Wo der Virenscanner machtlos ist

Viele Menschen denken, dass ein Virenscanner vollumfänglichen Schutz für den Computer und das Smartphone bietet. Oft wird daher für einen vermeintlich besonders guten Virenscanner auch ordentlich Geld ausgegeben, in der Hoffnung, der Schutz sei dann noch besser. Doch in der Welt der Cyberkriminalität arbeiten die Angreifer längst mit anderen Werkzeugen, nicht jede Bedrohung lässt sich durch eine Antiviren-Software blockieren. Zwar gibt es durchaus Betrugsmethoden, die ein Virenscanner verhindern kann. Allerdings sind die wirklich besorgniserregenden und „erfolgreichen“ Betrugsmethoden solche, die nicht durch einen Virenscanner verhindert werden können. In solchen Fällen ist auch der teuerste und beste Virenscanner machtlos. Wir beleuchten drei mögliche Angriffspunkte, bei denen ein Virenscanner allein nicht ausreicht, und zeigen auf, welche zusätzlichen Sicherheitsvorkehrungen stattdessen sinnvoll sind.

1. Phishing – Betrug durch Täuschung

Der englische Kunstbegriff „Phishing“ ist eine der häufigsten Betrugsmethoden im Internet und funktioniert fast ausschließlich über psychologische Manipulation. Dabei senden Kriminelle gefälschte E-Mails oder Nachrichten, die wie offizielle Mitteilungen von Banken, Dienstleistern oder anderen vertrauenswürdigen Quellen aussehen. Oft werden die Opfer dabei sogar persönlich angesprochen/angeschrieben, was den Erfolg dieser Methode ausmacht. Man soll dazu verleitet werden, sensible Daten preiszugeben, etwa Passwörter für Internetseiten oder zum Beispiel Kreditkartendaten. Dabei wird alles so gut getarnt und getäuscht, dass man oft gar nicht bemerkt, wie man selbsttätig die eigenen Daten preisgibt und eintippt. Weil solche Phishing-Nachrichten keinen Virus enthalten, bleibt ein Virenscanner oft wirkungslos. Man sollte Links in E-Mails stets hinterfragen und im Zweifelsfall nicht anklicken. Statt eines Virenscanners hilft hier eher der Spam-Filter im E-Mailprogramm, doch auch dieser erkennt die gefälschten Mails nicht immer. Die beste Waffe gegen diese psychologischen Betrugsmethoden sind also keine Schutzprogramme, Spam-Filter oder Virenscanner, sondern der menschliche Verstand.

Das Wort Phishing stammt übrigens vom englischen Wort „fishing“ (Angeln). Es wird bewusst mit „ph“ statt „f“ geschrieben, um es vom herkömmlichen „fishing“ abzugrenzen. Beim Phishing „angeln“ die Cyberkriminellen im übertragenen Sinne nach persönlichen Daten, wie Passwörtern, Bankinformationen oder anderen sensiblen Informationen. Das Besondere beim Phishing ist, dass das Opfer seine Daten am Ende freiwillig preisgibt, ähnlich wie der Fisch, der freiwillig auf den Köder beißt. Und dies kann ein Virenscanner nicht verhindern.

2. Social Engineering – Vertrauen ausnutzen

Beim sogenannten Social Engineering manipulieren Angreifer ebenfalls unmittelbar auf psychologischer Ebene den Menschen und nicht auf technischer Ebene den Computer. Man könnte es auch mit sozialer Manipulation übersetzen. Dies kann telefonisch, per Chat, SMS oder sogar persönlich geschehen. Ein häufiger Trick ist es, dass die Betrüger sich als Mitarbeiter einer bekannten Firma oder als IT-Support ausgeben, um an sensible Informationen wie Passwörter oder Zugangsrechte zu kommen. Auch hier ist ein Virenscanner machtlos, da der Angreifer keine Schadsoftware nutzt und nicht auf technischer Ebene agiert. Um sich zu schützen, ist es wichtig, generell erst mal keine vertraulichen Informationen herauszugeben und solche Anfragen immer kritisch zu hinterfragen. In solchen Fällen nehmen sich die Betrüger oft viel Zeit, um Vertrauen aufzubauen. Es wird ein Gespräch geführt, in dem es anfangs vielleicht auch erst mal um ganz andere Dinge geht, bevor dann irgendwann der Betrug eingeleitet wird. Man kennt dieses Verfahren aus der „analogen nicht digitalen Vergangenheit“ zum Beispiel von Heiratsschwindlern oder auch vom Enkeltrick. Diese Methoden werden mittlerweile auch angewendet, um an Passwörter oder andere Zugangsdaten zu kommen oder eine freiwillige Zahlung an die Betrüger zu veranlassen.

Lesen Sie dazu auch: Enkeltrick per WhatsApp.

3. Account Takeover – Die Übernahme von Benutzerkonten

Beim sogenannten „Account Takeover“ nutzen Angreifer gestohlene oder schwache Zugangsdaten (schlechte Passwörter mit wenigen Stellen, keinen Zahlen und Ziffern), um sich in fremde Online-Konten einzuloggen, etwa auf sozialen Netzwerken, bei Online-Shops oder bei E-Mail-Diensten. Die Zugangsdaten stammen oft aus großen Datenlecks oder werden sogar manchmal durch Ausprobieren erraten, wenn Nutzer zu einfache Passwörter verwenden. Da auch hierbei keine Schadsoftware auf dem Gerät des Opfers installiert wird, hat auch in diesem Fall ein Virenscanner keine Chance, diesen Angriff zu bemerken. Um sich zu schützen, ist es entscheidend, starke, einzigartige Passwörter für jeden Online-Dienst zu verwenden oder nach Möglichkeit die Zwei-Faktor-Authentifizierung einzurichten, sofern sie angeboten wird. Ein gutes Passwort besteht aus 12 Zeichen, besitzt große Buchstaben, kleine Buchstaben, Ziffern und Sonderzeichen. Und jedes Passwort darf nur für einen Zweck verwendet werden, also nicht an mehreren Stellen/Internetseiten genutzt werden. Passwortmanager können dabei helfen, die vielen komplizierten Passwörter zu verwalten.

Schauen Sie sich dazu auch unseren Passwort-Kurs an.

Quelle: levato.de/wo-der-virenscanner-machtlos-ist/