sehr schwierig, aber jeder Täter hinterlässt zwangsläufig Spuren wie auch eine E-Mailadresse, die er als Weiterleitungsemailadresse eingerichtet hat. Letztlich landen wir Ermittler in der Regel immer bei irgendeiner IP-Adresse, von der aus der Täter gehandelt hat. Und dann muss man natürlich schauen, wer Zugriff auf diesen Anschluss hat. Unser Problem ist momentan, dass die Zuordnung IP-Adresse/Anschluss aufgrund der Datenspeicherproblematik kaum noch möglich ist. Es ist momentan sehr schwierig, solche Täter zu ermitteln. Es ist nicht unmöglich, es gibt auch andere Ermittlungsmethoden im Einzelfall, aber es ist massiv erschwert.


Soll man seinen PC nach einem Hackerangriff zur Polizei mitbringen?
Hirl: Der Rechner ist bei so etwas nicht zwingend erforderlich. Wenn der Account mit einer Schadsoftware ausgespäht wurde, sollte man mit dem Rechner erstmal nicht mehr arbeiten. Die Dienststelle, die den Fall bearbeitet, weiß dann Bescheid, ob es notwendig ist, den Rechner zu untersuchen.


Wenn eine Weiterleitung eingerichtet wurde an eine andere Emailadresse, sollte man die weitergeben an die Polizei?
Hirl: Genau. Am besten man bringt einen entsprechenden Bildschirmausdruck mit. Die E-Mails nicht löschen, denn die sogenannten Metadaten, die im Header versteckt sind, sind für die Ermittlungen wichtig. Die E-Mails können abgespeichert oder auch inklusive Header ausgedruckt werden.


Welcher Bereich der Internetkriminalität tritt besonders häufig auf?
Hirl: Was uns im letzten Jahr massiv beschäftigt und viele Bürger geschädigt hat, sind die sogenannten Ransomware-Fälle. Das ist eine Schadsoftware, die den PC sperrt und Lösegeld über einen anonymen Internetbezahldienst fordert. Das Ärgerliche daran ist, dass der PC nicht mehr zu gebrauchen ist und erst bereinigt werden muss. Und selbst wenn man bezahlt, wird der Rechner nicht entsperrt.


Kann man sich vor Ransomware schützen?
Hirl: Es erscheinen so viele neue Viren täglich, dass die AV-Industrie immer hinterher hinkt. Einen hundertprozentigen Schutz gibt es nicht. Hilfe finden Betroffene auf der Seite www.botfrei.de.


Vielen Dank für das Gespräch!

Info: Wie man ein sicheres Passwort anlegt, erfährt man unter unter anderem unter www.google.de/goodtoknow/online-safety/passwords/

Infos über Hoaxes (Falschmeldungen) gibt es unter http://hoax-info.tubit.tu-berlin.de/hoax/ der Technischen Universität Berlin.
Infos zu Botnet-Infektionen: www.botfrei.de