Die Gefahren des Phishing scheinen größer zu sein, als man als geübter Onliner glauben mag: Laut dem Bitkom stieg die Zahl der Internet-Nutzer, deren Konten mit geklauten Passwörtern geplündert werden, im vergangenen Jahr um 23 Prozent.
Der Branchenverband hat sich bei den Landeskriminalämtern schlau gemacht und ermittelt, dass die Betrüger im vergangenen Jahr bundesweit in mehr als 3250 Fällen ca. 13 Millionen Euro von den Konten ihrer Opfer abhoben. Mit 169 Prozent verzeichnete Sachsen die höchste Steigerung.
Für das erste Halbjahr 2007 liegen ebenfalls Daten vieler Bundesländer vor – sie geben keinen Anlass zur Entwarnung: "Die Zahl der Phishing-Opfer wird auch dieses Jahr um rund ein Viertel steigen", sagte Bitkom-Vizepräsident Heinz Paul Bonn auf Basis der offiziellen Daten. Die meisten Opfer meldeten Bayern, Baden-Württemberg und Berlin.
Der durchschnittliche Schaden liege bei 4000 Euro. Auch hier zeichne sich eine Steigerung ab. Im ersten Halbjahr 2007 sei der Wert auf 4700 Euro pro Fall geklettert. Zwar gelinge es in einigen Fällen, betrügerische Überweisungen zu stoppen, doch die Handhabe der Polizei sei unzureichend, so der Bitkom. "Wir brauchen dringend ein belastbares Gesetz gegen Phishing", sagte Bonn. Bisher sei der Kontodaten-Klau nicht eindeutig verboten – die Polizei könne oft nur aktiv werden, wenn ein Schaden vorliegt. "Schon der Versuch muss hart bestraft werden", forderte der Sprecher.
Die Zahl der Betrugsversuche nehmen auch international zu: Die Anti-Phishing-Arbeitsgruppe APWG registrierte in ihrer jüngsten Statistik monatlich über 23.000 Attacken. Die Betrüger unterhielten weltweit mehr als 37.000 gefälschte Bank-Webseiten. Die meisten davon stammen aus den USA.
Ein Grund für die steigende Zahl der Phishing-Opfer seien raffiniertere Betrugsmethoden. Experten zufolge entstehen nur noch rund 10 Prozent der Schäden durch E-Mail-Links zu gefälschten Bankseiten, auf denen die Opfer eigenhändig ihre Kontodaten eingeben. In den meisten Fällen schickten Kriminelle per Mail einen Trojaner. Andere Schadprogramme leiten die Nutzer beim Online-Banking im Hintergrund auf gefälschte Seiten weiter.
Aber nicht nur die Betrüger, auch die Banken haben mittlerweile aufgerüstet: Transaktionsnummern (TANs) sind oft nicht mehr beliebig einsetzbar, sondern an weitere Sicherheitshürden gekoppelt. Manche Kreditinstitute erhöhen die Sicherheit mit Kartenlesegeräten. Zudem erstatten viele Banken einen Phishing-Schaden, wenn der Nutzer nicht grob fahrlässig gehandelt hat. Einen Rechtsanspruch haben die Kunden in der Regel jedoch nicht.