Wissen

Cyberkriminalität: Wie Kriminelle vorgehen und wie du dich schützt

von Thorsten Schierhorn, 15.05.2024

Eigentlich wolltest du doch nur mal schnell aus dem Internet die Zutatenliste für Bolognese-Sauce ziehen. Bloß eine Rezeptseite, nichts Unseriöses. Und trotzdem das: Plötzlich legt sich ein Banner über den gesamten Bildschirm. Ohne Zahlung eines Lösegelds laufe nichts mehr, verkündet es. Und die Angreifer*innen dahinter meinen es offenbar ernst. Kein Klick und kein Neustart kann das Banner vertreiben. Mit solchen und ähnlichen Attacken treiben Online-Kriminelle ihr Unwesen. Was du über deren Methoden wissen musst und wie du dich schützt – hier erfährst du es.

Themen in diesem Artikel

Auf den Punkt

Auf den Punkt

  • Der Begriff Cyberkriminalität bezeichnet Verbrechen, die im Internet oder mithilfe des Internets begangen werden.
  • In den meisten Fällen wollen die Kriminellen Daten und Geld erbeuten.
  • Zu ihren Instrumenten gehört Schadsoftware („Malware“), die sie auf die Rechner der User*innen schmuggeln.
  • Eine andere Methode ist „Social Engineering“: Die User*innen werden derart getäuscht, dass sie ihre Daten selbst preisgeben.
  • Sicherheitsprogramme und Umsicht können gegen Cyberkriminalität schützen. 

Was ist überhaupt Cyberkriminalität?

Unter Cyberkriminalität versteht man einfach erklärt alle kriminellen Attacken auf Computer beziehungsweise Computernetzwerke. Das reicht von Spam-E-Mails über Angriffe auf die Server von Unternehmen bis hin zu Wahlmanipulation.

Aktuelle Fälle von Cyberkriminalität und entsprechende Sicherheitshinweise findest du zum Beispiel auf der Seite des Bundesamtes für Sicherheit in der Informationstechnik.

Alle Geräte mit Internetzugang können betroffen sein

Alle Geräte mit Internetzugang können betroffen sein

Ratgeber zum Thema Cyberkriminalität konzentrieren sich oft auf Gefahren und Sicherheitsmaßnahmen für Computer. Allerdings sind das nicht die einzigen Geräte, die mit dem Internet verbunden sind und damit ins Visier von Kriminellen geraten können. Beachte die Sicherheitstipps (siehe unten) deswegen auch für dein Smartphone, Tablet, Smartwatch oder andere Geräte wie Smart-Home-Anwendungen.

Eine besonders nervige Variante von Cyberkriminalität hat dich sicherlich auch schon getroffen: Spam-E-Mails, die für Sonnenbrillen, Potenzmittel und Co. werben oder dir Gewinne von Preisausschreiben verkünden, an denen du nie teilgenommen hast. Immerhin: Wenn du solche Mails einfach löschst, passiert in der Regel nichts. Die meisten Mails sollte dein E-Mail-Programm automatisch in den Spam-Ordner verschieben und nach kurzer Zeit löschen.  

Gefährlicher wird es, wenn Hacker*innen versuchen, an deine Daten zu kommen, also an deinen Namen, dein Geburtsdatum, deine Adresse. Auch auf Nummern von Bankkonten sowie auf Passwörter und PINs haben es Cyberkriminelle oft abgesehen. Damit könnten die Datendieb*innen versuchen, … 

  • von deinem Konto Geld abzuheben. 
  • mit deinen Kreditkartendaten im Internet einzukaufen. 
  • in deinem Namen Werbung zu verschicken. 
  • E-Mails an deine Freunde zu senden, um auch an deren Daten zu kommen. 

Wenn sich die Kriminellen als du ausgeben, nennt man das „Identitätsdiebstahl“. Mehr dazu liest du im Artikel „'Das war ich doch gar nicht!' Was tun bei Identitätsdiebstahl?“

Wie die Hacker*innen auf deine Daten zugreifen wollen? Welche kriminellen Methoden es sonst noch gibt? Sehen wir es uns genauer an. 

Nachbau des Trojanischen Pferdes
© istock/ustHappy/2014  Im antiken Troja schmuggelte das griechische Heer in einem Pferd verborgene Bewaffnete in die Stadt – Cyberkriminelle gehen mit sogenannter „Trojaner“-Schadsoftware ähnlich vor.

Malware: Das sind die gängigsten Methoden

Nimm dich besonders vor Malware in Acht. Das Wort ist eine Kurzversion von „Malicious Software“, Englisch für „schädliche Software“. Solche Programme können über deinen Computer Schlimmes anrichten. Deswegen nennt man sie auch Schadsoftware. Kriminelle wollen damit deine Daten abgreifen oder Geld von dir fordern. 

Das funktioniert meistens aber nur dann, wenn du die gefährlichen Programme auf deinem Gerät installierst. Die Entwickler*innen müssen dich also dazu verleiten, die Malware herunterzuladen und zu starten. Dafür haben sie eine Reihe von Tricks in petto, mit denen sie dir das Programm unterjubeln. Zum Beispiel verstecken sie es … 

  • in einer E-Mail als Anhang, der angeblich eine Rechnung ist. Wenn du draufklickst, startet das Schadprogramm. 
  • auf einer Webseite, von der du scheinbar harmlose Programme (Spiele, Office-Software) herunterladen kannst – doch in Wahrheit bekommst du Malware. 
  • hinter Anzeigen auf Webseiten, die von den Kriminellen manipuliert wurden. Wenn du auf die Anzeige klickst, startet das Schadprogramm. Oder du wirst auf eine Seite gelockt, wo du zur Installation verführt werden sollst. Diese Masche nennt sich „Malvertising“, eine Mischung aus „Malware“ und „Advertising“, dem englischen Wort für „Werbung“.  

Und was macht Malware auf deinem Rechner? Das hängt vom jeweiligen Programm ab. Das sind die gängigsten: 

Virus

Im echten Leben befallen Viren Körperzellen und nutzen sie, um sich zu vermehren. Computerviren gehen im Prinzip genauso vor: Sie attackieren „gesunde“ Dateien und breiten sich von ihnen aus. Je nach Virus richten die befallenen Dateien dann weiteren Schaden an oder sie sind unbrauchbar beziehungsweise gelöscht. 

Trojaner

So wie das griechische Heer Bewaffnete im Trojanischen Pferd versteckte, so ist ein digitaler Trojaner in einem unverdächtigen Programm versteckt. Aber wenn der Trojaner aktiviert wurde, kann er schädliche Aktionen ausführen, zum Beispiel Dateien löschen oder auch Sicherheitslücken schaffen, um darüber weitere Malware auf deinen Rechner zu schleusen.  

Spyware

Solche Programme – der Begriff „spy“ (= Englisch für „Spion“) verrät es schon – versuchen an Informationen zu kommen. Sie sammeln nicht nur Bankdaten oder Passwörter, sondern oft auch Daten über deine Einkäufe im Internet. Die erbeuteten Informationen gehen an die Hacker*innen, die sie verkaufen oder selbst nutzen.

Ransomware

Mit dieser Schadsoftware legen Hacker*innen deinen Computer still. Deine Dateien werden gesperrt und erst wieder freigegeben, wenn du eine Art „Lösegeld“ gezahlt hast. Meistens sollst du dafür eine bestimmte Summe in einer Kryptowährung wie zum Beispiel Bitcoin überweisen.

Betrug beim Online-Banking oft schwer zu erkennen: Wer zahlt den Schaden? | mehr/wert | BR24

Klicken Sie hier, um die Inhalte von YouTube anzuzeigen.

Meine Zustimmung kann ich jederzeit unter Datenschutz widerrufen.

© BR24 

Adware

Damit wird dein Rechner nicht wirklich geschädigt. Dafür bekommst du aber dauernd unerwünschte Werbung angezeigt. Im besten Fall ist das nur nervig. Im schlimmeren Fall verbirgt sich Spyware hinter den Anzeigen, die nach einem Klick darauf deine Daten ausspäht.

Botnets

Hierbei wird ein Programm auf deinen Rechner geschmuggelt, das gleichzeitig auf anderen Rechnern installiert ist, die mit deinem vernetzt sind. Aus der Ferne können dann alle Computer gleichzeitig kontrolliert werden. Diese geballte Rechenpower lässt sich für großangelegte Cyberattacken nutzen, für die Verbreitung von Spam und andere kriminelle Aktionen. Ein so manipuliertes Rechnernetzwerk nennt man „Botnet“ (oder zu Deutsch „Botnetz“).

Solche Angriffe werden zum Beispiel genutzt, um mit den gehackten Rechnern Überweisungen in Kryptowährungen zu verarbeiten, das sogenannte Cryptomining. Da dieser Prozess sehr viel Rechenleistung benötigt, klauen sich Kriminelle den Strom und den Internetzugang aus mehreren fremden Computern zusammen.

Scareware

Solche Programme lassen falsche Virenwarnungen auf deinem Rechner aufblinken. Dadurch sollst du glauben, dass du dir eine besonders böse Malware eingefangen hast. Als Abhilfe gegen das angebliche Computervirus wird dir ein teures Programm angeboten. Im besseren Fall kostet es nur viel Geld, ist aber ansonsten harmlos. Im schlimmeren Fall enthält es weitere Malware, etwa in Form eines Trojaners. Kaufen solltest du es so oder so nicht.

Würmer

Im Gegensatz zu den anderen Malware-Formen müssen Würmer nicht erst installiert werden. Stattdessen erreichen sie über Netzwerkschnittstellen dein Gerät und können sich dort selbstständig verbreiten. Dadurch wird der Computer langsamer. Ein größerer Schaden entsteht zunächst nicht. Doch Würmer können einen Rechner anfällig machen für weitere Malware-Attacken.

Viruswarnung auf einem Smartphone-Bildschirm
© istock/Atstock Productions/2018  Eine Viruswarnung kann ein Trick sein, damit du schädliche Programme herunterlädst, die angeblich gegen das Virus helfen.

Phishing & Co.: Noch mehr Cyberattacken

Längst haben sich die Cyberkriminellen Attacken ausgedacht, bei denen sie keine Software oder Würmer auf die Rechner ihrer Opfer schmuggeln müssen. Dazu gehören zum Beispiel die folgenden Methoden.

Phishing

Beim Phishing erhältst du Nachrichten von scheinbar seriösen Absendern, zum Beispiel von einer Bank oder einem Versandhaus. In Wahrheit aber stammen die E-Mails von Kriminellen, die dich auf eine gefälschte Webseite lenken wollen. Dort sollst du dann deine persönlichen Daten eingeben, etwa um eine Kontobewegung zu überprüfen oder für ein Gewinnspiel. Wenn du den Trick nicht rechtzeitig bemerkst, können die Kriminellen mit dem Anmeldenamen und dem Passwort allerlei Unheil anrichten. 

Mehr zu den einzelnen Phishing-Methoden und wie du dich dagegen schützt, liest du im Artikel „Was ist Phishing? Wie der Datenklau per Fake-Mail funktioniert und du dich schützt“.

Spoofing 

Wenn du eine Phishing-E-Mail bekommst, die aussieht, als wäre sie von deiner Hausbank, ist auch die Rede von Spoofing, zu Deutsch „täuschen“ oder „reinlegen“. Dabei wird dir eine vertraute Identität vorgegaukelt, um so an deine Daten oder Geld zu kommen. Auch der sogenannte Enkeltrick ist eine Art des Spoofing. Hier erhalten Großeltern gefälschte Nachrichten, in denen vermeintlich ihre Enkel*innen wegen einer dringenden Notlage um Geld bitten.  

Achtung: Phishing über Kleinanzeigen

Achtung: Phishing über Kleinanzeigen

Ein beliebtes Ziel von Cyberkriminellen sind Personen, die etwas über Kleinanzeigen im Internet verkaufen wollen. Die Kriminellen versenden dann E-Mails, SMS oder WhatsApp-Nachrichten, die dich auffordern, deine Kreditkartendaten zu hinterlegen, angeblich, damit eine Zahlung abgewickelt werden kann. Prüfe bei solchen Aufforderungen also immer Absender und verlinkte Seiten und gib auf keinen Fall deine Kreditkartendetails ein. Für aktuelle Fälle und Beispiele dieser Phishing-Attacken halten Kleinanzeigen eine Übersicht bereit

Pharming

Pharming ist eine weiterentwickelte Form des Phishings. Wenn du eine Internetadresse eingibst – zum Beispiel die von deiner Bank –, gelingt es den Kriminellen mithilfe von Malware, dich auf eine gefälschte Webseite zu leiten. Diese Seite sieht der deiner Bank täuschend ähnlich. Auch Webseiten von Hilfsorganisationen oder Gewinnspielen werden nachgebaut. Wenn du dort deine Daten eingibst, haben die Kriminellen ihr Ziel erreicht.

Phishing und Pharming gehören zum sogenannten Social Engineering. Solche Methoden setzen auf den Menschen als Sicherheitslücke. Weil die User*innen aus Gutgläubigkeit, Hilfsbereitschaft, Gewinnstreben, Angst oder aufgrund von anderen Gefühlen selbst die Daten eintragen sollen, auf die es die Täter*innen abgesehen haben.

Serie „Cybercrime” – Forschung zu Cyberangriffen | hessenschau

Klicken Sie hier, um die Inhalte von YouTube anzuzeigen.

Meine Zustimmung kann ich jederzeit unter Datenschutz widerrufen.

© hessenscha 

Doxing

Beim Doxing veröffentlichen Cyberkriminelle alle möglichen Daten über Personen ohne deren Erlaubnis. Diese Informationen haben sie aus allen Ecken des Internets zusammengesammelt – mal auf legale, mal auf verbotene Art und Weise. Zu den veröffentlichten Informationen können der Vermögensstand gehören, das Vorstrafenregister, die Bankverbindung oder peinliche Fotos. Ziel ist es, der betroffenen Person das Leben schwer zu machen. Etwa indem man die Privatadressen und die Telefonnummern von Prominenten enthüllt – zum Beispiel aus Rache. 

Denial of Service (DoS)

Diese Methode betrifft eher Unternehmen und Netzwerkbetreiber. Ziel ist es nämlich, deren Dienst stillzulegen (Denial of Service heißt zu Deutsch etwa „den Dienst verweigern“). Das gelingt den Angreifer*innen zum Beispiel, indem sie in ganz kurzer Zeit ganz viele Anfragen an einen Server senden. Der wird durch den Ansturm überlastet und bricht zusammen. Wenn mehrere Rechner für eine Attacke eingesetzt werden, spricht man von „Distributed Denial of Service“ (von engl. distribute = verteilen), kurz DDoS.

Man-in-the-Middle-Attacke

Wenn du eine Webseite aufrufst, beispielsweise die von deiner Bank – bist du dann sicher, dass du eine direkte Verbindung dorthin hast? Vielleicht hat sich ja jemand dazwischen geschaltet oder irgendwo auf dem Weg eine Spionage-Software installiert. Dann kann er oder sie deine Kommunikation verfolgen, aufzeichnen, ja sogar manipulieren. Da diese Datendieb*innen zwischen dir und dem eigentlichen Verbindungsziel stehen, nennt man diese Methode „Man in the Middle“, also „Mann in der Mitte“. 

Anzeige eines Antivirenprogramms auf einem Laptop-Bildschirm
© istock/cnythzl/2017  Eine aktuelle Antivirensoftware gehört zum Pflichtprogramm für Rechner, die mit dem Internet verbunden sind.

So schützt du dich vor Cyberkriminalität

Obwohl Cyberkriminelle jede Menge Tricks auf Lager haben, bist du nicht wehrlos. Mit folgenden Mitteln können Sie die Pläne der Angreifer*innen vereiteln. 

  • Du solltest dein Betriebssystem und alle Programme beziehungsweise Apps stets aktuell halten. Installiere Updates also so schnell wie möglich. Damit werden mögliche Sicherheitslücken geschlossen. 
  • Deine Firewall sollte immer in Bereitschaft sein. Die Firewall ist ein Sicherheitsprogramm, das in der Regel im Betriebssystem integriert und automatisch aktiviert ist.
  • Installiere ein zuverlässiges Antivirenprogramm. Windows 10 und 11 haben zwar das relativ gute Windows Defender Programm vorinstalliert, aber es gibt auch weitere kostenlose Tools wie Avast Free Antivirus oder AVG Anti-Virus Free (jeweils für Windows). Achte auch hier auf Updates, damit das Programm stets auf dem aktuellsten Stand ist. 
  • Klicke beziehungsweise tippe niemals unbedacht auf E-Mail-Anhänge, Werbebanner, Links oder Download-Buttons. Vergewissere dich, dass alles seine Richtigkeit hat. Überprüfe nicht nur den Namen des Absenders, sondern auch die E-Mail-Adresse. Stimmt die URL? Ist die Verbindung bei der Übertragung von sensiblen Daten verschlüsselt (das erkennst du daran, dass die URL mit „https://“ beginnt)? Denk auch daran, dass eine Bank dich niemals per Mail auffordert, deine Daten zu übermitteln. Sei besonders vorsichtig, wenn die Nachricht dringend Rückmeldung von dir fordert. 
  • Für besonders wichtige Seiten wie dein Online Banking setzt du dir am besten ein Lesezeichen, das du für den Zugang nutzt. 
  • Schütze deine Internet-Accounts (E-Mail, Bankkonto, Social-Media-Konten und so weiter) mit einem starken Passwort, das du regelmäßig änderst. Wie du so ein Passwort findest, dass du dir obendrein gut merken kannst, liest du im Artikel „Hier kommt niemand rein: So erstellst du sichere Passwörter für Online Banking, Twitter & Co“. 
  • Richte für deine Internet-Accounts eine Zwei-Faktor-Authentifizierung ein. Beim Online Banking ist das Pflicht. Ohne dieses Sicherheitsverfahren kannst du zum Beispiel keine Überweisung vornehmen. Die Zwei-Faktor-Authentifizierung gibt es aber auch unter anderem für Amazon, Facebook oder WhatsApp
  • Erstelle regelmäßige Sicherheitskopien von deinen Dateien wie Fotos und wichtigen Dokumenten, und zwar auf einem USB-Stick oder einer externen Festplatte. So kommst du noch an deine Daten heran, sollte doch einmal etwas mit deinem Computer passieren – sei es ein Cyberangriff oder ein anderer Schaden am Gerät. 

Das kannst du tun, wenn dein Rechner betroffen ist

Du erhältst Virusmeldungen, die offenbar nicht von deinem Antivirenprogramm stammen? Ständig erscheinen Pop-up-Fenster mit unerwünschter Werbung? Das System läuft immer langsamer, Dateien verschwinden oder machen nicht das, was sie sollen? Dann hat sich offenbar trotz aller Sicherheitsmaßnahmen eine Malware auf deinem Rechner eingenistet. Was nun?

In Windows 10 und 11 kannst du nach „Viren- und Bedrohungsschutz“ suchen und entweder eine Schnellüberprüfung oder eine vollständige Überprüfung starten. Die vollständige kann eine Weile dauern, ist aber auch gründlicher. Wenn der Scan beendet ist, gibt das System dir Anweisungen, was zu tun ist.

Fast alle großen Anbieter von Sicherheitssoftware haben kostenlose Download-Tools, die Malware erkennen und entfernen (siehe oben).

Besonders ärgerlich ist es, wenn es den Angreifer*innen offenbar gelungen ist, mithilfe deiner Daten dein Online Bankkonto zu plündern oder auf deine Kosten mit der Kreditkarte einzukaufen. In diesem Fall …

  • lässt du das betroffene Konto sofort sperren. 
  • änderst du die Zugangsdaten (Anmeldename, Passwort). 
  • aktualisierst du dein Antivirenprogramm und die Firewall. 
  • richtest du, wo immer möglich, eine Zwei-Faktor-Authentifizierung ein. 

Mehr dazu liest du im Artikel „Konto gehackt: Was du jetzt tun solltest“.

Wenn du selbst nicht weiter weißt, kannst du dich an das BSI wenden, also das Bundesamt für Sicherheit in der Informationstechnik. Das Amt stellt dir eine Hotline und eine E-Mail-Adresse zur Verfügung, mit der du Hilfe erhalten kannst.

Außerdem: Cyberkriminalität ist eine Form von Kriminalität. Zuständig ist also die Polizei. Wenn du betroffen bist, solltest du dich an deine örtliche Polizeidienststelle wenden, um Anzeige zu erstatten. Das gilt nicht nur für Sicherheitsvorfälle bei Unternehmen, sondern auch für Angriffe auf deinen privaten Rechner.

Wie hat dir der Artikel gefallen?

27
76

Das könnte dich auch interessieren: