144 48 19MB
German Pages 256 Year 2019
Cybercrime Wie Sie Gefahren im Internet erkennen und sich schützen
Jürgen Schuh
Jürgen Schuh Lektorat: Alexandra Follenius Korrektorat: Sibylle Feldmann, www.richtiger-text.de Satz: Ulrich Borstelmann, www.borstelmann.de Herstellung: Stefanie Weidner Umschlaggestaltung: Michael Oréal, www.oreal.de Druck und Bindung: mediaprint solutions GmbH, 33100 Paderborn Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar. ISBN: Print 978-3-96009-109-7 PDF 978-3-96010-303-5 ePub 978-3-96010-304-2 mobi 978-3-96010-305-9 Dieses Buch erscheint in Kooperation mit O’Reilly Media, Inc. unter dem Imprint »O’REILLY«. O’REILLY ist ein Markenzeichen und eine eingetragene Marke von O’Reilly Media, Inc. und wird mit Einwilligung des Eigentümers verwendet. 1. Auflage Copyright © 2020 dpunkt.verlag GmbH Wieblinger Weg 17, 69123 Heidelberg Hinweis: Dieses Buch wurde auf PEFC-zertifiziertem Papier aus nachhaltiger Waldwirtschaft gedruckt. Der Umwelt zuliebe verzichten wir zusätzlich auf die Einschweißfolie.
Das Papier für dieses Buch stammt aus nachhaltig bewirtschafteten Wäldern und kontrollierten Quellen. www.pefc.de
Schreiben Sie uns: Falls Sie Anregungen, Wünsche und Kommentare haben, lassen Sie es uns wissen: [email protected]. Die vorliegende Publikation ist urheberrechtlich geschützt. Alle Rechte vorbehalten. Die Verwendung der Texte und Abbildungen, auch auszugsweise, ist ohne die schriftliche Zustimmung des Verlags urheberrechtswidrig und daher strafbar. Dies gilt insbesondere für die Vervielfältigung, Übersetzung oder die Verwendung in elektronischen Systemen. Es wird darauf hingewiesen, dass die im Buch verwendeten Soft- und Hardware-Bezeichnungen sowie Markennamen und Produktbezeichnungen der jeweiligen Firmen im Allgemeinen warenzeichen-, marken- oder patentrechtlichem Schutz unterliegen. Alle Angaben und Programme in diesem Buch wurden mit größter Sorgfalt kontrolliert. Weder Autor noch Verlag können jedoch für Schäden haftbar gemacht werden, die in Zusammenhang mit der Verwendung dieses Buches stehen. 543210
Inhaltsverzeichnis 7
Vorwort
9
1. Einleitung: von der Haustür ins Internet Was ist das Internet genau? Dienste im Internet Die Risiken der Internetnutzung Nutzung dieses Buchs Der Bestellbutton: Rechtsgrundlage Der Bestellbutton: die Pflichtinformationen Der Bestellbutton: Folgen bei Nichteinhaltung und EU-Recht Onlinekauf versus Kauf im Geschäft Onlinebezahlmethoden 1 Onlinebezahlmethoden 2 Onlinebezahlmethoden 3 Test- und Vergleichsportale: Fakten oder Fake Test- und Vergleichsportale: kritisch unter der Lupe
11 13 15 17 19 21 23 25 27 29 31 33 35 37
2. Die seriöse Website – der Schnellcheck
39 Aufbau einer Internetseite 41 Merkmale einer seriösen Internetseite 43 Check 1: Hat die Website große sprachliche Mängel? 45 Check 2: Enthält die Website viel Werbung oder viele Pop-ups? 47 Check 3: Ist ein Impressum vorhanden und ist es vollständig? 49 Check 4: Sind Internetgütesiegel vorhanden? 51 Check 5: Gibt es eine HTTPSVerbindung? 53 Check 6: Wie ist die telefonische Erreichbarkeit? 55 Check 7: Welche Bezahlmöglichkeiten werden angeboten? 57 Check 8: Gibt es AGB, Datenschutzerklärung und Widerrufsbelehrung? 59 Check 9: Gibt es Erfahrungen von anderen Nutzern dieser Website? 61
3
Über den Autor
3. Typische Betrugsmethoden unter der Lupe
63
4
Fake-Shops – verlockende Markenschnäppchen 65 Unseriöse Routenplaner und Jahresabos 67 Unseriöse Filmstreaming-Portale 1 69 Unseriöse Filmstreaming-Portale 2 71 Betrugsmethode mit inserierten Mietwohnungen: der Ablauf 73 Betrugsmethode mit inserierten Mietwohnungen: Vorsichtsmaßnahmen 75 Für USA-Reisende: der teure Einreiseantrag 77 Wohnmobile zu Schnäppchenpreisen 1 79 Wohnmobile zu Schnäppchenpreisen 2 81 Die wenigsten sind Betrüger 83
4. Gefahren bei der Smartphoneund Festnetznutzung 85
Bezahlen über die Handyrechnung: Direct-Carrier- und WAP-Billing 87 Abofalle Werbebanner: Verbindung über mobile Daten 89 Die Werbebannerfalle schnappt zu 91 Hier kommt WAP-Billing ins Spiel 93 Wer sind die Akteure, und was ist passiert? 95 Jetzt geht’s ans Geld 97
Abofalle Werbebanner: Verbindung über WLAN 99 Abofallen nicht nur in Werbebannern 101 Die Abofalle ist zugeschnappt – was tun? 103 Die Drittanbietersperre 105 Freiwilliges Redirect der Mobilfunkanbieter 107 Zusammengefasst: Kostenfalle Werbebanner 109 Premium-Dienste und Premium-SMS 111 Teure Anrufe auf Festnetz und Smartphone 113 PING-Anrufe und Telefonate mit Bandansage 115 Call-ID-Spoofing – der Trick mit der gefakten Nummer 117 Werbung und Vertragsabschlüsse am Telefon 119 Verhaltenstipps zu telefonischen Verträgen 121
5. Unerwünschte E-Mails
Nerviger Spam und gefährliche Phishing-E-Mails Phishing-E-Mails mit Anhang Merkmale einer Phishing-E-Mail Jetzt bekomme ich Angst
123 125 127 129 133
6. Bedeutung und Schutz von persönlichen Daten
139 Der Wert unserer Daten 141 Soziale Netzwerke – mit Ihren Daten wird Geld verdient 143 Facebook als Jäger und Sammler 145 Das persönliche Nutzerprofil wächst und wächst 147 Aber ich habe doch nichts zu verbergen 149 Datensparsamkeit 151 Datenvermeidung 153
7. Den PC sicher einrichten
155 Schutz unter Windows 10 157 Antivirenprogramme 1 159 Antivirenprogramme 2 161 Die Firewall 163 Weitere Sicherheitsmechanismen unter Windows 10 Home 165 Benutzerkonten unter Windows 167 Browsereinstellungen 169 Einstellungen bei Microsoft Edge 171 Weitere gängige Webbrowser unter Windows 173 Der Internetrouter: sicherheitsrelevante Einstellungen 175
8. Smartphone und Tablet sicher einrichten
177 SIM-Karten-PIN und Gerätesperre 179 App-Installation: App Store und Play Store 181 Apps: Zugriffsberechtigungen hinterfragen 183 Apps: Zugriffsberechtigungen einschränken 185 App-Sperre auf dem Gerät 187 Öffentliche unverschlüsselte WLANHotspots 189 Fremde unverschlüsselte WLANHotspots 191 Regeln für unverschlüsselte öffentliche oder fremde WLANs 193 Schutz Ihrer Daten, wie Fotos und Videos 195 Orten und Sperren eines abhandengekommenen Geräts 197 Antivirenprogramme und Android 199 Die Firewall unter Android 201 Antivirenprogramm und Firewall auf dem iPhone 203
9. Sichere Passwörter erstellen
205 Das sichere Passwort – Grundregeln 207 Passwörter für E-Mail und SocialMedia-Plattformen 209
5
CEO Fraud, Fake President, Fake Chef 135 Auch Vereine bleiben nicht verschont 137
Die Merksatzmethode für Passwörter Die Passwortkarte Der Passwort-Manager Der Passwort-Schlüssel-Automat Die Zwei-Faktor-Authentisierung
10. Erste Hilfe – was tun, wenn es doch passiert ist?
211 213 215 217 219
6
221 Nicht reinfallen! 223 Wie merke ich, ob mein Computer infiziert ist? 225 Malware-Anzeichen am Rechner 227 Malware-Anzeichen bei der Internetnutzung 229 Einen Virenscan durchführen 231 Der Offline-Virenscan 233
Wiederherstellung – Vorsorgen ist die halbe Miete 235 Malware-Anzeichen auf AndroidSmartphones und -Tablets 237 Weitere Maßnahmen am AndroidGerät 239 Wird meine E-Mail-Adresse missbräuchlich verwendet? 241 Identitätsmissbrauch – wenn es ganz hart kommt 243 Identitätsmissbrauch – was tun? 247 Soll ich auf Forderungen reagieren? 249 Weiterführende Informationen 251
Index
253
Über den Autor
Diesen Menschen ist es zu verdanken, dass in mir der Gedanke gereift war, ein Buch zur Thematik zu schreiben. Nicht zu wissenschaftlich oder technisch sollte es sein, dafür leicht verständlich und nachvollziehbar, aber dennoch mit hohem Informationsgehalt. Dieses Buch liegt nun vor Ihnen. Die Schnelllebigkeit der Thematik holt natürlich auch mich ein. So ist es wahrscheinlich, dass der eine oder andere Hinweis oder Tipp nicht mehr ganz aktuell ist, wenn Sie das Buch in Händen halten, und dass Internetseiten, die beim Schreiben dieses Buchs noch aufgerufen werden konnten, schon nicht mehr online sind. Bereits hier ein Tipp: Auf der Seite www.archive.org gibt es eine sogenannte Wayback Machine. Hier können Sie nach Eingabe einer entsprechenden Internetadresse Seiten anschauen, wie sie früher ausgesehen haben – oder aber auch Seiten aufrufen, die nicht mehr online sind, es aber früher einmal waren. Probieren Sie es aus, zum Beispiel mit der Seite www.airberlin.com. Gerne nehme ich Ihre Kritik, sei sie positiv oder negativ, zu diesem Buch entgegen. Auch über Anregungen für eine nächste Auflage oder sogar Stoff für ein weiteres Buch bin ich Ihnen sehr dankbar. Schreiben Sie mir einfach eine E-Mail an [email protected].
7
Im Rahmen meiner Vortrags- und Seminartätigkeit als Medienreferent in der Kinder-, Jugend- und Erwachsenenbildung komme ich sehr viel mit Menschen zusammen, die sich für das Thema »Cybercrime – Abzocke und Kostenfallen im Internet und wie man sich dagegen schützt« interessieren und sich näher darüber informieren wollen. Hier werde ich immer wieder mit der Frage konfrontiert: »Wo kann man das alles nachlesen, was Sie da so erzählen?« Meine lapidare und natürlich auch für beide Seiten unbefriedigende Antwort lautet stets: »Im Internet.«
Danken möchte ich Herrn Rechtsanwalt Guido Steinke für seine sofortige Bereitwilligkeit, das Buch »mit dem Auge des Juristen« zu lesen und entsprechend zu korrigieren, sowie Alexandra Follenius, Lektorin für O‘Reilly, für die unkomplizierte und reibungslose Zusammenarbeit. Und natürlich all denjenigen Menschen, die mir den Anreiz zum Schreiben dieses Buchs gegeben haben. Jürgen Schuh, Dipl.-Verw.-Wirt (FHPol), IT-Forensiker und Internet Medien Coach®
Papier PDF.
Zu diesem Buch – sowie zu vielen weiteren O’Reilly-Büchern – können Sie auch das entsprechende E-Book im PDF-Format herunterladen. Werden Sie dazu einfach Mitglied bei oreilly.plus+: www.oreilly.plus
Vorwort Liebe Leserinnen, liebe Leser!
Jürgen Schuh hat sich seit Jahren der Aufklärungsarbeit im Bereich Cybercrime verschrieben. Er ist ein hervorragender Dozent und Experte. Ich kenne ihn von Vorträgen für die VERBRAUCHER INITIA TIVE. Er hat in den Konferenzen »Verbraucher 60+ Ihr gutes Recht: So schützen Sie sich vor ›Abzocke‹ im Alltag« Hunderte von älteren Menschen auf anschauliche und leicht begreifbare Art über die Fallen und Maschen der Internetganoven aufgeklärt. Als moderner Eduard Zimmermann ist er einer der am meisten gefragten Experten bei den »Digitalen Stammtischen« des Digital-Kompasses, eines bundesweiten Projekts des Bundesverbraucherministeriums (www.digital-kompass.de). Ein Buch, das seine Erfahrungen und Kompetenzen zusammenbringt, fehlte bislang noch. Jetzt nicht mehr … Er weiß, wovon er schreibt, und das auf leicht bekömmliche und verständliche Weise. Ich wünsche Ihnen eine spannende und erhellende Lektüre. Guido Steinke Verbraucheranwalt, Fachreferent 60plus bei VERBRAUCHER INITIATIVE e. V. und Projektkoordinator der Digitalen Stammtische beim Digital-Kompass des Bundesverbraucherministeriums
9
»Im Internet hilft nur: Vorbeugen.« Diese weisen Worte eines Präventionsbeauftragten des Landeskriminalamts in Hamburg gebe ich gern weiter. Wer möchte oder wer kann schon seinen Daten oder seinem Geld hinterherlaufen, wenn die Kriminellen damit bereits über alle Berge sind? Genauer gesagt, in China, Russland oder den USA? Das Internet kennt keine Grenzen. Früher mussten die Einbrecher noch selbst das Wohngebiet auskundschaften, die Fenster- und Türverriegelungen begutachten und dann persönlich ins Haus einsteigen – heute kommen sie ganz bequem über das Internet. Das geht auch vom Strand in Hawaii aus – mit einem Cocktail in der Hand.
Kapitel 1 Einleitung: von der Haustür ins Internet
Hierbei muss man sich eines vor Augen führen: Im letzten Moderationsjahr Zimmermanns (1997) benutzten gerade mal um die 4 Millionen Menschen der deutschen Gesamtbevölkerung das Internet. Diese Zahl ist im Jahr 2018 auf über 63 Millionen User angestiegen. Kein Wunder also, dass Kriminelle genau diesem Weg folgen: Das Feld der Betrügereien und Abzockmaschen hat sich großflächig weg von der Straße hin ins Internet verlagert. Und genau hier setzt dieses Buch an: Ihnen als Internet- und Smartphone-Benutzer wertvolle Tipps und Tricks an die Hand zu geben, um die Finessen der Kriminellen, die sich im Internet tummeln, zu erkennen. Denn nicht umsonst gilt der ca. 40 Jahre alte Werbespruch noch heute: »Gefahr erkannt, Gefahr gebannt.« Zu kurz kommen sollen aber auch nicht die Anleitungen und Kniffe, mit denen Sie Computer, Smartphone & Co. sicherer machen können. Dieses erste Kapitel soll Sie zunächst ganz knapp über einige Grundlagen des Internets informieren. Es folgen drei zentrale Themen, über die Sie Bescheid wissen sollten, wenn Sie im Internet Waren oder Dienstleistungen kaufen und bezahlen: Wie muss ein Button aussehen, mit dem man einen rechtssicheren Kauf abschließt? Welche rechtlichen Unterschiede gibt es beim Onlinekauf im Vergleich zum Kauf im Geschäft? Und welche Onlinebezahlmethoden bieten einen guten Schutz gegen Betrugsversuche?
11
»Vorsicht, Falle – Nepper, Schlepper, Bauernfänger«, so lautete der Titel der erfolgreichen Fernsehserie, die das ZDF in den Jahren 1964 bis 2001 erst mit Eduard Zimmermann als Moderator, ab 1997 mit dessen Tochter Sabine Zimmermann, ausstrahlte. Die Sendung hatte ein Ziel: die Zuschauer über Betrügereien im Alltag und an der Haustür zu informieren, aufzuklären und sie davor zu warnen. Kleine Filmsequenzen, die die Tricks und Maschen der Kriminellen aufzeigten, wurden abgespielt. Die enge Zusammenarbeit mit der Kriminalpolizei machte es möglich, dass in der Sendung aktuelle Betrugsfälle und Betrugsmaschen behandelt wurden. Die Zuschauer erhielten darüber hinaus wertvolle Tipps, wie man Betrügereien erkennen konnte, um sich dagegen zu schützen.
12 Weltumspannendes Internet
Was ist das Internet genau? Im Rahmen meiner Kurse und Vorträge frage ich oftmals die Zuhörer: »Was ist eigentlich das Internet genau?« Die Hauptantworten sind: »Im Internet kann ich nach was suchen« oder auch »Googeln ist Internet«. Aber ist das so überhaupt richtig? Hier ein kurzer Abriss dessen, was das Internet eigentlich ist und aus was es besteht:
Stellen Sie sich ein weltumspannendes engmaschiges Fischernetz vor, das aus unzähligen Knoten besteht. Diese Knoten stehen weltweit für alle Computer und sonstigen technischen Geräte, die über Kabel oder Funk miteinander verbunden sind und untereinander Daten austauschen können. Dieser Datenaustausch wiederum erfolgt über verschiedene Wege, Dienste genannt. Und um diese Dienste zu nutzen, benötigt man wiederum bestimmte Hilfsmittel. Und damit sich die verschiedenen Dienste und Geräte untereinander verstehen, quasi eine Sprache sprechen, gibt es das TCP/IP-Netzwerkprotokoll.
13
Das Internet ist ein weltumfassendes, ungleichmäßig aufgebautes (heterogenes) Computernetzwerk, das auf einem Netzwerkprotokoll (TCP/IP) basiert. Mittels des universellen TCP/IP-Protokolls ist es möglich, netzwerkfähige Geräte aller gängigen Betriebssysteme miteinander zu verbinden.
14
Dienste im Internet Dienste sind zum Beispiel:
Der Zugang zum Internet erfolgt stets über einen Anbieter, den sogenannten Provider. Er ist die Verbindung zwischen mir (oder exakter dem von mir benutzten internetfähigen Gerät) und dem Internet. Ist mein Gerät mit dem Internet verbunden, ist es, bildlich gesprochen, ebenso ein Knoten des weltumspannenden Fischernetzes. Sie sehen, das Internet stellt sich als sehr vielfältig dar. Kein Wunder also, dass immer mehr Kriminelle im Internet ihr Unwesen treiben.
15
• Das World Wide Web (WWW) zur Übertragung von Websites mittels eines Webbrowsers (Google Chrome, Mozilla Firefox, Microsoft Edge, Opera etc.) • Internettelefonie (Voice over IP) • E-Mail (z. B. über ein E-Mail-Client-Programm wie Microsoft Outlook oder Mozilla Thunderbird auf einem Microsoft-Windows-PC bzw. über Apps wie Google Mail auf Android-Smartphones) • Onlinespiele (Browsergames) • Fernsehen und Radio im Livestream • Dateiverwaltung über das Internet mittels File Transfer Protocol (FTP) • Chat (Kommunikationsdienste) wie WhatsApp oder Skype
16
Die Risiken der Internetnutzung So vielfältig das Internet ist, so vielfältig sind nahezu auch die Risiken, es zu benutzen. Kriminelle Elemente versuchen auf immer ausgeklügeltere Art und Weise, sich via Internet Zutritt zu unseren mit dem Internet verbundenen Geräten zu verschaffen, um an • unser Geld, • unsere Daten oder • unsere Identität zu gelangen bzw.
An dieser Stelle bereits ein Ratschlag: Insbesondere dann, wenn man die Gefahren, die im Internet lauern oder die nur ganz harmlos in einer E-Mail daherkommen, nicht kennt, ist man manchmal nur einen Mausklick oder Fingertipp weit von der »Katastrophe« entfernt. Denn im Internet ist es wie im richtigen Leben: Es ist eher unwahrscheinlich, dass Sie von wildfremden Menschen die tollsten Geschenke bekommen – ohne jegliche Gegenleistung. Darum sollten Sie, liebe Leserin, lieber Leser, über die Hauptgefahren Bescheid wissen, die im Internet lauern.
17
• unser Gerät für ihre eigenen Zwecke einzusetzen (fernzusteuern) oder • es mittels Schadprogrammen zu infizieren, um schädliche Aktionen auszulösen.
Die Themen dieses Buchs 1 Einleitung: von der Haustür ins Internet
11
2 Die seriöse Website – der Schnellcheck
39
3 Typische Betrugsmethoden unter der Lupe
63
4 Gefahren bei der Smartphone- und Festnetznutzung
85
18
5 Unerwünschte E-Mails
123
6 Bedeutung und Schutz von persönlichen Daten
139
7 Den PC sicher einrichten
155
8 Smartphone und Tablet sicher einrichten
177
9 Sichere Passwörter erstellen
205
10
221
Erste Hilfe – was tun, wenn es doch passiert ist?
Nutzung dieses Buchs Dieses Buch ist aus der Intention heraus entstanden, Ihnen als Nutzer des Internets, sei es via Computer, Laptop, Smartphone oder Tablet, einen Leitfaden an die Hand zu geben, der Ihnen zu erkennen hilft, auf welche Risiken, Fallstricke, Kostenfallen, Lockangebote oder Abzockmaschen Sie stoßen können oder vielleicht bereits gestoßen sind oder von denen Sie nur einen Mausklick oder Fingertipp entfernt waren. Es soll Ihnen zeigen, wie Sie diesen Gefahren wirksam und effektiv begegnen können, um weiterhin mit ungetrübter Freude das Internet zu nutzen.
Ich wurde und werde immer wieder von Zuhörern meines Vortrags »Cybercrime – Abzockfallen im Internet« darauf angesprochen, wo man das von mir Vorgetragene nochmals nachlesen könne, um nachzubereiten oder um an weitere Informationen zu gelangen. Ich muss dann auf das Internet oder auf das Broschüren- oder Faltblattangebot von Organisationen verweisen, die sich allerdings nie mit dem gesamten Themenkomplex befassen. Dieses Buch erhebt keinesfalls den Anspruch auf Vollständigkeit – und kann es auch gar nicht. Denn bereits jetzt, da Sie diese Zeilen lesen, können sich weitere, bislang unbekannte Fallen auftun. Aber in einem bin ich mir sicher: Durch Schmökern in diesem Buch lernen Sie die Tricks der Cyberkriminellen kennen und haben das Rüstzeug dazu, auch künftigen bislang noch nicht existenten Gefahren aus dem Internet zu begegnen. Nachfolgend lernen Sie die Buttonlösung als zentrale Regelung für Kaufgeschäfte im Internet kennen.
19
Keineswegs soll dieses Buch als »Schwarzbuch Internet« verstanden werden, denn das hieße ja, das Internet vollständig zu verdammen. Im Gegenteil, das Internet ist ein wertvoller, nicht mehr aus unserem Leben wegzudenkender Ort, der uns viel Freude und Nutzen bringt.
20
zahlungspflichtig bestellen
weiter
kostenpflichtig bestellen
bestellen
zahlungspflichtigen Vertrag abschließen
Bestellung abschließen
jetzt kaufen
anmelden los
kaufen Zulässige und unzulässige Benennungen von Buttons. Die bloße Benennung »kaufen« ist strittig.
Der Bestellbutton: Rechtsgrundlage
Zulässige Bezeichnungen des Buttons sind z. B.: • Kostenpflichtig bestellen • Zahlungspflichtig bestellen • Zahlungspflichtigen Vertrag schließen Unzulässige Bezeichnungen sind demnach z. B.: • Bestellen • Anmeldung • Weiter • Bestellen und Kaufen Nach Anklicken/Antippen des Buttons dürfen innerhalb dieses Bestellvorgangs keine weiteren Kosten (Verpackung, Versand, Transportversicherung …) mehr auf den Verbraucher zukommen. Eine Mehrfachverwendung des Buttons innerhalb eines Bestellvorgangs ist untersagt.
21
Die Buttonlösung wurde im Jahr 2012 vom deutschen Gesetzgeber ins Leben gerufen und ist in § 312j Bürgerliches Gesetzbuch (BGB) normiert. Sie dient der Erhöhung der Transparenz im Onlinehandel, damit Sie als Verbraucher eindeutig erkennen können, wann ein »Mausklick« oder »Fingertipp« eine finanzielle Verpflichtung bzw. einen kostenpflichtigen Vorgang auslöst. Die Buttonlösung erfasst Bestellvorgänge im Internet, also auch solche auf dem Smartphone und hier ebenfalls per App. Sie zeigt uns auf, wie im Internet ein Kaufgeschäft zwischen Firma und Privatkunde (sogenannte Business-to-Custumer- oder auch B2C-Geschäfte) abzulaufen hat. Sie gilt sowohl für den Erwerb von Dienstleistungen (z. B. Versicherungen) als auch für den Kauf von Waren und stellt in ihrer Eindeutigkeit einen Meilenstein des Verbraucherschutzes dar. Der Button muss am Ende des Bestellvorgangs platziert und eindeutig benannt sein; hierbei lässt der Gesetzgeber jedoch verschiedene Varianten zu (siehe Abbildung links).
22 Bestellbutton »Jetzt kaufen« mit den notwendigen Pflichtinformationen
Der Bestellbutton: die Pflichtinformationen In der Bestellübersicht müssen nicht nur der Bestellbutton, sondern auch die notwendigen Pflicht informationen zu finden sein. Gemäß § 312j BGB müssen diese, unmittelbar bevor der Verbraucher seine Bestellung abgibt, • klar, • verständlich und • in hervorgehobener Weise zur Verfügung gestellt werden. • Gesamtpreis (inkl. aller Steuern und Abgaben), • Versand- und Zusatzkosten (inkl. Transportversicherung), • Mindestlaufzeit (bei Abos oder Verträgen) sowie • besondere Produktmerkmale.
Tipp Bereits die Ausgestaltung des Buttons und das Vorhandensein und die Vollständigkeit der Pflichtinformationen weisen auf eine gewisse Seriosität des Internetshops hin. Mehr dazu finden Sie in Kapitel 2, Die seriöse Website – der Schnellcheck, ab Seite 39 und unter »Fake-Shops« auf Seite 65.
23
Die Pflichtinformationen beinhalten Angaben wie z. B.
24 Weiterführende Informationen zum Onlineshopping im Ausland bieten die Verbraucherzentralen hier: https://www.verbraucherzentrale.de/wissen/digitale-welt/ onlinehandel/was-muss-ich-beim-onlineshopping-im-ausland-beachten-6781
Der Bestellbutton: Folgen bei Nichteinhaltung und EU-Recht Ein Fehlen des korrekt beschrifteten Buttons bzw. der notwendigen Pflichtangaben auf der den Bestellvorgang abschließenden Bestellübersicht führt zu einem nicht zustande gekommenen Vertrag. Somit kann der Verkäufer vom Käufer das Entgelt nicht verlangen und schon gar nicht weitere rechtliche Schritte gegen diesen anstrengen. Die gesetzliche Widerrufsfrist von zwei Wochen, die dem Käufer nach Abschluss eines Onlinebestellvorgangs gesetzlich zusteht, beginnt erst gar nicht zu laufen, denn es ist ja gar kein Vertrag zustande gekommen.
Aufgrund der vom EU-Parlament im Jahr 2011 verabschiedeten EU-Verbraucherrechte-Richtlinie (Richtlinie 2011/83/EU) wurden die nationalen Gesetzgeber der EU-Mitgliedstaaten verpflichtet, unter anderem die Buttonlösung in nationales Recht umzuwandeln. Ziel ist eine europaweite Vereinheitlichung der Verbraucherrechte. Dies gibt Ihnen als Verbraucher die Sicherheit, dass Sie nicht nur bei in Deutschland ansässigen Onlineshops und Onlinedienstleistern die beschriebenen Rechte haben, sondern auch bei Bestellungen aus dem EU-Ausland.
25
Sollte der Verkäufer dem Käufer die Ware doch zusenden (oder die Dienstleistung zukommen lassen), wird dem Käufer eine unbegrenzte Rückgabemöglichkeit eingeräumt.
26 Wenn Sie sich umfassender zu Onlinekäufen informieren wollen, können Sie diese ausführliche Broschüre des Bundesministeriums der Justiz und für Verbraucherschutz hier herunterladen: https:// www.bmjv.de/SharedDocs/Publikationen/DE/Verbraucherrechte.pdf?__blob=publicationFile&v=15
Onlinekauf versus Kauf im Geschäft • Entspricht die Ware nicht Ihren Vorstellungen, haben Sie die Ware irgendwo günstiger gesehen, hat die Ware (bei Bekleidungsstücken) die falsche Größe oder liegen sonstige Gründe vor, warum Sie sich gegen die Ware entscheiden, dürfen Sie diese nach ausdrücklicher Erklärung des Widerrufes gegenüber dem Verkäufer zurücksenden. Dieses Widerrufsrecht steht Ihnen innerhalb einer Frist von 14 Tagen nach Erhalt der Ware zu. • Der Onlineshop muss Sie auf Ihr 14-tägiges Widerrufsrecht aufmerksam gemacht haben. Sollten Sie hierüber nicht informiert worden sein, haben Sie zwölf Monate und 14 Tage nach Erhalt der Ware Zeit, den Kauf rückgängig zu machen. • Inwieweit Sie die Rücksendekosten zu tragen haben bzw. in welcher Gestalt der Widerruf beim Onlinehändler angebracht werden muss, entnehmen Sie der Widerrufsbelehrung des Händlers; § 356 Bürgerliches Gesetzbuch (BGB) regelt das Widerrufsrecht bei außerhalb von Geschäftsräumen geschlossenen Verträgen und Fernabsatzverträgen. • Außer bei sogenannten Privatverkäufen (z. B. bei Kauf von Gebrauchtwaren auf eBay von einem Privatmann) und unter anderen bestimmten Voraussetzungen (Sie haben in einem Onlineshop z. B. ein auf Ihre Körpermaße und Wünsche speziell geschneidertes Kleid gekauft) steht Ihnen das Widerrufsrecht zu. • Haben Sie als Verbraucher in einem stationären Geschäft einen Einkauf getätigt, steht Ihnen, entgegen der landläufigen Meinung, kein Widerrufsrecht zu. Die Rücknahme seitens des Geschäfts erfolgt lediglich aus Kulanz. Sie haben darauf keinen Rechtsanspruch. • Beim Vorliegen mangelhafter Ware oder Sachmängeln gelten beim Onlinekauf sowie beim Kauf im Geschäft die gleichen Regeln. Der Privatverkäufer wiederum kann Gewährleistungsrechte und Rücknahme ausschließen.
27
Haben Sie als Verbraucher in einem Onlineshop einen Kauf getätigt, stehen Ihnen – anders als beim Kauf in einem stationären Laden – folgende Rechte zu:
Grundsatz: Erst die Ware, dann das Geld Lastschrift Rechnung Zahlungsdienstleister, z.B. PayPal, Amazon Pay, paydirekt Kreditkarte 28
Überweisung giropay, Vorkasse Geldtransferdienste, z.B. Western Union paysafecard und Gutscheincodes Diese Grafik zeigt, welche Zahlungsmethoden bei Onlinebestellungen sicherer sind als andere. Bevorzugen Sie die Zahlungsmethoden im oberen Bereich, sie sind mit einem geringeren Risiko verbunden.
Onlinebezahlmethoden 1
Nach dem Grundsatz »Erst die Ware, dann das Geld« sind die sichersten Zahlungsmethoden im Onlinehandel die Lastschrift (Bankeinzug) und das Bezahlen auf Rechnung. Hier haben Sie als Kunde die volle Kontrolle: Die Rechnung wird erst, wenn die Ware eingetroffen und auch in Ordnung ist, beglichen. Sollte das Geld mittlerweile aufgrund der von Ihnen erteilten Einzugsermächtigung vom Onlinehändler abgebucht worden sein (Bankeinzug), haben Sie binnen acht Wochen die Möglichkeit, das Geld über Ihre Bank wieder zurückzuholen. Bei diesen beiden Methoden trägt der Händler das volle Risiko. Begleichen Sie den fälligen Betrag im Zuge der Bestellung per Überweisung oder Vorkasse bzw. bezahlen Sie sogleich mit der Kreditkarte, dreht sich der genannte Grundsatz um. Das Geld ist weg, und Sie müssen darauf vertrauen, dass Sie die Ware erhalten und dass diese auch in Ordnung ist. Im Streitfall laufen Sie möglicherweise Ihrem Geld hinterher. Bei einer unrechtmäßigen Abbuchung oder bei ausbleibender Lieferung bieten die Kreditkartenunternehmen allerdings einen Schutz an, Charge Back genannt. Wird giropay (https://www.giropay.de/kaeufer/) als Bezahlmethode angeboten, muss auch Ihre Hausbank das anbieten. Sie werden nach dem Auswählen von giropay als Bezahlmethode und Eingabe der BIC Ihrer Bank zu dieser weitergeleitet. Hier loggen Sie sich wie gewohnt in Ihrem Onlinekonto ein und finden sofort eine vorausgefüllte Überweisung vor. Somit müssen Sie nicht umständlich Felder ausfüllen. Nach Eingabe einer TAN erfolgt die Überweisung. Der Händler wird sofort über den Zahlungseingang informiert. Der Nachteil hier ist aber ebenfalls, dass das Geld weg und die Ware noch nicht da ist.
29
Zu Beginn eines Bestellvorgangs müssen Sie auf der Website des Anbieters darüber informiert werden, welche Bezahlmethoden angeboten werden. Hieraus dürfen Sie auswählen. Einen Anspruch auf eine bestimmte, etwaig nicht vorhandene Zahlungsmethode gibt es allerdings nicht. Es stellt sich die Frage: »Welche Bezahlmethode wähle ich? Welche Vor- und Nachteile bieten sich mir?« Auf dieser und auf den nächsten Seiten erhalten Sie einen kleinen Überblick. Die Abbildung links verdeutlicht, welche Zahlungsmethoden zu bevorzugen sind, wenn Sie das Risiko bei Onlinekäufen minimieren wollen.
30 Auszug aus der PayPal-Käuferschutzrichtlinie auf https://www.paypal.com/de/webapps/mpp/ua/buyerprotection-full
Onlinebezahlmethoden 2
Ähnlich wie PayPal funktioniert Amazon Pay, Voraussetzung ist ein Amazon-Konto. Ihre Bankdaten verbleiben bei Amazon Pay, der Verkäufer erhält sein Geld von Amazon. Es wird auch ein Käuferschutz angeboten. Näheres finden Sie unter https://www.amazon.de/gp/help/customer/display. html?nodeId=201895570. Bietet der Onlinehändler paydirekt (https://www.paydirekt.de/) als Bezahlmethode an und haben Sie sich in Ihrem Onlinebanking für diese Bezahlmethode registriert, funktioniert das Ganze ähnlich wie bei PayPal. Der Händler bekommt nicht Ihre Bankdaten übermittelt, sondern eine Mitteilung, dass Sie bezahlt haben. Er kann die Ware sofort losschicken. paydirekt ist ein Onlinebezahlverfahren deutscher Banken und Sparkassen, die Server mit den Kundendaten befinden sich in Deutschland. Darüber hinaus bietet es einen Käuferschutz. Von der Bezahlung mittels paysafecard und Gutscheincodes rate ich eher ab. paysafe-Karten und Gutscheincodes (Wertgutscheine von z. B. Amazon, iTunes, Google) können bei vielen Drogeriemarktketten, Discountern, Tankstellen etc. in Höhe eines bestimmten Betrags (z. B. 25 Euro, 50 Euro) erworben werden. Dann muss der Gutschein- oder Wertcode freigerubbelt und beim Bezahlvorgang in das entsprechende Feld eingegeben werden. Hier leisten Sie anonym Vorkasse.
31
Ist ein Internetbezahlsystem eines Zahlungsdienstleisters wie PayPal (https://www.paypal. com/de/home/) zwischengeschaltet, wird der Verkäufer sofort darüber informiert, dass Sie bezahlt haben, und kann die Ware losschicken. Kommt es zu Streitigkeiten, bietet Ihnen PayPal einen Käuferschutz an. Der Händler erhält Ihre Bankverbindungs- oder Kreditkartendaten nicht. Zur Nutzung von PayPal benötigen Sie einen Account, was von Nachteil sein kann: PayPal ist immer wieder das Angriffsziel von Kriminellen. Hacker versuchen fortwährend, die Server von PayPal zu knacken, um so an die Kundendaten zu gelangen. Zudem stehen die Server des amerikanischen Unternehmens PayPal nicht nur in den USA, sondern sind weltweit verteilt. Sie als Kunde müssen darauf vertrauen, dass ausreichend Datenschutzvorkehrungen getroffen werden. Sind Ihre PayPal-Zugangsdaten einmal in fremden Händen, ist der missbräuchlichen Verwendung Tür und Tor geöffnet.
32 Hier finden Sie weitere Informationen zum Bezahlen im Internet von Heise Medien: https://www.heise.de/tipps-tricks/Sicher-bezahlen-im-Internet-das-sollten-Siebeachten-3927132.html
Onlinebezahlmethoden 3
Entscheiden Sie sich am Ende eines Bestellvorganges für die SOFORT-Überweisung, so werden Sie auf eine Seite des Zahlungsdienstleisters weitergeleitet, wo Artikel, Preis etc. bereits eingetragen sind. Soweit, so gut – eine gegenüber dem Webshop sichere Bezahlmethode. Aber: Da man sich bei SOFORT nicht registrieren muss, ist es notwendig, die eigene Bank-PIN und das Bank-Passwort für diesen Zahlvorgang zu hinterlassen. Sie geben somit höchst sensible Daten aus der Hand. Mit Herausgabe dieser persönlichen Bankdaten wird SOFORT also die theoretische Möglichkeit eröffnet, Ihre Bonität zu überprüfen sowie Daten über Ihre Kontenbewegungen abzurufen und abzuspeichern – eine unangenehme Vorstellung. Geldtransferdienste wie z. B. Western Union (WU) ermöglichen es, gegen eine Gebühr Geld um den ganzen Globus zu schicken. Das Geld kann über verschiedene Kanäle (bei WU: Bareinzahlung bei einer Niederlassung, über die Webseite, per App oder per Telefon) in nahezu alle Länder der Erde transferiert werden. WU bietet eine sehr hohe Anzahl von Niederlassungen, die Transferzeit ist gering. Eklatanter Nachteil: Wenn das Geld einmal überwiesen ist, ist es weg. Kommt es zum »Schadensfall«, so gestaltet es sich äußerst schwierig, wenn nicht gar unmöglich, das Geld zurückzubekommen. Vom Geldtransferdienst ist hier wenig bis keine Unterstützung zu erwarten – Sie müssen selbst den Empfänger ausfindig machen und zur Rückzahlung bewegen, ein in manchen Ländern aussichtsloses Unterfangen.
33
Die SOFORT-Überweisung ist eine von vielen Webshops angebotene Zahlweise. Sobald Sie über SOFORT bezahlt haben, wird der Webshop in Echtzeit über den Zahlungseingang informiert, sodass er die Ware zeitnah versenden kann. Der Webshop erhält Ihre Bankdaten nicht. Es gilt die Käuferschutzrichtlinie der Klarna (https://www.klarna.com/de/kauferschutzrichtlinie/, SOFORT gehört seit 2014 zur schwedischen Klarna-Gruppe). Bei SOFORT muss man sich nicht registrieren und auch nicht dauerhaft seine Bankdaten hinterlegen.
34 Die Stiftung Warentest hat sich auch mit dem Thema Onlinetests befasst, den Link zum Artikel finden Sie rechts.
Test- und Vergleichsportale: Fakten oder Fake
Auf der anderen Seite gibt es aber auch die nicht seriös Handelnden: Das Bundeskartellamt hat in einer 2019 veröffentlichten Untersuchung insgesamt 36 Vergleichsportale verschiedener Branchen (Finanzen, Telekommunikation, Versicherungen, Energieversorgung, Reisen) unter die Lupe genommen. Das Ergebnis ist zum Teil erschreckend. Kartellamtspräsident Andreas Mundt äußerte sich im Rahmen der Vorstellung der Ergebnisse wie folgt: »Wir haben aber auch verbraucherunfreundliche Tricks mancher Portale aufgezeigt.« Einige Verhaltensweisen der Vergleichsportale entsprächen »nicht dem Idealbild einer neutralen Plattform«, so Mundt. Das Ergebnis dieser Untersuchung findet sich in der Schriftenreihe des Bundeskartellamts unter https://www.bundeskartellamt.de/SharedDocs/ Meldung/DE/AktuelleMeldungen/2019/04_02_2019_Schriftenreihe_Digitales_V.html. Lernen Sie auch hier, die Spreu vom Weizen zu trennen, um sich ein möglichst objektives Bild über das von Ihnen Gesuchte machen zu können. Dazu erhalten Sie auf Seite 37 einige Tipps. Ein lesenswerter Beitrag über Fake-Testportale ist auf der Seite der Stiftung Warentest unter https://www.test.de/Testportale-Gefaelschte-Testergebnisse-und-Tests-die-es-nie-gab-5433119-0/ zu finden.
35
Im Internet finden sich immer mehr Test- und Vergleichsportale. Einerseits sind es diejenigen, die nach den Regeln der guten fachlichen Praxis des Testens arbeiten und ihre Ergebnisse veröffentlichen (siehe die Pressemitteilung des Bundesministeriums der Justiz und für Verbraucherschutz unter https://www.bmjv.de/SharedDocs/Pressemitteilungen/DE/2014/12012014_Standards_Produkttests.html).
36 Mehr Informationen zu Onlinebewertungen sind hier zu finden: https://www.verbraucherzentrale.de/wissen/vertraege-reklamation/ kundenrechte/was-ist-von-onlinebewertungen-zu-halten-13724
Test- und Vergleichsportale: kritisch unter der Lupe
• Wie kommen die Tests zustande, und wer testet bzw. vergleicht? Sind die Testmethoden und -kriterien offengelegt? • Gibt es Anzeichen dafür, dass es sich bei dem Internetauftritt des Portals um eine unseriöse Seite handelt? Siehe Kapitel 2, Die seriöse Website – der Schnellcheck, ab Seite 39. • Wurden ähnliche oder gar gleiche Testergebnisse bereits auf anderen Seiten im Internet veröffentlicht? Eine kurze Internetrecherche mit Eingabe entsprechender Schlagwörter fördert dieses leicht zutage. • Gibt es Erfahrungen anderer Nutzer zu speziell diesem Testportal oder den Testern, die darin auftreten? • Ist der Internetauftritt des Testportals von Werbung durchsetzt, bzw. können Sie die getesteten oder verglichenen Produkte anklicken und werden sofort auf einen Onlineshop weitergeleitet? Leider ist es so: Die allermeisten Test- und Vergleichsportale sind genau das Gegenteil von dem, was man von ihnen erwartet. Nicht objektiv, nicht neutral und nicht seriös – sondern schlicht und ergreifend werbe- und provisionsfinanziert. Vertrauen Sie einem solchen Portal blind, könnte es sein, dass Sie schnell von dem Produkt, das Sie aufgrund eines guten Testergebnisses erstanden haben, enttäuscht sind und sich vielleicht sogar betrogen fühlen. Meiner Erfahrung nach sind die im Internet veröffentlichten Test- und Vergleichsergebnisse von Fachzeitschriften und Fachmagazinen am seriösesten und natürlich auch die veröffentlichten Ergebnisse unabhängiger Experten. Doch Letztere wird man nicht in der Breite finden, es gibt sie eher zu sehr speziellen Produkten, Dienstleistungen oder Themen.
37
Test- und Vergleichsportale sind dafür da, objektive und neutrale Ergebnisse zu präsentieren, die nach den Regeln der guten fachlichen Praxis des Testens zustande gekommen sind. Sie als Nutzer sollten sich in Bezug auf diese Portale folgende Fragen stellen:
Kapitel 2 Die seriöse Website – der Schnellcheck Um Gefahren und Risiken, die Ihnen im Internet begegnen, zu erkennen, erfahren Sie in diesem Kapitel, wie Sie Websites mithilfe eines Schnellchecks auf Herz und Nieren prüfen. Beispielhaft nehme ich an, Sie gehen mithilfe eines Internetbrowsers (wie Google Chrome, Mozilla Firefox, Microsoft Edge, Microsoft Internet Explorer, Opera, Safari oder Cliqz) mit Ihrem PC, Laptop, Smartphone oder Tablet ins World Wide Web (WWW).
Damit Sie seriöse von unseriösen Internetseiten unterscheiden lernen, zeige ich Ihnen auf der nächsten Seite zunächst den typischen Aufbau einer Internetseite. Der Schnellcheck macht dann deutlich, anhand welcher Merkmale Sie eine seriöse Seite erkennen. Dies ist möglicherweise bereits an der Aufmachung oder am Text zu erkennen, sicher jedoch an gesetzlich vorgeschriebenen Pflichtangaben wie dem Impressum und eventuell auch an vorhandenen Gütesiegeln.
39
Ganz klassisch also: Computer hochfahren, Browser starten und in das World Wide Web als einen der Dienste des Internets eintauchen.
40 Schematischer Aufbau einer Internetseite
Aufbau einer Internetseite
• Im Header ist der Name der Website zu finden, oftmals auch ein zugehöriges Logo (zumeist dann, wenn es sich um eine Firmenseite handelt). Ebenso finden Sie hier Grafiken, Kurzbeschreibungen und Verknüpfungen (Links) zum Log-in und zum Warenkorb oder auch ein Suchfeld. • Der Body bildet den Hauptbereich. Hier finden sich die Hauptinformationen, die die Website anbietet. Die Ausgestaltung des Bodys kann von Website zu Website unterschiedlich sein – verschiedene Gestaltungselemente stehen hier zur Verfügung. • Im Footer befinden sich oftmals das Impressum, Datenschutzhinweise, Newsletter-Bestellungen und Links zu sozialen Netzwerken. • Vorhandene Navigationsleisten beinhalten beispielsweise das Menü, Links zu Unterseiten, weiterführende Informationen oder einen Log-in- oder Anmeldebereich. Eine Internetseite hat im Grunde genommen feste Strukturen, die Ausgestaltung ist jedoch sehr variabel und letztlich vom Ersteller der Seite abhängig. Hierbei kommt es natürlich auch darauf an, ob es sich um eine private oder eine gewerbliche Seite handelt. Eines haben Websites jedoch immer gemeinsam: Der Body ist der Hauptbereich der Website.
41
Die Grundelemente einer Internetseite (Website), wie sie in der Abbildung links zu sehen sind, ähneln sich stets. Um sich schneller auf Websites zurechtzufinden, kann es hilfreich sein, diese Standardelemente einer Website zumindest grob zu kennen.
42
Merkmale einer seriösen Internetseite Angenommen, Sie möchten über eine Website bei einem in Deutschland ansässigen Onlineshop Waren kaufen oder Dienstleistungen in Anspruch nehmen. Mit der Seite selbst bzw. dem dahinter stehenden Shop oder der Firma haben Sie bislang keine Erfahrungen gemacht. Dann machen Sie den Seriositätscheck: Checkliste »Seriosität« 1. Hat die Website große sprachliche Mängel? 2. Enthält sie ungewöhnlich viel Werbung? 3. Ist das Impressum vorhanden und vollständig? 5. Gibt es eine HTTPS-Verbindung? 6. Wie ist die telefonische Erreichbarkeit? 7. Welche Bezahlmöglichkeiten werden angeboten? 8. Gibt es allgemeine Geschäftsbedingungen (AGB), die Widerrufsbelehrung und eine Datenschutzerklärung? 9. Gibt es im WWW Erfahrungsberichte von anderen Nutzern über diesen Anbieter? Auf den nachfolgenden Seiten werden diese einzelnen Punkte genauer unter die Lupe genommen.
43
4. Sind Internetgütesiegel vorhanden?
44 Google Übersetzer kennt die Redewendung »Ohne Fleiß kein Preis« nicht.
Check 1: Hat die Website große sprachliche Mängel? Klar, jeder macht mal Fehler. Und das ist bei der Rechtschreibung nicht anders als in anderen Bereichen des Lebens. Dennoch: Das Aushängeschild eines jeden Onlineshops ist natürlich dessen Internetpräsenz, sprich die Website. Ohne sie könnte der Shop nichts verkaufen.
Selbst wenn es sich bei einer Internetseite um eine (private) Informationsseite handelt, sollten Sie in Bezug auf die Seriosität des Inhalts Ihre Zweifel haben, wenn die Seite vor Rechtschreib- oder Grammatikfehlern nur so strotzt. Allerdings scheint auch bei manchen Betrügern angekommen zu sein, dass gehäuft auftretende sprachliche Mängel verdächtig wirken. Rechtschreibung und Grammatik werden immer besser und sind seltener ein Hinweis auf die fehlende Seriosität. Ein Phänomen ist trotz zunehmender Ausgereiftheit von Sprache, Grammatik und Übersetzungsprogrammen dennoch nach wie vor oft anzutreffen: Umlaute werden als »ae«, »oe« und »ue« geschrieben und das »ß« nach wie vor als »ss«.
45
Wenn sich hier nicht nur vereinzelt, sondern gehäuft Rechtschreibfehler, schlechte Grammatik oder auch seltsam formulierte Sätze finden, sollten Sie ruhig stutzig werden. Letztere könnten zum Beispiel von einem Übersetzungsprogramm stammen und genau so, ohne weitere Korrekturen, übernommen worden sein. Und legt der Shop schon keinen Wert auf eine gepflegte Sprache, wie mag es dann mit dem Service aussehen?
46
Check 2: Enthält die Website viel Werbung oder viele Pop-ups? Plötzlich auf dem Bildschirm erscheinende und wild blinkende Pop-ups oder Werbeanzeigen sind nicht nur nervig, sondern lassen auch an der Seriosität der Seite zweifeln. Natürlich werden Sie auf nahezu allen Websites mehr oder weniger dezent angebrachte Werbung finden, denn Werbung dient auch der Finanzierung des Webangebots. • ungewöhnlich viele Umfragen, die Sie ausfüllen sollen, aufpoppen, • Sie der »100.000ste oder soundsovielte Besucher« sind und Ihnen deshalb ein immenser Gewinn versprochen wird, • äußerst simple Wissensfragen (»Was ist größer: Maus oder Elefant?«) gestellt werden oder aufpoppen, • Sie erst gar nicht auf die angestrebte Seite gelangen können, ohne persönliche Daten preiszugeben oder etwas auszufüllen, • sich auf der Website Dinge befinden, die gerade noch so der Legalität entsprechen, oder wenn • ganzseitige Werbeanzeigen erscheinen, die Sie erst einmal wegklicken müssen, oder wenn Sie beim Versuch des Wegklickens auf eine andere Seite weitergeleitet werden.
47
Stutzig sollten Sie jedoch werden, wenn
48 Auszug aus dem Telemediengesetz
Check 3: Ist ein Impressum vorhanden und ist es vollständig? Gesetzliche Regelungen zum Impressum von Websites sind in Deutschland im Telemediengesetz (TMG) zu finden. § 5 TMG beinhaltet die Allgemeinen Informationspflichten. Hier ist festgelegt, welche Arten von Seiten welche Informationen im Impressum hinterlegen müssen. Für Seiten aus dem EU-Raum gelten nahezu die gleichen Regeln. Das Impressum findet sich meistens im Footer der Website und kann angeklickt werden.
Bei geschäftsmäßigen privaten Seiten muss im Impressum zumindest Folgendes enthalten sein: • Vor- und Zuname (Vorname ausgeschrieben) des Betreibers • Postanschrift, E-Mail-Adresse, telefonische Erreichbarkeit, Kontaktformular Bei gewerbsmäßigen Seiten (Onlineshop, Seiten von Dienstleistern, Ärzten, Versicherungen etc.), Schul- und Vereinsseiten sowie Seiten von Behörden und Konzernen werden an das Impressum andere Anforderungen gestellt. Aber auch hier muss ein Verantwortlicher namentlich benannt sein. Nicht fehlen dürfen die Postanschrift und eine Kontaktmöglichkeit (Telefon, E-Mail, Kontaktformular) sowie, je nach Art der Seite, die Umsatzsteueridentifikationsnummer, das zuständige Amtsgericht, die zuständige Aufsichtsbehörde, die Vereins-, Handels-, Partnerschafts-, Genossenschaftsregisternummer und anderes. Sollten Sie Zweifel an der Seriosität einer Website haben, überprüfen Sie anhand dieser Angaben, ob Kontaktdaten eines Verantwortlichen genannt sind und ob das Impressum vollständig ist.
49
Generell ist zu sagen, dass, abgesehen von rein privat betriebenen Seiten, die keinen geschäftsmäßigen Hintergrund haben, stets ein Impressum vorhanden sein muss. Geschäftsmäßig ist eine Seite bereits dann, wenn z. B. zu ihrer Finanzierung Werbung eingeblendet wird (auch wenn Letztere noch so klein ist).
50
Check 4: Sind Internetgütesiegel vorhanden?
Klicken Sie ein solches Gütesiegel auf einer Website an, werden Sie automatisch zur Seite des Siegelbetreibers weitergeleitet. Hier erfahren Sie Näheres über das vergebene Zertifikat, z. B. seit wann eine Website, auf der sich das Siegel befindet, das Gütesiegel in Gebrauch hat und wie lange es noch gültig ist. Die Tatsache, dass diese Siegel eine Laufzeit von lediglich zwei Jahren haben, ist für Sie als Verbraucher ein Anhaltspunkt dafür, dass sich der Websitebetreiber periodischen Qualitätskontrollen unterwirft, um ein gültiges Siegelzertifikat nutzen zu können. Sollten Sie jedoch nach dem Anklicken des Gütesiegels nicht weitergeleitet werden, wurde lediglich ein Bild des Gütesiegels auf der Website integriert, um den Anschein von Seriosität zu erwecken – ein deutlicher Hinweis darauf, dass eine Website nicht seriös ist. Allerdings finden sich auf Websites auch andere Gütesiegel (zum Teil sogar frei erfundene). Ob diese für die Einhaltung von Qualitätsmerkmalen stehen, lässt sich oftmals nur durch eine Recherche im Internet feststellen. Die Tatsache, dass kein Siegel vorhanden ist, lässt noch nicht den Rückschluss zu, dass es sich um eine unseriöse Seite handelt.
51
Einen Hinweis auf die Seriosität eines Onlineshops gibt das Vorhandensein von Internetgütesiegeln. Verbreitet sind EHI Geprüfter Onlineshop, internet privacy standards (ips), Trusted Shops und S@fer Shopping (siehe Abbildung links von links nach rechts). Wirbt ein Anbieter mit einem dieser Siegel, gewährleistet dies die Einhaltung bestimmter Qualitätskriterien, etwa die Wahrung rechtlicher Bestimmungen, Nutzerfreundlichkeit, Datenschutz und Datensicherheit etc. Verstößt ein Siegelinhaber gegen die Zertifikatsrichtlinien, droht ihm der Entzug. Näheres zu diesen vier Siegeln finden Sie auf www.internet-guetesiegel.de.
52
Check 5: Gibt es eine HTTPS-Verbindung? Daten werden im Internet grundsätzlich unverschlüsselt übertragen. Diese Tatsache ist kein Problem, wenn Sie z. B. eine Nachrichtenseite wie www.spiegel.de nutzen, über die Sie Informationen abrufen können, ohne hierfür Anmeldefelder ausfüllen zu müssen. Sie übertragen in diesem Fall ja keine persönlichen Daten von sich über das Internet.
Somit sollte, spätestens wenn Sie eine Website besuchen und Informationen von sich preisgeben müssen, ein https in der Adresszeile vor der eigentlichen Internetadresse zu finden sein. Nebenstehendes Bild zeigt die Internetseite des O’Reilly Verlags mit einer sicheren HTTPS-Verbindung. Weitere Informationen über das HTTPS-Zertifikat bekommen Sie durch Anklicken des Schlosses, das sich links neben https befindet. Es öffnet sich ein Kästchen, dem Sie weitere Informationen entnehmen können. Fazit: Wandelt sich spätestens bei Eingabe von persönlichen Daten oder Log-ins die Verbindung nicht in eine HTTPS-Verbindung, ist das ein Hinweis auf nicht vorhandene Seriosität. Eine unseriöse Seite unterzieht sich einem HTTPS-Zertifizierungsprozess in den meisten Fällen nicht.
53
Problematischer wird es, wenn Sie sich anmelden müssen, um etwas zu kaufen, einen Zahlvorgang vorzunehmen oder in anderen Fällen, in denen Sie persönliche Daten übertragen wollen oder müssen. Dann spätestens sollte sich die unverschlüsselte HTTP-Verbindung in eine verschlüsselte HTTPS-Verbindung umwandeln. Das zusätzliche s steht für secure und somit für Sicherheit. Um eine HTTPS-Verbindung nutzen zu können, durchlaufen Websites einen Zertifizierungsprozess.
54 Auf dieser Website finden Sie eine lange Liste der Sonderrufnummern mit ihren Kosten.
Check 6: Wie ist die telefonische Erreichbarkeit? Es sollte selbstverständlich sein, dass der Websitebetreiber einer inländischen Website eine kosten freie Servicenummer, eine nationale Festnetz- oder zumindest eine nationale Mobilnummer als Kontaktmöglichkeit auf seiner Seite hinterlegt hat. So entstehen dem Anrufer geringe bzw. gar keine Kosten.
Tipp Nicht alle Service- und Sonderrufnummern sind bei Anruf kostenpflichtig. So sind z. B. Anrufe auf 0800er-Nummern kostenfrei. Weitere Informationen finden Sie unter https://www. teltarif.de/i/sonderrufnummern.html, die Seite bietet hierzu einen guten Überblick (siehe Abbildung links).
55
Sind nur kostenpflichtige Service- oder Sonderrufnummern (z. B. beginnend mit 0137) oder gar Nummern aus dem Ausland angegeben, sollte man stutzig werden.
56
Check 7: Welche Bezahlmöglichkeiten werden angeboten? Es zeichnet einen Onlineshop aus, wenn er verschiedene Zahlungsmethoden zur Verfügung stellt. Dies sind beispielsweise:
Bietet ein Onlineshop lediglich die Zahlungsmethode Vorkasse an und befindet sich der Sitz der angegebenen Bank darüber hinaus im Ausland, sollten Sie stutzig werden – erst recht, wenn sich der Sitz des Bankhauses außerhalb Europas befindet. Auch bei Überweisungen über die Western Union Bank und Zahlungen per Bitcoin oder Gutscheinen (z. B. Amazon-Gutscheinen) sollten Sie eher vorsichtig sein. Mehr Informationen zu den Onlinebezahlmethoden finden Sie ab Seite 29.
Tipp Wo eine Bank ihren Sitz hat, erkennen Sie an der IBAN. Die IBAN einer in Deutschland ansässigen Bank beginnt mit DE, die zum Beispiel eines in Weißrussland ansässigen Instituts mit BY. Auf der Seite https://www.iban.de/iban-laenderliste.html finden Sie eine IBAN-Länderliste.
57
• Bezahlen mittels (SEPA-)Lastschrift • Kauf auf Rechnung • Zahlungsdienstleister (z. B. Amazon-Payments, PayPal, Sofortüberweisung) • Kreditkartenzahlung • Zahlung per Vorkasse
58
Check 8: Gibt es AGB, Datenschutzerklärung und Widerrufsbelehrung? Kaum jemand liest sie gern durch – die allgemeinen Geschäftsbedingungen (AGB). Sie sollten bei einem Webshop leicht auffindbar (meistens im Footer) und eindeutig formuliert sein. Immerhin regeln sie ja die Vertragsbeziehung zwischen Ihnen und dem Shop.
Daten sind das Gold oder das Rohöl des 21. Jahrhunderts. Mit dem Sammeln und Auswerten sowie dem Verkauf von persönlichen Daten von Verbrauchern, also von Ihnen, wird viel Geld verdient. Umso wichtiger ist es, dass ein Shop, dem ich meine Daten anvertraue, sorgfältig und streng nach den gesetzlichen Regelungen (Datenschutzgrundverordnung – DSGVO) mit diesen umgeht. Deswegen ist das Vorhandensein einer Datenschutzerklärung Pflicht; diese muss gesetzlichen Bestimmungen entsprechen. Je nach Waren- oder Leistungsart, die auf der Website vertrieben wird, darf auch eine entsprechend ausgestaltete Widerrufsbelehrung nicht fehlen. Diese regelt z. B. das Widerrufsrecht als solches und wer für den Rückversand der Ware zu bezahlen hat.
59
Bietet Ihnen ein Webshop über die eigentliche gesetzliche Gewährleistung hinaus noch weitere Garantien, so finden Sie die Bedingungen hierzu in den AGB. Unübliche Klauseln dürfen sich in den AGB nicht finden. Bestellen Sie zum Beispiel in einem Webshop ein Buch, darf in den AGB nicht stehen, dass Sie sich im Rahmen des Kaufs verpflichten, sämtliche Klos am Firmensitz des Webshops zu putzen.
60
Check 9: Gibt es Erfahrungen von anderen Nutzern dieser Website? Zu unseriösen Websites tauchen im Internet schnell Kommentare auf. Um diese sichtbar zu machen, geben Sie den Shopnamen, die Webadresse der Internetseite oder den Betreibernamen in einer Suchmaschine ein. Bekommen Sie dann Meldungen wie »Betrug«, »Abzocke«, »Fake-Shop« im Zusammenhang mit Ihrer Suche, seien Sie bitte vorsichtig. Im Bild links sehen Sie einen Ausschnitt der Ergebnisse einer Google-Suche nach den Schlagwörtern »Erfahrung adidas-deutschland.com«. Das Ergebnis ist eindeutig.
Tipp Wenn Sie die von Ihnen genutzten Websites nach den genannten Kriterien jetzt einer kritischen Prüfung unterziehen und zu dem Ergebnis kommen, dass der Websitebetreiber einen seriösen Eindruck macht, haben Sie bereits einen sehr wichtigen Schritt in Richtung Sicherheit getan.
61
Mehr zu Fake-Shops erfahren Sie auf Seite 65.
Kapitel 3 Typische Betrugsmethoden unter der Lupe Dieses Kapitel beschreibt einige konkrete Betrugsversuche, die Ihnen im Internet begegnen können. Sie lernen anhand von Beispielen unseriöse Seiten kennen und erfahren, wie Sie solche künftig entlarven können. Denn unseriöse Seitenbetreiber haben nur ein Ziel vor Augen: Ihnen das Geld aus der Tasche zu ziehen.
Das Kapitel soll Ihnen zeigen, wie vielfältig und breit gestreut die Risiken und Betrügereien im Internet sind – selbst bei der Benutzung von im Grunde seriösen Seiten. Die in diesem Buch angesprochenen Beispiele sollen es Ihnen erleichtern, die Guten von den Bösen zu unterscheiden, um weiterhin ungetrübt die Weiten des World Wide Web erkunden zu können.
63
Erfahren Sie, wie Sie Ihr Geld bei Fake-Shops verlieren können, wie man beim Gebrauch von Routenplanern in dreiste Abzockfallen geraten kann, wie Betrüger Wohnungssuchende schädigen, wie man beim Wohnmobilkauf übers Ohr gehauen werden kann und einiges mehr.
64
Fake-Shops – verlockende Markenschnäppchen Fake-Shops sind Shops, die es eigentlich gar nicht gibt. Sie existieren nur virtuell, das heißt, es gibt kein Lager oder Ähnliches, aus dem nach Bestellungseingang dann auch verschickt wird. Fake-Shops kassieren per Vorkasse ab und versenden nichts. Sie bieten zumeist aktuelle Markenware zu auffällig günstigen Preisen an.
• Klickte man auf der Website www.adidasoriginalsschuhe.de auf Impressum & Kontakt, öffnete sich eine Seite, in der man lediglich eine E-Mail übersenden konnte – keine Spur von dem, was wir über das Impressum erfahren haben. • Im Feld Datenschutz las man ein schwer verständliches Kauderwelsch, das mit geltenden Datenschutzbestimmungen rein gar nichts zu tun hatte, dafür aber umso mehr mit dem Check listenpunkt »Hat die Website große sprachliche Mängel?«. • Die AGB fehlten völlig. Das obere der beiden Bilder links zeigt, wie es aussah, wenn man auf Impressum & Kontakt klickte, das untere zeigt einen Ausschnitt der Datenschutzbestimmungen. Zum Thema Fake-Shops finden Sie hier auch Tipps der Polizei: https://www.polizei-praevention.de/themen-und-tipps/fakeshops.html
65
Fake-Shops fallen bei den meisten Punkten unserer Checkliste »Seriosität« durch. Im Beispiel links sehen Sie den Internetauftritt des Fake-Shops www.adidasoriginalsschuhe.de (den es übrigens schon nicht mehr gibt). Solche Shops verschwinden in der Regel bereits nach kurzer Zeit wieder aus dem Internet (und »öffnen« nach einiger Zeit erneut unter ähnlichem Namen).
66
Unseriöse Routenplaner und Jahresabos
Ebenso finden sich auf solchen Seiten häufig Gewinnspiele, die verlockende Preise ausloben. Nur mal schnell den eigenen Namen und die Anschrift, möglicherweise auch eine E-Mail-Adresse eingegeben, und schon sind Sie dabei. Der Haken an der Geschichte: Sie haben sich nicht nur Ihre Route berechnen lassen oder lediglich an einem Gewinnspiel teilgenommen, Sie haben gleichzeitig einen Abovertrag abgeschlossen, der Ihnen für die nächsten 24 Monate Klingeltöne oder ähnliche Dinge beschert, die Sie garantiert nicht benötigen. Kosten pro Monat: ca. 10 Euro. Auf diesen Seiten sind zwar möglicherweise sogar Hinweise darauf zu finden (siehe Bild links), was eine 24-monatige Mitgliedschaft kostet, jedoch werden Sie nicht darauf aufmerksam gemacht, dass Sie bei Registrierung und Gewinnspielteilnahme auch gleichzeitig die Mitgliedschaft übergestülpt bekommen. Dass dieses alles nicht rechtens ist, haben Sie in Kapitel 1 unter »Der Bestellbutton« ab Seite 21 erfahren – aber Ärger steht dennoch vor der Tür. Ignorieren Sie die Briefe oder die E-Mails zur Zahlungsaufforderung, die Ihnen sodann ins Haus bzw. auf den Computer flattern, nicht gänzlich. Obwohl aller Wahrscheinlichkeit nach kein rechtsgültiger Vertrag zustande gekommen ist, kündigen Sie lieber vorsorglich und »hilfsweise«. Oftmals wird unter Aufbau einer Drohkulisse die zwangsweise Pfändung angedroht, wenn Sie säumig sind. Unter https://www.verbraucherzentra le-niedersachsen.de/themen/internet-telefon/dreiste-e-mail-von-media-solution-gmbh-wegen-routenpla ner finden Sie ein solches Schreiben. Schauen und staunen Sie selbst.
67
So schnell, wie sie im Internet erscheinen, so schnell verschwinden sie auch wieder: unseriöse Seiten zur Routenplanung. Wenn Sie den Routenplaner auf einer solchen Seite benutzen wollen, müssen Sie sich registrieren. Diese Tatsache sollte Sie bereits stutzig machen – insbesondere deshalb, weil es im World Wide Web Dutzende Routenplaner gibt, bei deren Nutzung keine Registrierung notwendig ist.
68
Unseriöse Filmstreaming-Portale 1 Draußen Eiseskälte, die Flammen im Kamin knistern, und in der guten Stube ist es wohlig warm. Der Rotwein und die Cracker stehen bereit, jedoch gibt das Fernsehprogramm nicht her, was Sie jetzt schauen möchten. Alles kein Problem, denn es gibt ja Portale im Internet, von denen Sie sich völlig unverbindlich innerhalb einer gewissen Probezeit Filme streamen, das heißt auf Ihrem PC, Laptop oder auch auf einem internetfähigen Fernseher anschauen können.
Es besteht die Möglichkeit, sich zu registrieren – die Eingabe von Vor- und Nachname sowie eine E-Mail-Adresse und die Vergabe eines Passworts sind notwendig. Automatisch stimmen Sie den Nutzungsbedingungen zu, indem Sie das entsprechende Formular ausfüllen und auf Registrieren klicken. Die Nutzungsbedingungen als solche können Sie sich sogar anschauen, wenn Sie auf den entsprechenden Link klicken. Und siehe da, diese sind in englischer Sprache verfasst. Unter Punkt 5 (Payment) können Sie dann (auf Englisch) nachlesen, dass es eine Probemitgliedschaft von fünf Tagen gibt und diese sich automatisch in eine einjährige Premiummitgliedschaft umwandelt, sollten Sie nicht binnen dieser fünf Tage kündigen.
69
Eines dieser Portale heißt kinoplay.de. Bereits beim Aufrufen der Seite fällt auf, dass es hier gar kein Impressum gibt. Lediglich im Footer der Seite ein »Kurz über uns« – jedoch ohne Namen und Verantwortlichen. Die Sprache ist Deutsch.
70 Das Suchergebnis mit den Schlagwörtern »erfahrung kinoplay.de« ist eindeutig.
Unseriöse Filmstreaming-Portale 2 Über die Kosten dieser Premiummitgliedschaft finden Sie auf der Seite Folgendes: »When you sign up for a free trial and you cancel your account during a free trial period, no payment should be charged. If you do not cancel your account within 5 days, your account should automatically be extended to the annual Premium account at a cost of {{premium_month}}€ per month ({{premium_costs}}€ per year).«
Da Sie auf der Website kinoplay.de, einschließlich aller Unterseiten, keine Kontaktmöglichkeit zum Betreiber finden, wird Ihnen auch keine Möglichkeit geboten, das kostenlose 5-Tage-Abo bzw. das Jahresabo rechtzeitig zu kündigen. Wann rechtzeitig ist, geht aus den »Terms of Use«, die wohl die AGB darstellen sollen, auch nicht hervor. Ob Sie nach dem Registrierungsvorgang auf Ihre angegebene E-Mail-Adresse eine Bestätigungsnachricht zugesandt bekommen, entzieht sich meiner Kenntnis, wahrscheinlich aber eher nicht. Jedenfalls, so haben meine Recherchen im Internet ergeben, flattern denjenigen, die sich nicht binnen fünf Tagen wieder abgemeldet haben (wo denn auch?), saftige Rechnungen ins Haus: Benutzer werden per E-Mail zur Zahlung von mehreren Hundert Euro aufgefordert. Gleichzeitig wird eine Drohkulisse aufgebaut, wenn man sich mit dem Anbieter in Verbindung setzen möchte (ihn quasi mit Rückfragen belästigte). Dieses hätte die sofortige Pfändung zur Folge. Es gibt leider Betroffene, die einknicken und bezahlen – sonst würde diese Masche von Betrügern nicht angewendet. Wie Sie sich gegen solche Forderungen wehren, erfahren Sie in Kapitel 10 ab Seite 221. Lassen Sie sich nichts unterschieben, was Sie nicht wollen. Lernen Sie, die seriösen von den unseriösen Anbietern zu unterscheiden.
71
Somit keine Spur von den tatsächlichen Kosten, die für ein solches Premium-Jahresabo anfallen.
72
Betrugsmethode mit inserierten Mietwohnungen: der Ablauf Angenommen, Sie sind auf der Suche nach einer für den Durchschnittsgeldbeutel bezahlbaren Stadtwohnung und quälen sich durch die Immobilienportale im Internet. Und da ist sie plötzlich, die Traumwohnung. Exquisite, ruhige Lage und fast schon Luxusausstattung. Terrasse mit Gartennutzung oder ein überdimensionaler Balkon. Dazu Bilder, die Ihnen den Atem rauben. Und das alles zu einem Mietzins, der Sie augenblicklich zum Telefonhörer greifen lässt.
Der Wohnungskautionsbetrug Betrüger mieten über ein Onlineportal wie z. B. Airbnb eine Wohnung für ein paar Tage an, um diese angeblich als Ferienwohnung zu benutzen. Einmal drinnen, fotografieren sie die Wohnung, fertigen einen Grundriss an und stellen das Ganze als »Wohnung zu vermieten« auf einschlägigen Immobilienportalen ins Internet, meist zu einem günstigeren Preis als ortsüblich. Schnell füllt sich der Kalender mit Besichtigungsterminen. Die Betrüger, die die Wohnung ja nur kurz gemietet haben, geben sich als Eigentümer oder als Makler im Auftrag der Eigentümer aus. Von den Personen, die die Wohnung nun besichtigen, werden die E-Mail-Adressen eingesammelt, denn ausschließlich per E-Mail, so die Betrüger, werde dann zu- oder abgesagt. Tatsächlich bekommt jedoch jeder der Interessenten den Zuschlag für die Wohnung per E-Mail. Man müsse nur noch den angehängten Vertrag ausdrucken und unterschrieben an die Wohnungsadresse zurücksenden. Und natürlich auch noch die drei Monatsmieten als Kaution auf das Konto der Betrüger überweisen. Und schon ist die Falle zugeschnappt.
73
Immer mehr Betrüger tummeln sich auf den einschlägigen Wohnungsportalen im Internet. Doch wie funktioniert diese Abzockmasche? Ich möchte Ihnen ein Szenario vorstellen, dem man in der Praxis (leider) zunehmend begegnet.
74 Hier informiert das Portal Immowelt über die häufigsten Betrugsmaschen: https://ratgeber.immowelt.de/a/zu-schoen-um-wahr-zu-sein-gefaelschtewohnungsanzeigen-erkennen.html
Betrugsmethode mit inserierten Mietwohnungen: Vorsichtsmaßnahmen Falls es sich hierbei um eine ausländische Bankverbindung handelt, wurde Ihnen garantiert von den Betrügern schon bei der Besichtigung berichtet, dass man vorhabe, ins Ausland zu ziehen, und dort bereits eine Bankverbindung habe. Eine wirklich üble Masche, da Sie ja mit den Betrügern im Rahmen der Besichtigung bereits persönlichen Kontakt hatten und die Wohnung ja auch real existiert.
• Fragen Sie sich, warum jemand seine Wohnung so auffallend günstig vermieten möchte, obwohl er mehr verlangen könnte. Oftmals werden Storys aufgetischt, dass man dringend beruflich wegziehen müsse oder Ähnliches. Dies erklärt aber nicht den günstigen Mietzins. • Tritt ein Makler auf, lässt sich dieser im Internet recherchieren. Haben Sie den Verdacht, dass ein Maklername fälschlicherweise benutzt wird, rufen Sie in dessen Büro an (aber nicht die Nummer auf der übergebenen Visitenkarte – denn dann landen Sie ja wieder beim Betrüger). Suchen Sie nach der telefonischen Verbindung im Internet. • Lassen Sie sich vom Makler oder dem vermeintlichen Vermieter im Zweifelsfall die Ausweise zeigen. • Handelt es sich um ein Mehrfamilienhaus, könnten Sie in Betracht ziehen, beim unmittelbaren Nachbarn zu klingeln und entsprechende Erkundigungen einzuholen. Portale wie Airbnb oder Immobilienportale, auf denen die Wohnung inseriert wurde, sind nicht verantwortlich für diese Art von Betrügereien, genauso wenig wie der tatsächliche Wohnungseigen tümer.
75
Sollten Sie eine Wohnung besichtigen und kommt Ihnen hierbei etwas komisch vor, denken Sie an folgende Punkte:
76
Für USA-Reisende: der teure Einreiseantrag Wer beabsichtigt, in die USA zu reisen, muss im Vorfeld einen Antrag auf Einreise stellen. Dies geschieht auf der offiziellen Website der ESTA unter https://esta.cbp.dhs.gov/esta/, die das Ausfüllen des entsprechenden Antragsformulars in verschiedenen Sprachen anbietet. Der Antrag kostet für eine Privatperson 14 US-Dollar.
Mittlerweile sind auch deutsche Websites aufgetaucht (z. B. www.standesamtweb.de), die ähnliche Dienste anbieten, wie das Beantragen von Urkunden, Führungszeugnissen etc. Die Masche ist die gleiche: Sie füllen auf deren Website einen Antrag aus, den Sie sowieso bei der entsprechenden Behörde online ausfüllen müssten. Es erfolgt lediglich die Weiterleitung Ihrer Daten an die Behörde – dafür wird eine Servicegebühr fällig.
Tipp Nutzen Sie zur Antragstellung die offizielle Website der jeweiligen Behörde. Denn die Gebühr für den Antrag müssen Sie sowieso bezahlen.
77
Im Internet tummeln sich Servicefirmen, die den Antrag für Sie einreichen. Diese finden Sie, wenn Sie in Ihrer Internetsuchmaschine lediglich den Begriff »esta« eingeben. Sind Sie auf der Seite einer solchen Servicefirma gelandet, werden Sie aufgefordert, ein entsprechendes Formular mit den notwendigen Angaben auszufüllen. Dieses gleicht dem, das Sie auf der Website der ESTA vorfinden. Ihr auf der Serviceseite ausgefüllter Antrag wird durch die »Servicefirma« lediglich an die ESTA weitergeleitet. Dennoch liegt die Servicegebühr bei Inanspruchnahme einer solchen Firma (inklusive Antragsgebühr) bei ca. 80 US-Dollar.
78
Wohnmobile zu Schnäppchenpreisen 1
Immer wieder wird in der Fachzeitschrift promobil oder auf Internetportalen vor Betrügereien im Zusammenhang mit Wohnmobil-Gebrauchtkäufen gewarnt. Es läuft stets nach der gleichen oder einer ähnlichen Masche ab: Ein relativ neues Wohnmobil mit Topausstattung und wenig gefahrenen Kilometern wird zu einem unglaublich günstigen Preis angeboten. Der Verkäufer sitzt im Ausland, würde aber das Wohnmobil auf eigene Kosten zur Besichtigung nach Deutschland transportieren (tatsächlich befindet sich das Wohnmobil bereits in Deutschland zur wiederholten Durchführung dieser Betrugsmasche). Zur Absicherung und zur ordnungsgemäßen Abwicklung müsse jedoch ein »autorisierter Dritter« (Treuhänder) zwischengeschaltet werden. Dieser (und auch dessen Bankverbindung) sei im Ausland – so die Erläuterung des Anbieters. Könnten Sie sich den Kauf nach einer Besichtigung vorstellen, wird zunächst ein Vertrag mit diesen Eckpunkten ausgefertigt: Sie zahlen einen Teil des Kaufpreises (meistens die Hälfte) sofort an den Treuhänder, der das Geld aber erst dann an den Verkäufer weiterleitet, wenn Sie »grünes Licht« geben, sich somit absolut sicher sind, das Wohnmobil auch wirklich kaufen zu wollen. Ihnen wird quasi ein Widerrufsfristrecht eingeräumt. Entscheiden Sie sich gegen den Kauf, würde der Treuhänder den bereits von Ihnen erhaltenen Betrag an Sie zurückzahlen – was aber nie geschieht. Im Fall des positiven Kaufentscheids Ihrerseits zahlen Sie den Rest und bekommen sodann die Papiere und Dokumente übersandt – so der Vertrag. Tatsächlich bekommen Sie nichts zugesandt, und das Geld ist weg. Der Verkäufer samt Wohnmobil natürlich auch. Den Treuhänder gibt es oft gar nicht, oder er ist als Betrüger bekannt.
79
Immer mehr Menschen entscheiden sich für den Kauf eines Wohnmobils. Für diejenigen, die sich kein Neufahrzeug leisten können oder möchten, steht ein riesiger Gebrauchtmarkt für Wohnmobile zur Verfügung, zu finden über Inserate in einschlägigen Printmedien (z. B. promobil) oder online auf Portalen wie z. B. www.truckscout24.de.
80
Wohnmobile zu Schnäppchenpreisen 2
• Von vornherein merkwürdig war, dass sich dieses unglaublich günstige Angebot über mehrere Tage im Portal hielt und nicht sofort verkauft war. • Die Verkäuferin wohnte in Irland – sie hatte den »Linkslenker« mit dorthin genommen. • Das Wohnmobil würde für mich kostenfrei zur Besichtigung zurück nach Deutschland transportiert werden. • Ein autorisierter Dritter (Treuhänder) müsse jedoch zwischengeschaltet werden. • 50 % Anzahlung wären an den Treuhänder, die Firma Royal Trotter, zu leisten. Dort würde das Geld quasi zwischengeparkt und an die Verkäuferin erst ausgehändigt, wenn der Deal perfekt sei. Somit die schon beschriebene Masche, die nicht nur im Zusammenhang mit Wohnmobilbetrügereien, sondern auch mit hochwertigen Pkw angewandt wird. Eine Internetrecherche nach Royal Trotter ergab Entsprechendes: Hierbei handelte es sich nicht um einen seriösen Treuhänder, sondern um reinen Fake. Auch der Name der Verkäuferin, Clara Tonner, mitsamt ihrer E-Mail-Adresse tonner. [email protected] ist im Internet im Zusammenhang mit Betrügereien bekannt. An dieser Stelle möchte ich ausdrücklich betonen, dass sich Internetverkaufsportale, wie hier www. truckscout24.de, in keiner Weise an den Betrügereien beteiligen oder bereichern. Sie sind lediglich die Veröffentlichungsplattform und haben keinen Einfluss auf diese Praktiken.
81
Im Jahr 2017 machte ich mich auf einschlägigen Portalen im Internet auf die Suche nach einem Wohnmobil. Schnell wurde ich auf www.truckscout24.de fündig. Eine gigantische Auswahl bot sich mir und zum Teil auch so günstige Fahrzeuge (siehe Abbildung auf Seite 78), dass ich gar nicht anders konnte, als mich mit dem Verkäufer in Verbindung zu setzen. Gesagt, getan. Natürlich mit dem Wissen, dass dies ein unseriöses Angebot sein muss. Nun wollte ich »live« herausfinden, wie die Korrespondenz bei einer solchen Betrugsmasche abläuft. Ich schrieb eine kurze E-Mail, dass ich Interesse hätte, und bekam dann auch eine Rückantwort. Nachdem ich geschrieben hatte, dass mir eine Reise nach Irland zu aufwendig sei, bekam ich abermals elektronische Post (siehe links). Folgendes stach mir sofort ins Auge:
82
Die wenigsten sind Betrüger Beispiele wie die aus diesem Kapitel finden sich tausendfach im Internet – seien es Seiten zum Erstellen von Horoskopen, zum Spiele- oder Softwaredownload, zu Weissagungen und zum Kartenlegen, zum Herunterladen von Klingeltönen oder Schmuddelbildern, zum Download von Bau- und Bastelanleitungen, zum Abfragen von Auskünften oder vieles mehr. Doch eines möchte ich auch unterstreichen: Die wenigsten Betreiber von Websites sind Betrüger oder haben es auf Ihr Geld abgesehen. Nur leider mischen sich Betrüger unter die vielen seriösen Web sites und verfolgen dort ihre betrügerischen Absichten.
83
Und genau dafür möchte ich Sie sensibilisieren.
Kapitel 4 Gefahren bei der Smartphone- und Festnetznutzung • Das Mobiltelefon: Das erste kam 1983 auf den Markt und trug den stolzen Namen Motorola DynaTAC 8000X. Dieses unheimlich klobige Teil wog knapp 800 Gramm und hatte für heutige Verhältnisse gigantische Ausmaße. Man konnte damit ungefähr eine Stunde lang telefonieren, dann ging der Akku zur Neige. Ein Rufnummernspeicher für immerhin 30 Kontakte war auch vorhanden. • Wollte man im Urlaub ein paar Fotos schießen, musste man schon einen Fotoapparat mit sich führen, in den ein Film eingelegt war. Um viele Bilder zu schießen, musste man viele Filme dabeihaben. Und die mussten dann nach der Heimkehr auch noch entwickelt werden. • Zum Filmen benötigte man einen Camcorder. Die ersten kamen ebenfalls um 1983 auf den Markt. Sie waren schuhschachtelgroß, und wenn man genügend Akkus für ein paar Aufnahmestunden mitgeschleppt hatte, konnte man sich den Gang ins Fitnessstudio getrost sparen. • Um unterwegs zu daddeln, musste man dann noch mal ein paar Jahre warten, nämlich bis zum Jahr 1989: Endlich erblickte der erste Game Boy das Licht der Welt. Spiele wie Tetris, Donkey Kong und Super Mario konnten darauf gespielt werden. Und diese Aufzählung ist noch lange nicht vollständig. Das alles klingt nach Steinzeit – und war es auch. Aber es gab einen ganz großen Vorteil: Gefahren von außen in Form von Cybercrime gab es damals noch nicht. In diesem Kapitel erfahren Sie, welche Gefahren Ihnen bei der Verwendung Ihres Smartphones drohen können und wie Sie diesen wirksam begegnen – sei es durch Einstellungen, die man am Smartphone selbst vornimmt, oder durch Maßnahmen zum Schutz vor Kostenfallen. Und auch beim Telefonieren über das Festnetztelefon können Ihnen Betrugsmaschen begegnen, auf die wir Sie in diesem Kapitel hinweisen werden.
85
Versetzen wir uns doch mal gedanklich zurück in das Jahr 1983 und erinnern wir uns, welche Geräte wir damals benötigt hätten, die ein heutiges Smartphone in sich vereint:
86
Bezahlen über die Handyrechnung: Direct-Carrier- und WAP-Billing
• WAP-Billing ist die ältere der beiden Bezahlmethoden, aber dennoch sehr verbreitet. Mittels WAP-Billing können beispielsweise erbrachte Dienstleistungen wie Klingeltöne, Erotikinhalte und Spiele, aber auch Parktickets (an eigens dafür ausgerüsteten Automaten) bezahlt werden. Zum Bezahlen über WAP-Billing ist es nicht zwingend notwendig, dass man sich beim jeweiligen Dienstleister anmeldet. • Die Bezahlmethode DCB ist hauptsächlich dafür geschaffen, kostenpflichtige Apps, die in vielen App-Stores angeboten werden, per Handyrechnung zu bezahlen. Als große App-Stores sind z. B. Google Play Store, Amazon-Web-Shop, Apple App Store und Samsung Galaxy Apps Store zu nennen. Bei der DCB-Bezahlmethode muss man sich vorher beim Dienstleister angemeldet haben. Die meisten Mobilfunkanbieter haben mit vielen Dienstanbietern und App-Stores Verträge geschlossen, sodass ein reibungsloses Bezahlen möglich ist. Bestehen keine Verträge, kann auch nicht über die Handyrechnung bezahlt werden. Der Vorteil liegt bei beiden Bezahlmethoden klar auf der Hand: Sie müssen dem Dienstleister keinerlei Konto- oder Kreditkartendaten übermitteln, um das Bestellte zu bezahlen. Aber sie bergen auch Gefahren.
87
Zwei – zugegeben sperrige – Ausdrücke für einen im Grunde genommen sehr einfachen Vorgang: Mittels DCB (Direct-Carrier-Billing) und WAP-Billing (Wireless Application Protocol) werden Sie als Smartphone-Nutzer in die Lage versetzt, Dienstleistungen und Einkäufe über das Smartphone zu bestellen bzw. zu tätigen und diese dann auch ganz bequem über die Handyrechnung zu bezahlen.
88 Durch das Tippen auf ein Werbebanner innerhalb einer App (linkes Bild) wird man auf den Internetauftritt des Werbetreibenden weitergeleitet (rechtes Bild), ohne dass ein zahlungspflichtiger Vorgang ausgelöst wird.
Abofalle Werbebanner: Verbindung über mobile Daten Die Tatsache, dass man sich beim WAP-Billing nicht bei einem Dienstleister anmelden muss, lockt oftmals Betrüger an, die die »Lücken« für sich ausnutzen. Ein argloser Fingertipp innerhalb einer App, die auf das Smartphone heruntergeladen wurde, kann in eine üble Kostenfalle führen. Genau an dieser Stelle machen sich Betrüger die WAP-Billing- Technologie zunutze. Täglich schnappen solche Fallen zu und sorgen bei den arglosen Smart phone-Nutzern für ein böses Erwachen – sie sind in eine Abofalle geraten. Aber eins nach dem anderen. • Sie daddeln gerade ein auf dem Smartphone vorhandenes Spiel oder haben sich eines heruntergeladen und nutzen es. Hierbei sind Sie über den mobilem Datentarif mit dem Internet verbunden. • In vielen Spielen oder anderen kostenfreien Anwendungen poppen Werbebanner auf, die meist störend wirken, weil sie in schillernden Farben blinken oder die eigentliche Anwendung oder das Spiel verdecken. • Sie tippen auf das Werbebanner oder versuchen, dieses mit dem Schließen-Kreuz zu entfernen. Sie werden auf die Website des Werbetreibenden weitergeleitet, oder das Banner schließt sich. Es kann jedoch ganz anders kommen.
89
Ein gängiges Szenario:
90 Dieses Werbebanner kann man mit dem Kreuz rechts oben schließen, ohne in eine Kostenfalle zu geraten. Aber es kann auch anders ausgehen.
Die Werbebannerfalle schnappt zu Es gibt auch Werbebanner, die es in sich haben. Ein bloßes Antippen genügt, und die Kostenfalle in Form eines ungewollten Abos schnappt zu. Wie das? • Sie tippen innerhalb einer App auf ein Werbebanner, und es passiert nichts. Jedenfalls nichts, was Sie sofort bemerken. Tatsächlich haben Sie jedoch durch das bloße Antippen einen von Ihnen zunächst völlig unbemerkten zahlungspflichtigen Vorgang ausgelöst. • Sie möchten das Werbebanner »wegklicken« und tippen hierzu mit dem Finger auf das Schließen-Kreuz. Dieses befindet sich meistens in einer Ecke des Banners (siehe Abbildung links). Das Kreuz symbolisiert die Möglichkeit des Schließens des Werbebanners, wenn man es nur antippt. Solche Kreuze kennen Sie von Anwendungen oder Programmen am heimischen PC. Bei Programmen oder Apps, die unter Microsoft Windows laufen, befinden sie sich in den allermeisten Fällen in der rechten oberen Fensterecke. Nachdem Sie nunmehr auf dieses Schließen-Kreuz getippt haben, ist das Werbebanner ärgerlicherweise immer noch da. Noch ärgerlicher für Sie ist, dass Sie auch hier unbemerkt einen zunächst zahlungspflichtigen Vorgang ausgelöst haben. • Sie tippen innerhalb einer App auf ein Werbebanner oder das Schließen-Kreuz und werden sofort auf die Seite des Werbetreibenden weitergeleitet. Charakteristischerweise wird auf diesen Seiten oftmals das Herunterladen von Klingeltönen oder Bildern mit pornografischem Inhalt beworben. Selbst wenn Sie die Internetseite sofort wieder verlassen, ist Folgendes geschehen (Sie raten es bestimmt): Ein von Ihnen zunächst unbemerkter zahlungspflichtiger Vorgang wurde ausgelöst.
91
Folgende Szenarien sind denkbar:
92 Das Verbraucherportal Baden-Württemberg informiert hier über das WAP-Billing: https://www.verbraucherportal-bw.de/,Lde/4670897
Hier kommt WAP-Billing ins Spiel
Die Buttons auf diesen Websites sind meist recht nebulös beschriftet. Es finden sich Bezeichnungen wie Loslegen, Jetzt geht’s los, Runterladen, Jetzt holen oder auch nur Weiter. Keine dieser Bezeichnungen deutet darauf hin, dass es sich hier um einen Bestellbutton handelt und beim Antippen in der Folge ein zahlungspflichtiger Vorgang in Gang gesetzt wird (siehe Kapitel 1 – Buttonlösung). Ebenso fehlen die im Zusammenhang mit der Buttonlösung erforderlichen und in Kapitel 1 beschriebenen Pflichtinformationen. Möglicherweise sind diese tatsächlich auf der betreffenden Website zu finden, in den allermeisten Fällen jedoch nicht in unmittelbarem Zusammenhang mit dem ohnehin falsch bezeichneten Bestellbutton und meistens auch in Schrift und Gestaltung eher unauffällig. Hierbei machen es sich die unseriösen Anbieter zunutze, dass die meisten Smartphone-Nutzer überhaupt nicht wissen, dass es • durch bloßes Antippen eines solchen Werbebanners bereits zu einem zahlungspflichtigen Vorgang kommen kann und dass es • die Bezahlmethode WAP-Billing gibt, die es überhaupt erst ermöglicht, dass durch einen versehentlichen Fingertipp ein zahlungspflichtiger Vorgang, ob gewollt oder ungewollt, ausgelöst wird.
93
Sie tippen also innerhalb einer App auf ein Werbebanner oder das Schließen-Kreuz und werden sofort auf die Seite des Werbetreibenden weitergeleitet. Es besteht die Möglichkeit, durch Antippen eines weiteren Buttons vermeintlich kostenlose Spiele-Apps, Klingeltöne oder Bilder mit pornografischem Inhalt herunterzuladen – und es ist passiert.
Verbraucher tippt auf Werbefläche Werbung
Werbung
Werbung
Bestellung eines kostenpflichtigen Diensts durch Fingertipp
94
Mobilfunkrechnung
Drittanbieter
Mobilfunkanbieter
Aggregator
Wer sind die Akteure, und was ist passiert? Diese Akteure sind nun in der Runde mit dabei: Der Verbraucher: Durch einen Fingertipp auf das Werbebanner oder den Bestellbutton hat er die »Dienstleistung« in Anspruch genommen (ob er diese nun wollte oder auch nicht) und ist somit in der Zahlungspflicht. Der Drittanbieter: Dieser hat den kostenpflichtigen WAP-Billing-Dienst zur Verfügung gestellt. Er ist der eigentliche »Vertragspartner« des Verbrauchers (Firmensitz kann im In- oder im Ausland sein) und somit der Betrüger.
Der Aggregator: Ist auch mit im Boot. Er ist quasi der Makler oder Abrechnungsdienstleister zwischen Provider und Drittanbieter (Firmensitz: In- oder Ausland). Er ist Handlanger des Betrügers. Durch den Bestellvorgang bekommt der Drittanbieter bzw. der Aggregator die MSISDN (Mobile Subscriber Integrated Services Digital Network Number) der im Smartphone eingelegten SIM-Karte des Verbrauchers übermittelt. Die MSISDN ist nichts anderes als die weltweit eindeutige Mobilfunknummer (Handynummer) des Verbrauchers. Grundsätzlich (mit wenigen Ausnahmen) ist diese MSISDN einer einzigen SIM-Karte zugeordnet. Um WAP-Billing zu realisieren, müssen im Vorfeld Verträge zwischen den Mobilfunk- und Drittanbietern und den Aggregatoren abgeschlossen worden sein.
95
Der Mobilfunkanbieter (Provider): Das ist dasjenige Unternehmen, bei dem der Verbraucher seinen Handyvertrag abgeschlossen hat. Der Mobilfunkanbieter stellt letztlich die Rechnung an den Kunden.
96
Jetzt geht’s ans Geld Bestehen Verträge zwischen Provider, Aggregator und Drittanbieter, wird dem Drittanbieter Ihre Mobilfunknummer im Zusammenhang mit dem ungewollten Bestellvorgang (Antippen des Werbebanners) übermittelt. Hiervon bekommen Sie als Nutzer, wie ja auch vom eigentlichen Bestellvorgang, nichts mit.
Auf Ihrer Rechnung erscheint meistens nicht der Drittanbieter, sondern eher der Aggregator im Zusammenhang mit dem jeweils zu bezahlenden Posten; das Geld fließt letztendlich jedoch dem Drittanbieter zu. Die Aggregatoren und auch die Mobilfunkanbieter erhalten für ihre Dienste vom Drittanbieter Provisionszahlungen, in Summe oftmals mehr, als dem Drittanbieter letztlich zufließt. Letzterer ist jedoch der eigentliche Betrüger. Glück im Unglück für denjenigen, der eine monatliche Telefonrechnung erhält. Fallen Ihnen die aus der Rechnung ersichtlichen Forderungsbeträge auf, können Sie sofort Maßnahmen ergreifen. Wenn Sie keine monatliche Abrechnung bekommen (in der Regel Inhaber von Prepaid-Verträgen) und auch sonst keinerlei Kostenkontrolle über Ihren Vertrag haben (zum Beispiel per App auf dem Smartphone), werden Sie sich dann ob der Tatsache wundern, dass das eingezahlte Telefonguthaben recht schnell wieder aufgebraucht ist. Setzen Sie sich unverzüglich mit Ihrem Provider in Verbindung, sollten Ihnen Unregelmäßigkeiten an der Handyrechnung auffallen. Das richtige Vorgehen gegenüber Ihrem Telefonanbieter wird Ihnen auf Seite 103 erklärt.
97
Der Drittanbieter gibt seine Forderung (mitsamt der MSISDN des Kunden) an den Aggregator ab, der wiederum die entsprechende Forderung beim Mobilfunkanbieter einreicht. Der geforderte Betrag (zwischen ca. 10 Euro pro Woche und 10 Euro pro Monat) wird nun dem Verbraucher und somit Ihnen auf die Mobilfunkrechnung gesetzt und abgebucht.
98 Ähnlich wie hier gezeigt, sehen die Websites aus, in die man die eigene Mobilfunknummer eintragen muss. Pflichtinformationen sind zwar zum Teil vorhanden, nicht ersichtlich ist jedoch, wie lange das Abo läuft. In diesem Beispiel ist der Bestellbutton (WEITER) in unzulässiger Art und Weise beschriftet.
Abofalle Werbebanner: Verbindung über WLAN Auf den letzten Seiten wurde beschrieben, dass die Abofalle sofort zuschnappen kann, wenn Ihr Smartphone mittels mobiler Daten mit dem Internet verbunden ist. Haben Sie eine Internetverbindung per WLAN aufgebaut, wird Ihre Mobilfunknummer nicht automatisch an den Drittanbieter übermittelt; technische Gründe spielen hier eine Rolle. Dennoch kann die Abofalle wie folgt zuschnappen: 1. Sie tippen auf ein Werbebanner und werden sofort auf die Website eines Drittanbieters weiter geleitet.
2. Sie tippen auf den Bestellbutton. Möglicherweise finden sich auf dieser Website sogar so etwas wie Pflichtangaben; diese genügen jedoch meistens nicht den uns mittlerweile bekannten Anforderungen. Oftmals ist auch der Bestellbutton unzulässig beschriftet – wie im nebenstehenden Beispiel mit WEITER. Jedenfalls kann hier, wie aus dem Beispiel ersichtlich, aufgrund mangelnder Pflichtangaben und Bestellbutton mit falscher Bezeichnung kein rechtsgültiger Vertrag zustande kommen. Damit der Drittanbieter ausschließen kann, dass eine falsche Mobilfunknummer in das Feld eingetippt und übermittelt wurde, sendet er Ihnen in der Regel noch eine Bestätigungs- oder Verifizierungs-SMS. Wird diese von Ihnen bestätigt (oftmals durch Eingabe eines Codes), ist die Falle endgültig zugeschnappt.
99
Hier finden Sie dann ein Feld zur Eingabe der eigenen Mobilfunknummer vor, selbst wenn Sie »gratis« etwas bestellen bzw. herunterladen können. Ohne die Eingabe der Mobilfunknummer erhalten Sie nichts gratis. Sie geben also Ihre Nummer ein.
100
Abofallen nicht nur in Werbebannern Die gleiche Gefahr, die vom Antippen eines Werbebanners innerhalb einer App ausgeht, findet man mittlerweile auch schon bei aufpoppenden Werbebannern während des Surfens mit einem Browser. Auch hier birgt das bloße Antippen eines solchen Werbebanners die Gefahr des ungewollten Abos. Wie bei den auf Seite 91 beschriebenen Werbebannern innerhalb einer App, findet sich bei den Browser-Werbebannern ebenso das Schließen-Kreuz, meist rechts oben. Auch hier lauert die bereits beschriebene Gefahr: Ein Antippen des Kreuzes, um den Banner zu schließen, kann auch hier einen zahlungspflichtigen Vorgang auslösen.
Auf der Homepage der Verbraucherzentrale (https://www.verbraucherzentrale.de/wissen/digitalewelt/mobilfunk-und-festnetz/drittanbietersperre-so-schuetzen-sie-sich-vor-ungewollten-abos-12613, siehe links) ist Folgendes nachzulesen: »Es sind auch Fälle bekannt, bei denen Nutzer von gängigen Internetseiten ohne etwas anzutippen auf unbekannte Seiten umgeleitet wurden. Das Ergebnis waren ungewollte Abos mit bis zu 9,99 Euro pro Woche.« Sie sehen, wie wichtig das Einrichten einer Drittanbietersperre ist (siehe Seite 105) – für mich jedenfalls ein absolutes Muss.
101
Voraussetzung ist, dass das Mobilgerät mittels der mobilen Daten mit dem Internet verbunden sein muss.
102 Kostenpflichtige Apps oder auch In-App-Käufe, wie hier am Beispiel des Google Play Store, können auch per Handyrechnung (Telefonica = O2) beglichen werden.
Die Abofalle ist zugeschnappt – was tun? Obwohl durch den Fingertipp kein rechtsgültiger Vertrag zustande gekommen ist, sitzen Sie zunächst auf den Kosten. Ihr Mobilfunkanbieter zieht den Betrag ein (siehe Seite 95). Da Sie ein Abo abgeschlossen haben, sind die Kosten nicht einmalig, sondern fortlaufend. Nun ist schnelles Handeln erforderlich.
2. Lassen Sie sich vom Mobilfunkanbieter nicht einschüchtern, wenn er mit Anschlusssperre droht. Das ist nur dann erlaubt, wenn es vorher schriftlich angedroht wurde – und dann auch erst bei einem Zahlungsverzug in Höhe von mindestens 75 Euro. Und mit Empfang des oben genannten Musterbriefs dürfen die dort bestrittenen Beträge aus Drittanbieterforderung nicht auf die 75-Euro-Regelung angewandt werden. 3. Auf der Mobilfunkrechnung muss innerhalb des aufgeführten Zahlungspostens entweder der Name des Aggregators oder der des Drittanbieters angegeben sein. Ein weiterer Musterbrief der Verbraucherzentralen soll den Verbraucher dabei unterstützen, das Abo zu stoppen und den bisherig abgebuchten Geldbetrag zurückzufordern: https://www.verbraucherzentrale. de/sites/default/files/migration_files/media239842A.pdf. 4. Haben Sie eine Abbuchungsermächtigung gegenüber dem Mobilfunkanbieter erteilt und wird der Betrag per Lastschrift abgezogen, ist es ratsam, den Gesamtbetrag der Telefonrechnung von der Bank zurückbuchen zu lassen. Da der Mobilfunkanbieter natürlich auch berechtigte Forderungen Ihnen gegenüber hat, sollten Sie sodann den entsprechenden Betrag (und somit ohne den Drittanbieteranteil) unverzüglich an den Provider überweisen.
103
1. Zunächst sollten Sie sich an Ihren Mobilfunkanbieter wenden und die Zahlungen unverzüglich stoppen sowie die in Rechnung gestellte Summe zurückfordern, das Ganze natürlich am besten schriftlich per Einschreiben. Die Verbraucherzentralen stellen im Netz hierzu Musterbriefe zur Verfügung: https://www.verbraucherzentrale.de/sites/default/files/migration_files/media 239843A.pdf.
104 Eine Drittanbietersperre bei einem Mobilfunkanbieter einrichten, hier bei Aldi-Talk
Die Drittanbietersperre Gleich nach Abschluss eines Mobilfunkvertrags sollten Sie bei Ihrem Provider eine sogenannte Drittanbietersperre für Ihre Handynummer beantragen. Die Drittanbietersperre bewirkt, dass WAP-Billing- und Direct-Carrier-Billing-Dienste und somit Abrechnungen über die Mobilfunkrechnung nicht mehr getätigt werden können.
Deswegen bieten die meisten Mobilfunkanbieter an, partielle, nur auf bestimmte Dienste bezogene Drittanbietersperren einzurichten. Denkbar wäre z. B. eine Drittanbietersperre auf Abos und Klingeltöne. Das alles lässt sich dann auch im Nachhinein wieder ändern. Im Übrigen muss die Drittanbietersperre von jedem Mobilfunkanbieter nach § 45d Telekommunika tionsgesetz (TKG) angeboten und für seine Kunden kostenfrei eingerichtet werden. Erkundigen Sie sich darüber, welche Art von Drittanbietersperre Ihr Provider vornimmt (Partiell oder All Or Nothing) und wie Sie die Drittanbietersperre einrichten. Das Internet bietet Ihnen hierfür wertvolle Hilfe, z. B. mithilfe der Suchbegriffe Drittanbietersperre und NameDesProviders. Übrigens: Eine eingerichtete Drittanbietersperre wirkt nur in die Zukunft. Wurden bereits zahlungspflichtige Bestellungen getätigt, wirkt sich die Einrichtung einer Drittanbietersperre hierauf nicht aus.
105
WAP-Billing bedeutet nicht per se etwas Schlechtes; viele Handynutzer kaufen auf diese Weise recht einfach und unkompliziert Apps, Musik, Parktickets, ÖPNV-Fahrkarten und vieles mehr mit dem Smartphone und bezahlen über ihre Mobilfunkrechnung. Würde nun eine allumfassende Drittanbietersperre eingerichtet werden, könnte der Kunde diese Dienste nicht mehr in Anspruch nehmen.
106 Bei einigen Providern kann man eine Drittanbietersperre nach Einloggen im Kundenportal selbst einrichten.
Freiwilliges Redirect der Mobilfunkanbieter Einige Mobilfunkanbieter haben ein Redirect-Verfahren eingeführt. Um ein Abo rechtsgültig abzuschließen, wird nach Antippen eines Werbebanners oder eines Buttons auf eine zwischengeschaltete Seite des Mobilfunkanbieters umgeleitet. Hier wird explizit auf die Kosten hingewiesen, die durch den Abschluss entstehen. Auf dieser Seite muss der Verbraucher nochmals das Abschließen des Vertrags bestätigen. Aber Achtung: Dieses Redirect-Verfahren bietet nicht jeder Provider, und zudem ist es auch nicht gesetzlich vorgeschrieben.
Tipp Überprüfen Sie Ihre monatliche Handyrechnung auf Unregelmäßigkeiten. Bei Prepaid-Verträgen sollten Sie sich die entsprechende App des Providers auf Ihr Mobilgerät herunterladen, um die Kosten stets im Blick zu haben.
107
Das Ganze gilt nicht nur für Smartphones, sondern auch für Tablets, WLAN-Hotspots und Surfsticks – also alle Geräte, in die eine SIM-Karte eingelegt ist, mit der Sie das Internet über einen mobilen Datentarif benutzen können.
108 Den Musterbrief an den Provider finden Sie unter www.verbraucherzentrale.de/sites/ default/files/migration_files/media239843A.pdf
• Durch einen einfachen Fingertipp auf ein in einer App aufpoppendes Werbebanner können Sie bereits in eine ungewollte Abofalle geraten. • Besteht zwischen Ihrem Mobilfunkanbieter und dem Werbetreibenden (dem sogenannten Drittan bieter) ein entsprechender Vertrag, werden Ihnen die Abokosten auf der Handyrechnung berechnet. • Damit es gar nicht erst so weit kommt, richten Sie eine Drittanbietersperre für Ihre Handy nummer ein. • Sollten Sie ungewollt in eine Abofalle geraten sein, nutzen Sie die Musterbriefe (siehe links und auf Seite 103), um die Zahlungen zu stoppen und die bereits eingezogenen Beträge zurückzufordern. • Lassen Sie sich von Ihrem Provider nicht einschüchtern. Zahlungspflichtige Vorgänge wie die hier beschriebenen stellen keine rechtsgültigen Verträge dar, und Sie haben Ihre vollen Verbraucherrechte. • Achten Sie darauf, dass die mobilen Daten an Ihrem Smartphone nicht permanent eingeschaltet sind, selbst wenn Sie sich eine Drittanbietersperre eingerichtet haben. Je nach Vertragsart können die eingeschalteten mobilen Daten auch noch andere ungewollte Kosten verursachen, z. B. wenn es kein oder nur ein begrenztes Datenvolumen gibt und man mehr Volumen teuer bezahlen muss.
Tipp Haben Sie bei Provider X eine Drittanbietersperre eingerichtet und wechseln unter Beibehaltung Ihrer Rufnummer zu Provider Y, richten Sie beim neuen Provider Y ebenso eine Drittanbietersperre ein. Die bei Provider X eingerichtete Sperre zieht nicht automatisch mit um.
109
Zusammengefasst: Kostenfalle Werbebanner
110 https://www.verbraucherzentrale.de/wissen/digitale-welt/mobilfunk-und-festnetz/ smswerbung-und-premiumsms-kurze-mitteilungen-hohe-rechnung-10368
Premium-Dienste und Premium-SMS
Durch das Versenden einer Premium-SMS wird es z. B. Zuschauern einer Fernsehsendung ermöglicht, sich für einen Kandidaten zu entscheiden oder an einem laufenden Gewinnspiel teilzunehmen. Jedenfalls ist das Versenden von Premium-SMS im Regelfall nicht durch den Handytarif abgedeckt, die dafür anfallenden Kosten werden separat in Rechnung gestellt. Premium-SMS sind ebenso wie die Premium-Dienste frei tarifierbar. So kann eine Premium-SMS auch schon mal mit 9,99 Euro zu Buche schlagen. Kostet eine Premium-SMS ab 2 Euro, ist der Dienstanbieter verpflichtet, dieses dem Kunden vor dem Versenden mitzuteilen, der das dann auch bestätigen muss. Aus diesem Grund kosten viele Premium-SMS 1,99 Euro.
Tipp Lassen Sie durch Ihren Provider den Anruf von Sonderrufnummern, insbesondere 0900er- Nummern, sperren. Das Versenden von Premium-SMS ist oftmals bereits mit dem Einrichten einer Drittanbietersperre unterbunden; erkundigen Sie sich sicherheitshalber bei Ihrem Provider.
111
Premium-Dienste bieten Ihnen eine Leistung, z. B. die Erstellung eines Horoskops, Geldanlageberatungen, Lebenshilfe, Erotik und vieles mehr – alles bei Anruf. Zu erreichen sind viele Premium-Dienste über teure 0900er-Sonderrufnummern. Hierzu muss man wissen, dass die Anruftarife bei 0900er-Nummern frei gestaltbar sind: Der Betreiber der Nummer legt fest, wie viel Sie zu bezahlen haben. Es gibt lediglich die Einschränkung, dass eine Verbindungsminute nicht mehr als 3 Euro kosten und ein Gespräch den Gesamtpreis von 30 Euro nicht überschreiten darf. Der Preis muss vorher angesagt werden. Abgerechnet wird auch wieder über die Telefonrechnung.
112 Die Gewerkschaft der Polizei informiert über PING-Anrufe unter https://www.polizei-dein-partner.de/themen/diebstahl-betrug/ detailansicht-diebstahl-betrug/artikel/betrugsmasche-ping-anruf.html.
Teure Anrufe auf Festnetz und Smartphone Nicht nur das Smartphone, auch das heimische Festnetztelefon kann zum Geldgrab werden. Immer mehr Betrüger machen sich die moderne Technik und die Gutgläubigkeit der Angerufenen zunutze, um ihre Betrugsmaschen einzusetzen. Drei Beispiele hierzu, die sowohl das Smartphone als auch das heimische Festnetztelefon betreffen, sind: • PING-Anrufe • Anrufe mit Bandansage • Call-ID-Spoofing
113
Mehr zu diesen Betrugsmethoden erfahren Sie auf den nächsten Seiten.
Tipp Seien Sie gegenüber unbekannten Anrufern misstrauisch, vor allem wenn diese Sie in ein längeres Telefonat verwickeln wollen und gleichzeitig Ungewöhnliches von Ihnen fordern. Das Ziel kann beispielsweise sein, dass Sie Ihre Kontodaten preisgeben. Auch sollten Sie nicht auf die freundliche Aufforderung eingehen, Ihren PC hochzufahren, um darauf irgendwelche Software zu installieren, deren Downloadlink Ihnen als E-Mail zugesandt wird. Sie sollten grundsätzlich sehr vorsichtig sein, selbst dann, wenn die Nummer des Anrufers keinen Verdacht erweckt. Seien Sie ausnahmsweise unhöflich und legen Sie ohne Wenn und Aber auf.
114 Screenshot eines Original-PING-Anrufs (orange), den ich auf meinem Smartphone erhalten und nicht angenommen habe
PING-Anrufe und Telefonate mit Bandansage Sie erhalten auf Ihrem Festnetztelefon oder Ihrem Handy einen Anruf. Es klingelt nur kurz, und es wird sogleich wieder aufgelegt – normalerweise noch bevor Sie abheben. Sie haben möglicherweise einen PING-Anruf erhalten. Auf Ihrem Telefon sehen Sie die Anrufernummer – Sie rufen zurück. Und landen damit in der Regel irgendwo im Ausland auf einer hochtariflichen Nummer (einer Art Premium-Dienst). Die Kosten werden Ihnen direkt in Rechnung gestellt.
Bei den Anrufen mit Bandansage erhalten Sie ebenfalls einen Anruf. Sollten Sie das Gespräch nicht angenommen haben, wird Ihnen ein Text auf die Mailbox oder den Anrufbeantworter gesprochen. Oftmals handelt es sich hier um Gewinnmitteilungen; um Einzelheiten zu klären, werden Sie aufgefordert, eine bestimmte Telefonnummer, meistens im Ausland, zurückzurufen. Sie werden in ein längeres Gespräch verwickelt oder einfach nur in der Warteschleife gehalten. Auch hier ist die Wahrscheinlichkeit groß, wieder bei einem frei tarifierbaren Premium-Dienst zu landen und gnadenlos abgezockt zu werden.
Tipp Melden Sie diese Art von Anrufen – wie auch das nachfolgend beschriebenen Call-ID-Spoofing – der Bundesnetzagentur unter https://www.bundesnetzagentur.de/_tools/RumitelStart/ Form04PingAnruf/node.html.
115
Was ist passiert? Die Anrufer spekulieren darauf, dass Sie zurückrufen. Oftmals ähneln die Anrufernummern tatsächlich einer deutschen Ortsvorwahl. Die internationale Vorwahl 00375 von Weißrussland zum Beispiel ähnelt der deutschen Vorwahl 0375 eines Orts in Sachsen. Somit kann ein zu schneller Blick auf die Anrufernummer zu Verwechslungen führen und ein unbedachter Rückruf die Kostenfalle zuschnappen lassen.
116 Dieses Video der Polizei NRW zeigt, wie Betrüger mit gefakten Telefonnummern gerade ältere Menschen verunsichern und dann bestehlen können. Zu finden unter https://polizei. nrw/medien/ohne-furcht-im-alter-der-falsche-polizist
Call-ID-Spoofing – der Trick mit der gefakten Nummer
Der Trick: Ohne sehr großen technischen Aufwand kann der Anrufer seine eigene Nummer manipulieren, das heißt, Sie sehen auf Ihrem Telefon nicht die eigentliche Rufnummer des Anrufers, sondern diejenige, die er sich selbst vergeben hat. Gibt er sich zum Beispiel als die örtliche Polizei aus (Sie sehen tatsächlich die entsprechende Nummer auf Ihrem Display) und Sie äußern Zweifel an der Glaubwürdigkeit, werden Sie vom Anrufer ermuntert, doch im Telefonbuch oder im Internet nach der Nummer der örtlichen Polizei zu schauen. Diese stimme mit der Nummer, die Sie auf Ihrem Display sehen, überein. Der Anrufer verspricht Ihnen, Sie in ein paar Minuten (nachdem Sie sich überzeugt haben) zurückzurufen. Ihren Rückruf lehnt er natürlich ab, denn sonst würden Sie ja bei der echten Polizei landen. Ihnen wird dann eine haarsträubende Geschichte aufgetischt: dass in Ihrem Wohnviertel eine Einbrecherbande unterwegs sei und man nun sämtliche Anwohner anrufe, um diese, im Fall eines Einbruchs, vor Verlust der im Hause befindlichen Barschaft und transportabler Wertgegenstände (Schmuck) zu schützen. Sie müssten nur einfach alles zusammenklauben, in einen Beutel legen und mit Namen beschriften. Dieser könne dann entweder an der Terrassentür deponiert werden (und würde durch die Streife abgeholt werden) oder den freundlichen Beamten in Zivil, die zu einem späteren Zeitpunkt zu Ihnen kämen, ausgehändigt werden. Ihr Haus wird von den Gaunern beobachtet, um zu sehen, ob Sie den Trick durchschaut und die richtige Polizei verständigt haben. Ist die Luft aber rein, werden die deponierten Gegenstände bei Ihnen abgeholt oder die freundlichen »Beamten« vorbeigeschickt.
117
Sie erhalten einen Anruf und sehen die Nummer des Anrufers. Dies ist möglicherweise sogar eine Ihnen bekannte Nummer, etwa die Ihrer örtlichen Polizei oder des Behördenzentrums. Auch hier werden Sie wieder zu ungewöhnlichem Handeln aufgefordert.
118
Werbung und Vertragsabschlüsse am Telefon Wer kennt sie nicht: Anrufe von Firmen, die Ihnen Waren, Abonnements, Dienstleistungen, Geldanlagen, Versicherungsverträge und vieles mehr aufdrängen möchten. Obwohl seit August 2009 das Gesetz zur Bekämpfung unerlaubter Telefonwerbung und seit Oktober 2013 das Anti-Abzocke-Gesetz in Kraft ist, schreckt es hartnäckige Unternehmen nicht davon ab, zum Telefonhörer zu greifen. Es kann z. B. sein, dass Sie von einer Firma zu Werbezwecken telefonisch kontaktiert werden, ohne dass Ihr vorheriges Einverständnis vorliegt. Solche Anrufe sind unzulässig. Ich selbst bin in solchen Fällen rigoros und lege kommentarlos auf.
Oder aber Sie haben sowieso bereits telefonischen Kontakt mit einem Unternehmen, um beispielsweise bestehende Vertragsmodalitäten oder anderes zu klären, und werden dann mit Werbung für ein weiteres Produkt oder für einen anderen Tarif konfrontiert oder zu einem Vertragsabschluss gedrängt. Es gibt viele unterschiedliche Formen der Telefonwerbung, mehr zu diesem Thema finden Sie auf der Seite der Verbraucherzentrale unter https://www.verbraucherzentrale.de/wissen/vertraegereklamation/werbung/telefonwerbung-13857. Auf Seite 121 möchte ich Ihnen einige grundsätzliche Verhaltenstipps für das Telefonieren mit auf den Weg geben, sollten Sie mit Telefonwerbung konfrontiert werden.
119
Es gibt auch Fälle, in denen Ihr Einverständnis zur Kontaktaufnahme vorliegt. Dies kann beispielsweise passiert sein, als Sie sich vorher dadurch einverstanden erklärt haben, dass Sie z. B. im Rahmen einer Gewinnspielteilnahme ein entsprechendes Kreuzchen gesetzt haben.
120 Der Deutsche Anwaltsverein klärt unter diesem Link über die Rechte bei telefonischen Vertragsabschlüssen auf: https://anwaltauskunft.de/magazin/wirtschaft/dienstleistung/ vertragsabschluss-am-telefon-das-sind-ihre-rechte?full=1
• Nimmt ein Unternehmen mit mir persönlich unerwünschten Telefonkontakt auf, lasse ich kein Gespräch zustande kommen. Ich lege ohne Wenn und Aber auf, bestätige auch nicht meinen Namen und beantworte auch keine Fragen wie: »Bin ich mit Herrn Schuh verbunden?« Denn ein Ja kann von Betrügern aufgezeichnet und dann als Zustimmung zu einem Vertrag genutzt werden. • Lassen Sie sich bei einem erwünschten Werbe-/Vertragsabschlussgespräch am Ende des Telefonats die besprochenen Inhalte zusammenfassen. Fertigen Sie hierbei Telefonnotizen an. • Oftmals nehmen Unternehmen diese Zusammenfassungen auch auf Band auf. Lassen Sie sich alles im Zweifelsfall noch einmal vorspielen. Korrekturen sind jederzeit möglich. Oder nehmen Sie das Gespräch Ihrerseits, z. B. mit dem Smartphone, auf. • Hatten Sie bislang noch keinen Kontakt mit dem Unternehmen, notieren Sie sich den Namen, die postalische Anschrift, den E-Mail-Kontakt, ob es eine Website gibt (siehe Kapitel 2, Die seriöse Website – der Schnellcheck, ab Seite 39), die Anrufertelefonnummer und den Anrufernamen. Und auch genau das Produkt, das beworben wird. • Sind Sie im Zweifel, bitten Sie um nochmaligen Anruf und führen vorher im Internet Recherchen zur Seriosität durch – nicht nur in Bezug auf die Firma, sondern auch hinsichtlich des Produkts, das man Ihnen verkaufen möchte. • Bitten Sie um die Zusendung des schriftlichen Vertrags binnen Wochenfrist. Dies kann z. B. auf postalischem Weg geschehen, per E-Mail oder Fax. Binnen Wochenfrist deshalb, weil Ihnen ein 14-tägiges Widerrufsrecht zusteht, es aber zu Verzögerungen kommen kann. Von unseriösen Firmen erhalten Sie, wenn überhaupt, erst nach 14 Tagen entsprechende Unterlagen. Oder eine Zusendung wird gänzlich verweigert. Dann ist es zu spät, von der Widerrufsfrist Gebrauch zu machen. • Stellt sich das Geschäft als unseriös heraus, bieten Verbraucherzentralen und Fachanwälte kompetente Hilfe. Es ist hilfreich, wenn Sie nicht mit leeren Händen kommen, sondern über Aufzeichnungen verfügen. Zeitnah von Ihnen gefertigte Telefonnotizen sind besser als nichts.
121
Verhaltenstipps zu telefonischen Verträgen
Kapitel 5 Unerwünschte E-Mails
Ein anderes Kreditunternehmen hat unregelmäßige Kontenbewegungen festgestellt und möchte gern, dass Sie sich über einen in der E-Mail befindlichen Hyperlink an Ihrem Konto anmelden, um die Unregelmäßigkeiten zu überprüfen. In weiteren E-Mails bekommen Sie kostengünstige Kreditangebote ohne vorherige Schufa-Überprüfung offeriert. In wieder anderen E-Mails werden exorbitant hohe Verdienstmöglichkeiten versprochen oder aber romantische Liebesabenteuer in Ihrer Nachbarschaft oder Region. Ein Paketdienst wiederum behauptet, Sie nicht angetroffen zu haben, und bietet an, dass Sie sich nun mithilfe der E-Mail um das weitere Vorgehen kümmern können. Mails von angeblichen Notaren und Anwälten fehlen genauso wenig wie Rechnungsmitteilungen von Telefonanbietern inklusive eines angehängten Dokuments, um sofort alles zu überprüfen. Manche dieser E-Mails landen direkt im Posteingang Ihres E-Mails-Accounts, manche im Unbekanntoder Unerwünscht-Ordner, einige auch im Junk-E-Mail-Ordner – je nach verwendetem Mailprogramm und ob Sie Ihre E-Mails direkt online abrufen (sich im Mailkonto über das Internet einloggen bzw. ein Add-on Ihres E-Mail-Anbieters in Ihrem Browser installiert haben) oder einen sogenannten Mailclient benutzen (Microsoft Outlook, Mozilla Thunderbird etc.). In diesem Kapitel erfahren Sie mehr über Betrugsversuche durch Phishing-E-Mails und über die Methoden CEO Fraud, Fake President und Fake Chef.
123
Sie kennen das: Nach und nach füllt sich Ihr E-Mail-Account mit E-Mails der verschiedensten Art. Einmal schreibt Sie ein Bankhaus mit dem Hinweis an, dass Ihr Kreditrahmen gesprengt sei und Sie sich dringend über einen Link in der E-Mail auf Ihrem Konto einloggen sollen, um alles wieder in Ordnung zu bringen.
124 Hat der Betrüger Zugang zu dem Sicherheitsbereich Ihres PayPal-Kontos, kann er hier Ihr Passwort ändern.
Nerviger Spam und gefährliche Phishing-E-Mails E-Mails, die massenhaft versendet werden, nennen sich Spam- oder Junk-E-Mails. Sie sind schlicht und ergreifend nervig, kommen sie doch unverlangt in Ihren E-Mail-Account. Der Großteil dieser E-Mails beinhaltet einfach nur Werbung und ist eher harmlos. Mittels eines oder mehrerer Hyperlinks werden Sie zu dem entsprechenden Werbetreibenden weitergeleitet. Phishing-E-Mails wiederum sind darauf ausgelegt, an die Nutzerdaten des Adressaten zu gelangen, um ihm Schaden zuzufügen – sei es ihm persönlich oder seinem Computer.
Sie erhalten eine E-Mail, die augenscheinlich vom Onlinebezahldienst PayPal stammt. Die Betrüger setzen darauf, dass ein Teil der Bevölkerung bereits Kunde bei PayPal ist und sich somit durch die E-Mail angesprochen fühlt. Ihnen wird vorgegaukelt, dass es zu unregelmäßigen Abbuchungsvorgängen gekommen sei und Sie sich mittels eines in der E-Mail befindlichen Hyperlinks in Ihrem PayPal-Account anmelden mögen, um entsprechende Überprüfungen vorzunehmen. Sie klicken auf den Hyperlink, landen auf einer gefälschten PayPal-Seite und loggen sich ein. Die Falle ist bereits zugeschnappt – die Betrüger haben nun Ihre Zugangsdaten, da Sie sich auf einer durch die Betrüger eigens erstellten Seite eingeloggt haben, die der PayPal-Seite täuschend ähnlich sieht. Die Betrüger wiederum loggen sich jetzt mit Ihren Zugangsdaten auf der richtigen PayPal-Seite ein, nehmen Geldtransfers vor oder bezahlen hochwertige Waren, die sie sich bestellt haben. In der Abbildung links sehen Sie den Sicherheitsbereich eines PayPal-Kontos. Hier kann ein Betrüger Passwörter ändern und andere sicherheitsrelevante Einstellungen vornehmen.
125
Folgendes Szenario:
1 2
126 Auf den ersten Blick eine Rechnung der Telekom, doch der Absender verschickt gefährliche Schadsoftware.
Phishing-E-Mails mit Anhang
Ein weiteres Beispiel: Sie erhalten eine E-Mail von der Telekom mit einer Rechnung. Auch hier gehen die Betrüger davon aus, dass es in Deutschland eine große Anzahl von Telekom-Kunden gibt, die sich angesprochen fühlen. Möglicherweise können Sie, wenn Sie genau hinschauen, an der Adres se erkennen, dass die Mail nicht von der Telekom stammt 1. Dieser Rechnungsmitteilung ist ein Anhang in Form eines DOC-Dokuments 2 beigefügt, mit dem Sie Ihre Telefonverbindungen angeblich sofort überprüfen können. Durch Öffnen dieses angehängten Dokuments wird, von Ihnen zunächst unbemerkt, Schadsoftware auf Ihren Computer aufgespielt und gestartet. Ihr PC ist nun möglicherweise mit einem Virus infiziert, in ein sogenanntes Bot-Netzwerk eingebunden, kann ferngesteuert, ausgelesen oder ganz gesperrt werden. Vielfältige Szenarien sind hier denkbar, und keines dieser Szenarien ist ungefährlich.
Tipp Sie erkennen auf den ersten Blick meist nicht, ob es sich um eine harmlose E-Mail mit nur Werbeinhalt handelt oder um eine gefährlichere Variante. Klicken Sie niemals auf einen Hyperlink und öffnen Sie nie einen Anhang, wenn Sie den Absender nicht persönlich kennen und die E-Mail nicht erwartet haben. Auch wenn Sie tatsächlich ein Konto bei der Telefonfirma oder dem Versandhaus haben, löschen Sie die Mail sofort. Danach gehen Sie zum Portal Ihres Anbieters, loggen sich ein und schauen nach, ob dort eine Nachricht für Sie ablegt wurde.
127
Oftmals ändern die Betrüger auch sofort Ihre Zugangsdaten und Sicherheitseinstellungen, um Sie von Ihrem eigenen Account »auszusperren«. Sie werden große Schwierigkeiten haben, das Ganze wieder in geordnete Bahnen zu lenken, was auch mit einem hohen Zeitaufwand verbunden ist, ganz zu schweigen von dem finanziellen Verlust.
128 Eine Phishing-E-Mail, mit der versucht wird, an Zahlungsdaten des Empfängers zu gelangen.
Merkmale einer Phishing-E-Mail Anhand der typischen Merkmale, die auf dieser und der nächsten Seite erläutert werden, können Sie Phishing-Mails gut erkennen:
• Rechtschreib- und Grammatikfehler. Diese finden sich immer noch in vielen Phishing-E-Mails, wie auch im Beispiel links. Hintergrund ist, dass viele Betrüger im Ausland sitzen, der deutschen Sprache kaum mächtig sind und sich den in ihrer Sprache erstellten E-Mail-Text durch ein Programm ins Deutsche übersetzen lassen. Typisch ist z. B. auch, dass die Umlaute ä, ö und ü falsch dargestellt werden. Oftmals findet sich nur der Grundvokal (a, o, u) oder die Umschreibung ae, oe, ue in den Texten. • Die persönliche Anrede fehlt. In den meisten Fällen fehlt die persönliche Anrede, oder Ihre E-Mail-Adresse ist als Anrede eingesetzt. Gewiefte Betrüger schreiben Sie jedoch persönlich an (falls Ihr Name bekannt ist), um somit eine höhere Seriosität vorzugaukeln. • Anhänge. An der E-Mail befinden sich Anhänge zum Öffnen, zumeist in den Formaten .pdf, .zip oder .doc(x) (siehe Abbildung auf Seite 126, 2). Öffnen Sie einen solchen Anhang keinesfalls! Entweder befindet sich darin ein Schadprogramm oder ein Formular, das Sie mit persönlichen Daten (Bankzugangsdaten, PINs, TANs oder Ähnliches) ausfüllen und übermitteln sollen.
Fortsetzung
129
• Die Absenderadresse entspricht nicht der offiziell bekannten Firmenadresse. Oftmals sieht man es gleich: Der Absender der E-Mail verwendet nicht die »offizielle« E-Mail- Adresse der jeweiligen Firma (siehe Abbildung auf Seite 126, 1).
130 Bei Verdacht auf Phishing können Sie den Absender sperren, hier unter Outlook 365.
Merkmale einer Phishing-E-Mail (Fortsetzung) • Drohgebärden, dringender Handlungsbedarf. »Wenn Sie nicht, dann …«. »Handeln Sie sofort, sonst verpassen Sie …«. Finden Sie solche oder ähnliche Sätze in einer E-Mail, werden Sie bitte stutzig. Beispielsweise wird Ihre Hausbank, falls Sie überhaupt E-Mails von dort erhalten, niemals solche Formulierungen innerhalb einer E-Mail verwenden.
Tipp Besteht auch nur der leiseste Verdacht, eine Phishing-Mail bekommen zu haben, empfehle ich, sie sofort zu löschen. E-Mail-Programme kann man dahin gehend sogar anlernen: So können offensichtliche Phishing- und Spam-E-Mails beispielsweise als Spam oder Junk gekennzeichnet werden, und natürlich können Sie den Absender gleich ganz sperren (siehe Abbildung links – hier am Beispiel von Microsoft Outlook 365). Ebenso ist es möglich, Regeln zu erstellen. Enthält die Betreffzeile oder der Text einer E-Mail ein bestimmtes Wort oder kommt die E-Mail von einem bestimmten Absender, kann man diese E-Mail zum Beispiel automatisch löschen oder durch das E-Mail-Programm in einen von Ihnen vorgegebenen Ordner automatisch verschieben lassen. Denken Sie auch daran, den Inhalt des Papierkorbs Ihres E-Mail-Programms regelmäßig zu löschen.
131
• Keine Geschäftsbeziehung. Falls Sie zum Absender keinerlei Geschäfts- oder sonstige Beziehungen pflegen oder gepflegt haben, löschen Sie die E-Mail getrost.
132
Jetzt bekomme ich Angst Auf der linken Seite sehen Sie eine E-Mail, die mich während des Schreibens dieses Buchs erreicht hat. Mir wird gedroht, ein Schmuddelvideo über mich im Internet zu veröffentlichen, wenn ich nicht einen gewissen Bitcoin-Betrag bezahle. Der Clou: Der Absender dieser E-Mail bin ich selbst! Was ist passiert? Wie Sie links nachlesen können, behauptet der Absender, einen Virus auf meinen PC geschleust zu haben, da es ihm nunmehr gelungen ist, mir E-Mails mit meiner eigenen Absender-E-Mail-Adresse übersandt zu haben.
Der Versender ist lediglich – wie auch immer – an meine E-Mail-Adresse gelangt. Mehr nicht. Diese hat er dann zum massenhaften Versenden seiner E-Mails missbraucht. Kopiere ich nun eine beliebige Zeile aus dieser E-Mail und recherchiere damit im Internet (durch Einfügen in eine Suchmaschine), komme ich sogleich zu einem eindeutigen Ergebnis: Es handelt sich um einen frei erfundenen E-Mail-Text, der jeglicher Grundlage entbehrt. Somit ab in den Papierkorb bzw. gleich ganz löschen. Sollte ein Hyperlink in einer solchen E-Mail vorhanden sein, bitte nicht anklicken oder sonstigen Kontakt aufnehmen! Und natürlich auch nichts über weisen! Für die technisch etwas Versierteren der folgende Hinweis: Nach einer Überprüfung des erweiterten E-Mail-Headers wird es sofort klar, dass diese E-Mail nicht vom eigenen E-Mail-Account stammen kann.
133
Es ist technisch einfach, E-Mails mit jedweder Absenderkennung zu versenden.
134 Informationen der Polizei zu CEO Fraud, zu finden unter https://www.polizei-beratung.de/themen-und-tipps/gefahren-im-internet/ceo-fraud/
CEO Fraud, Fake President, Fake Chef Unterschiedliche Begriffe – eine Bedeutung. Als CEO (Chief Executive Officer) bezeichnet man das geschäftsführende Vorstandsmitglied (Geschäftsführer/-in) bzw. den Vorstandsvorsitzenden eines Unternehmens. Das englische Wort Fraud bedeutet ins Deutsche übersetzt »Betrug«. Der Begriff Fake kommt ebenso aus dem englischen Sprachgebrauch und bedeutet »Fälschung«.
Meist haben die Betrüger auf irgendeine Art und Weise Kenntnisse über die Firmenstrukturen derjenigen Firmen, auf die sie es abgesehen haben. Die E-Mails werden gezielt versandt, und die darin enthaltenen Rechnungen oder Texte erregen zunächst beim Empfänger keinen Verdacht. Es sieht tatsächlich so aus, als käme die Anweisung der Überweisung von der Firmenspitze. Zahlungen werden veranlasst, das Geld ist weg. Diese Betrugsmasche hat ahnungslosen Mitarbeitern schon den Job gekostet, da sie ja tatsächlich in gutem Glauben gehandelt haben. Durch CEO Fraud werden in Deutschland ansässigen Unternehmen jährlich Millionenschäden zugefügt.
135
Es läuft auf ein und dasselbe hinaus: Der Betrüger gibt sich als Chef aus und versucht, die Mitarbeiter per E-Mail zu Geldtransfers auf meist ausländische Konten zu veranlassen. Hierbei sind oft diejenigen Mitarbeiter Ziel der Attacken, die auch tatsächlich an exponierter Stelle sitzen und die Ermächtigung haben, Geldtransfers zu tätigen. So können z. B. fingierte Rechnungen der Anlass für eine Zahlung sein, oder ein ausländischer Kooperationspartner muss kurzfristig monetär unterstützt werden – Gründe lassen sich viele finden.
136
Auch Vereine bleiben nicht verschont Dreister geht es kaum: Die Kassiererin eines Vereins erhält eine E-Mail von Ihrem Vereinsvorsitzenden. Die Form der E-Mail gibt keinen Anlass zu Bedenken. Stutzig macht sie jedoch der Inhalt: Demnach soll sie über das Vereinskonto einen hohen vierstelligen Eurobetrag an eine Privatperson überweisen. Nach persönlicher Rücksprache mit dem Vereinsvorsitzenden entpuppt sich diese E-Mail als Fälschung.
Dieser Betrugsmasche geht voraus, dass sich die Gauner mit den Firmen- und mittlerweile auch Vereinsstrukturen vertraut gemacht haben (wer Vorstand ist oder das Rechnungsbuch führt). Diese Informationen sind sehr leicht im Internet zu finden. Einen entsprechenden Zeitungsartikel dazu können Sie hier nachlesen: https://www.rnz.de/ nachrichten/region/polizeibericht-region_artikel,-meckesheim-das-muessen-sie-ueber-die-betrugsma sche-ceo-fraud-wissen-_arid,431334.html. Mehr über das Thema finden Sie auf der Seite von www.polizeiberatung.de unter https://www. polizei-beratung.de/themen-und-tipps/gefahren-im-internet/ceo-fraud/.
137
Dass diese Masche mittlerweile auch bei örtlichen Vereinen versucht wird, ist erschreckend. Darum: Machen Sie diese Betrugsmasche publik! Leiten Sie diese Informationen an die Verantwortlichen Ihres Vereins und auch an die Firma, in der Sie tätig sind, weiter.
Kapitel 6 Bedeutung und Schutz von persönlichen Daten Im Zusammenhang mit den persönlichen Nutzerdaten von Menschen wird gern die Metapher »Daten sind das Rohöl oder das Gold des 21. Jahrhunderts« bemüht. Das ist natürlich nicht ganz exakt, denn Gold und Rohöl sind endlich, Daten hingegen nicht. Der Vergleich soll eher verdeutlichen, dass mit dem Rohstoff Daten zweifelsohne unheimlich viel Geld verdient werden kann und tatsächlich auch verdient wird.
Der Begriff der Datensparsamkeit spielt in diesem Zusammenhang eine große Rolle. Denn mit dem sorgsamen Umgang mit persönlichen Daten kann man nicht früh genug anfangen. Dem Internet kommt dabei eine besondere Bedeutung zu. »Seit es das Internet gibt, sind wir alle unsterblich«, warnte ein renommierter Datenschützer schon in den 1990ern. Niemand glaubt ernsthaft, dass bei Google, Facebook & Co. jemand sitzt, der aktiv auf jedem Server und jedem Datenträger nachschaut, ob da noch Datenreste von mir vorhanden sind, sollte ich einmal die Löschung beantragen oder versterben. Die Datenvermeidung ist daher die zweite wichtige Aufgabe, will man seine Privatsphäre und damit sein von der Verfassung verbrieftes Recht auf informationelle Selbstbestimmung (erwähnt im sogenannten »Volkszählungsurteil« des Bundesverfassungsgerichts vom 15. Dezember 1983) wahrnehmen.
139
Aber wie funktioniert das alles? Wie gelangen Fremde, Firmen oder soziale Netzwerke an meine persönlichen Nutzerdaten, und wie werden diese dann genutzt, sprich, wie wird Geld mit den Daten verdient? Spannende Fragen, zu denen Sie Antworten auf den folgenden Seiten finden werden.
140
Der Wert unserer Daten 63,3 Milliarden US-Dollar: Dieser Reichtum wird in etwa, Stand Frühjahr 2019, dem Gründer von Facebook, Mark Zuckerberg, nachgesagt. Unterschiedliche Quellen veröffentlichen unterschiedliche Zahlen – wobei es hier auf ein paar Milliarden mehr oder weniger wirklich nicht ankommt. Dieses immens viele Geld hat Mark Zuckerberg dem Geschäftsmodell von Facebook zu verdanken: Daten sammeln, auswerten und passgenaue Werbung schalten, die von den werbenden Firmen bezahlt wird. Wie das funktioniert, lesen Sie auf den folgenden Seiten.
Laut unterschiedlichen Quellen betrug der Jahresumsatz von Facebook im Jahr 2018 55,8 Milliarden US-Dollar bei einem Jahresüberschuss von 22,11 Milliarden US-Dollar. Zu Facebook gehören unter anderem der digitale Fotodienst Instagram und der Messenger-Dienst WhatsApp. Instagram und WhatsApp wurden in den Jahren 2012 bzw. 2014 für insgesamt 20 Milliarden US-Dollar von Facebook gekauft. Trotz der hohen Gehälter für die vielen Mitarbeiter und trotz der Milliardenausgaben für Firmenaufkäufe verdient Facebook – Sie sehen es an den Zahlen – sehr viel Geld und rangiert unter den zehn wertvollsten Unternehmen weltweit.
141
Facebook ist das weltweit meistgenutzte soziale Netzwerk mit Sitz in Menlo Park, Kalifornien, USA. Facebook beschäftigt 35.587 Mitarbeiter (Stand Dezember 2018, Quelle: https://de.newsroom. fb.com/company-info/), wobei die Vorstände zweistellige Millionengehälter einstreichen und die meisten von ihnen ebenso dem »Klub der Milliardäre« angehören.
142 Wenn Sie Ihren Facebook-Account für das Einloggen in andere Internetdienste nutzen, sammelt Facebook auch hier Ihre Daten.
Soziale Netzwerke – mit Ihren Daten wird Geld verdient
Die Werbung, die Facebook schaltet, ist passgenau auf einen bestimmten Nutzerkreis abgestimmt. Und diese passgenaue Werbung kann eben nur präsentiert werden, wenn man viele persönliche Daten und Merkmale von seinen Nutzern erhoben hat. Dies ist der eigentliche Schatz des Unternehmens – die Daten der Nutzer oder genauer: das Wissen um deren persönliche Merk male. Je mehr man von sich preisgibt, je mehr man postet, liked, followed, teilt, zufügt, je öfter man jemandem zum Geburtstag gratuliert, je intensiver man signalisiert, an bestimmten Veranstaltungen Interesse zu haben, desto mehr wächst das persönliche Nutzerprofil an. Und mit diesem wiederum wird Geld verdient. Auf der Seite https://www.facebook.com/business/ lässt sich eine Werbeanzeige erstellen. Es kann ausgewählt werden, welche Art von Werbung man schalten möchte. Zudem kann man die Zielgruppe definieren – und zwar nicht nur geschlechts-, alters- oder wohnortspezifisch, es kommen auch persönliche Merkmale wie z. B. die bevorzugte Automarke, die Lieblingsurlaubsregion, der Studien- oder Berufsabschluss oder der ausgeübte Beruf ins Spiel. Marketingstrategen einer werbewilligen Firma streuen nicht blind ihre Werbung auf Facebook, sondern wählen mit Bedacht ihre Zielgruppe nach persönlichen Merkmalen aus. So kommt passgenaue Werbung zu den Nutzern, und Facebook verdient daran.
143
Im April 2018 musste Mark Zuckerberg vor insgesamt 40 US-Senatoren die Datennutzung von Facebook rechtfertigen, Hintergrund war ein vorausgegangener Datenskandal. Auf die Frage des 84-jährigen Senators des Bundesstaats Utah, Orrin Hatch, wie Facebook eigentlich Geld einnehme, da es doch nichts koste, antwortete ein lächelnder Zuckerberg: »Senator, we run ads« – »Senator, wir schalten Werbung.« Falls Sie sich die Frage und die Antwort einmal anschauen wollen: https:// www.youtube.com/watch?v=GGTWUOxkfGQ.
144 Wenn Sie Ihren Facebook-Account für das Einloggen in andere Internetdienste nutzen, sammelt Facebook auch hier Ihre Daten.
Facebook als Jäger und Sammler Eine Partneragentur, die damit wirbt, gebildete Menschen zu vermitteln, möchte z. B. Werbung auf Facebook oder Instagram schalten und wählt die folgenden persönlichen Merkmale der Adressaten: Männliche und weibliche Akademiker, die zwischen 35 und 50 Jahre alt und Single sind bzw. getrennt leben. Die Wohnorte sollen München, Berlin, Hamburg oder Großstädte des Ruhrgebiets sein (eventuell inklusive des Umlands in einem Radius von 20 Kilometern). Vorlieben für Sportwagen oder Fern- und Luxusreisen sollten vorhanden sein.
Hier wird deutlich, dass Facebook die Daten seiner Nutzer nicht direkt an Dritte verkauft, sondern mit den Daten und persönlichen Merkmalen der Nutzer Geld verdient. Denn diese Nutzerdaten, die auf vielfältigste Weise nach kompliziertesten Algorithmen erhoben werden, sind der wahre Schatz des Unternehmens. Und damit alles auch mit den datenschutzrechtlichen Bestimmungen konform ist, wurde jeder Facebook-Nutzer freundlich aufgefordert, den ab dem 25. Mai 2018 geltenden datenschutzrechtlichen Bestimmungen (DSGVO) zuzustimmen. Ansonsten könnte er diesen Dienst nicht mehr nutzen. Love it or leave it. Facebook stehen jedoch nicht nur seine eigenen Nutzer als Datenquelle zur Verfügung. Mittlerweile muss man sich z. B. in diversen Onlineshops oder auf anderen Seiten im Internet, zu denen ein persönlicher Zugang eigentlich Voraussetzung ist, gar nicht mehr die Mühe machen, einen solchen anzulegen. Das Einloggen über den Facebook-Account ist ebenso möglich. Dadurch weiß Facebook, wann Sie wo was eingekauft oder sich angeschaut habe. Loggen Sie sich per Facebook-Account auf www.pinterest.de ein (siehe Abbildung links), erfährt Facebook, für welche Themengebiete Sie sich auf Pinterest interessieren oder bei welchen Themen Sie »Merker« setzen.
145
Genau dieser Personenkreis bekommt dann die entsprechende Werbung angezeigt.
146 Pinterest weist hier auf den Datenaustausch mit Facebook oder Google hin.
Das persönliche Nutzerprofil wächst und wächst So ganz nebenbei wird das persönliche Nutzerprofil ständig umfangreicher. Es erfolgt ein (nicht nur einseitiger) Datenaustausch – so erhält Pinterest auch Informationen aus meinem Facebook-Account (siehe Abbildung links).
Ich möchte an dieser Stelle nicht speziell Facebook kritisieren, ich nutze es ja schließlich selbst. Nur – wer das Prinzip Facebook verstanden hat, der versteht das Prinzip des Datensammelns durch Internetfirmen und die dazugehörigen Verdienstmöglichkeiten. Ich darf nochmals an die Antwort des Herrn Zuckerberg erinnern, wie Facebook denn sein Geld verdiene: »Senator, wir schalten Werbung.« Sei es nun das soziale Netzwerk, das die Daten der Nutzer selbst zum Geldverdienen verwendet, oder seien es andere Unternehmen, die online Ihre Daten sammeln, um diese dann an Datensammeldienste weiterzugeben, an der Datenwertschöpfungskette sind viele beteiligt – übrigens alles mal mehr und auch mal weniger im Einklang mit den einschlägigen datenschutzrechtlichen Vorschriften.
147
Dies gilt freilich nicht nur für Facebook bzw. die sozialen Netzwerke, es gilt für das gesamte Internet. Je mehr Sie im Internet unterwegs sind und z. B. Suchmaschinen wie Google nutzen, je häufiger Sie Preisvergleichsportale bemühen, je mehr Sie sich an Foren und Gewinnspielen beteiligen sowie YouTube-Videos zu bestimmten Themen anschauen, desto größer ist die Datenspur, die Sie legen.
148
Aber ich habe doch nichts zu verbergen Die Firmen verdienen mit meinen Daten Geld, dafür kann ich die Dienste kostenlos nutzen – ein fairer Deal, könnte man meinen. Es geht hier aber nicht um die Beurteilung eines Geschäftsmodells, sondern um das oben bereits erwähnte Recht auf informationelle Selbstbestimmung. Der Grundgedanke des deutschen und europäischen Datenschutzes ist: »Meine Daten gehören mir, und ich entscheide, wer sie erhebt, speichert, weiterverarbeitet und nutzt.«
Zudem haben die Geheimdienste rechtlich Zugriff auf diese Daten – angesichts unserer Gestapound Stasi-Vergangenheit wird einem bei dem Gedanken schon etwas mulmig in der Prozessor gegend.
1
»Facebook muss 110 Millionen Euro Strafe zahlen«, siehe Zeit-Artikel vom 18. Mai 2017, https://www.zeit.de/digital/ datenschutz/2017-05/datenschutz-facebook-whatsapp-uebernahme-eu-kommission-strafe.
2
Cambridge Analytica hat angeblich widerrechtlich eine Schnittstelle in einer App genutzt, siehe z. B. Süddeutsche Zeitung, https://www.sueddeutsche.de/digital/datenmissbrauch-was-ist-eigentlich-gerade-bei-facebook-los-1.3932349. Aber auch sonst ist Facebook nicht frei von Datenpannen: 540 Millionen Kundendaten betroffen, siehe https://www.tagesschau.de/ wirtschaft/facebook-daten-cloud-103.html.
149
Facebook hat die Menschen und Behörden belogen, als sie beteuerten, nicht auf die Nutzerdaten von WhatsApp zugreifen zu wollen.1 Auch hat Facebook die Nutzung seiner Daten nicht im Griff, siehe den Datenskandal um Cambridge Analytica.2 Mithilfe von Facebook und WhatsApp wurden Menschen und Wahlen manipuliert. Wo bleibt da das eigene Recht auf informationelle Selbstbestimmung?
150 Bitte nichts hinterlassen – mit Ausnahme Ihrer Fußabdrücke!
Datensparsamkeit Durch die Anwendung ausgefeilter Algorithmen werden die Datensätze der Internet- und Social-Media-Nutzer mehr und mehr angereichert. Darum ist Datensparsamkeit das oberste Gebot. • Überlegen Sie, was Sie auf sozialen Medien in Ihrem persönlichen Nutzerprofil alles von sich preisgeben. • Seien Sie vorsichtig, wenn Sie sich zu Persönlichem im Internet und auf sozialen Netzwerken öffentlich äußern. • Verwenden Sie datensparsame Suchmaschinen, z. B. Startpage. • Überlegen Sie, ob Sie bei einer Neuregistrierung (z. B. in einem Onlineshop) auch freiwillige Angaben zu Ihrer eigenen Person machen wollen oder nur die wirklich notwendigen Informationen hinterlegen sollten. • Lesen Sie sich die AGB von Diensten und Dienstleistern durch, zumindest was die Weitergabe der persönlichen Daten an Dritte (Werbetreibende und Datensammeldienste) anbelangt, und verzichten Sie im Zweifelsfall auf den Dienst oder die Dienstleistung, wenn Ihnen die Verwendung Ihrer Daten zu weit geht.
151
Das können Sie tun:
152 Den privaten Modus von Firefox nutzen.
Datenvermeidung Am sichersten sind meine Daten bei mir – wenn ich die Geräte beherrsche. Oft gibt man unbewusst Daten von sich weiter, die Rückschlüsse auf einen selbst und das eigene Verhalten zulassen. Die IP-Adresse und weitere Daten wie Betriebssystem, Browserhersteller des Rechners etc. werden an fremde Websites übertragen. Mein Handy funkt in die USA, wann ich es ein- und ausschalte, die Taschenlampen-App zeichnet meine Standorte auf – die Liste ist beliebig verlängerbar. Mit jedem neuen Gerät und jeder neuen Anwendung verliert man mehr Kontrolle über seine Daten.
Das ist die eine Seite. Die andere betrifft die Voreinstellungen der Geräte und Programme. Der »private Modus« ist beim Surfen im Internet schon einmal ein Anfang. Beim Browser Firefox z. B. löscht der private Modus automatisch Ihre Surfinformationen (z. B. Passwörter, Cookies und Chronik) und hinterlässt keine Spuren, wenn Sie Ihre Sitzung beenden (siehe Abbildung links). Auch die Apps auf dem Smartphone brauchen in seltensten Fällen Zugriff auf Ihre Kontakte oder Ihren Standort. Oder will etwa die auf meinem Smartphone installierte Wasserwaagen-App eine Meldung an meine Frau schicken, weil ich die Schränke zu Hause nicht gerade aufbaue? Es würde ein eigenes Buch erfordern, die wesentlichen Geräte und Anwendungen und ihre datenfreundlichen Einstellungen zu erläutern. Eins würde mich aber schon sehr freuen: Denken Sie, wenn Sie ein neues Gerät anschaffen oder eine neue Anwendung installieren, immer auch an die Verwendung Ihrer Daten.
153
Was tun? Datenvermeidung heißt als Erstes: Geräte vermeiden. Wer kein Smartphone besitzt, von dem können auch keine Standortdaten irgendwohin gesendet werden. Nun ist das nicht für jeden die Lösung. Vielleicht muss aber nicht jedes Foto mit einem Geotag versehen werden. Auch braucht mein Fernseher nicht unbedingt einen eigenen Internetzugang.
Kapitel 7 Den PC sicher einrichten
Davon ausgehend, dass Sie Privatanwender sind und für die Administration Ihrer Geräte nicht auf Profis zurückgreifen können oder möchten, gebe ich Ihnen einige Tipps dazu an die Hand, wie Sie einen Grundschutz für Ihre Geräte herstellen und auf was Sie sonst noch in puncto Sicherheit achten sollten. Aus Platzgründen können leider nicht alle zur Verfügung stehenden Sicherheitsvorkehrungen angesprochen werden, aber Sie lernen die aus meiner Sicht wichtigsten Maßnahmen im Folgenden kennen. Meine Beschreibungen beziehen sich im PC-Bereich auf das Betriebssystem Microsoft Windows 10 in der Home-Version. Windows 10 Home ist im deutschsprachigen Raum das am meisten verbreitete PC-Betriebssystem für Privatanwender.
155
Neu gekaufte Computer weisen von Hause aus nicht den benötigten Schutz auf, um sie risikolos zu betreiben, insbesondere dann, wenn mit ihnen das Internet genutzt wird. Sie als User sollten, nein, Sie müssen für einen Grundschutz Ihrer Geräte gegen Angriffe von außen sorgen. Grundschutz deswegen, weil es den 100%igen Schutz eines internetfähigen Geräts überhaupt nicht gibt. Es wäre unseriös, eine solche Aussage zu treffen.
156
Schutz unter Windows 10 Wer mit einem Windows-PC, der keinen ausreichenden Antivirenschutz installiert hat, im Internet intensiv surft, fängt sich im Handumdrehen Trojaner, Viren oder andere Schadsoftware ein.
Die Firma Microsoft entwickelt das Betriebssystem Windows 10 ständig weiter. Waren bei älteren Windows-Versionen und auch noch in den Anfängen von Windows 10 Schutzprogramme und -mechanismen entweder gar nicht vorhanden oder nur sehr unzuverlässig, reichen heutzutage die Windows-eigenen Bordmittel aus, um einen adäquaten Schutz herzustellen. Dies gilt natürlich nur, sofern alle Updates, die Windows zur Verfügung stellt, auch ordnungsgemäß installiert wurden und werden. Eine zentrale Rolle spielt das Windows Defender Security Center (siehe Abbildung links). Es beinhaltet nicht nur einen Antivirenschutz (Defender), sondern auch diverse weitere Schutzfunktionen, die zur Sicherheit Ihres PC beitragen. Die Oberfläche erinnert an das Kontrollcenter vieler Internet-Security-Suiten (Internetschutzprogramme). Die allerwichtigsten der Funktionen des Windows Defender Security Center lernen Sie auf den folgenden Seiten kennen.
157
Dies dauert keine Tage oder Stunden. Experten sprechen von nur wenigen Minuten, die irgendein Schädling benötigt, um sich auf einem ungeschützten Windows-PC einzunisten. Und dieser wiederum kann auf Ihrem Rechner immensen Schaden anrichten, je nachdem, um was für eine Art von Schädling es sich handelt.
158
Antivirenprogramme 1 Das renommierte Magazin für Computertechnik, c’t, gibt in seiner Ausgabe 15/2018 dem Win dows-eigenen Antivirenprogramm Defender recht ordentliche Bewertungen, nachdem dieser, neben anderen Antivirenprogrammen, ausgiebig von zwei auf Antivirenprogramme spezialisierten Prüflabors getestet wurde.
Öffnen Sie zum Beispiel durch Drücken der Tastenkombination (œ)+(I) die Windows-Einstellungen (es gibt noch andere Möglichkeiten, diese zu öffnen). Dort erhalten Sie nach Anklicken von Update und Sicherheit ➝ Windows-Sicherheit einen Überblick über die verschiedenen Schutzbereiche. Sie sehen idealerweise grüne Häkchen für alle für Sie relevanten Bereiche (siehe Abbildung links). Öffnen Sie einmal das Windows-eigene Antiviren-Programm durch Anklicken von Viren- & Bedrohungsschutz. Selbstverständlich eignen sich auch Antivirenprogramme anderer namhafter Hersteller, wie z. B. Symantec Norton, Kaspersky, McAfee oder Avira, um Ihren Computer gegen Viren zu schützen.
159
Der Defender ist ein Echtzeitschutz gegen Gefahren, die von Schadsoftware in E-Mails, im Internet (World Wide Web) und in Apps (Programmen) ausgehen. c’t zieht in Bezug auf den Defender dieses Resümee: »Es gibt wenig Gründe, unter Windows 10 einen anderen Virenscanner zu installieren.«
3 4 160
1 2
Antivirenprogramme 2 Ein Antivirenschutz ist nur dann wirksam, wenn die aktuellen Virendefinitionen vom Hersteller der Antivirensoftware zur Verfügung gestellt und auch heruntergeladen und installiert werden. Das Herunterladen und Installieren sollte ohne weiteres Zutun des Benutzers geschehen und somit automatisch erfolgen. Veraltete Virendefinitionen auf dem PC bringen schlicht und ergreifend nichts gegen aktuelle Bedrohungen.
Unabhängig von den durch den Defender automatisch durchgeführten Überprüfungen auf Schadsoftware oder andere Schädlinge können Sie eine solche Überprüfung auch manuell durchführen. Entweder führen Sie eine Schnellüberprüfung 3 durch oder eine erweiterte Überprüfung 4 mit verschiedenen auswählbaren Unteroptionen.
Tipp Unabhängig davon, ob Sie sich für den Defender oder ein anderes Antivirenprogramm entschieden haben: Überprüfen Sie von Zeit zu Zeit manuell, ob sich die Virendefinitionen auf dem neuesten Stand befinden, und führen Sie ebenso von Zeit zu Zeit manuelle, erweiterte und tiefer greifende Überprüfungen durch.
161
Windows sorgt bei bestehender Internetverbindung dafür, dass die aktuellen Virendefinitionen des Defenders heruntergeladen und installiert werden, sodass laut Microsoft ein Echtzeitschutz gewährleistet ist. Sie selbst können die Aktualität der Virendefinitionen überprüfen (Abbildung links, 1). Durch Anklicken von Nach Updates suchen 2 ist es Ihnen darüber hinaus möglich, manuell nach Updates zu suchen.
162
Die Firewall Zu den grundlegenden Schutzmechanismen innerhalb von Windows 10 gehört neben dem Defender die betriebssystemeigene Firewall, zu Deutsch Brandmauer. Eine softwarebasierte Personal Firewall ist, vereinfacht erklärt, ein Sicherheitssystem, das den Datenfluss, zum Beispiel zwischen Ihrem PC und dem Internet, kontrolliert und überwacht. Anhand festgelegter Regeln verhindert sie unerlaubte Netzwerkzugriffe von außen auf Ihren PC.
Die Einstellungen für die Firewall finden Sie im Defender Security Center unter Firewall & Netzwerkschutz (siehe Abbildung links). Von Hause aus ist die Firewall bereits eingerichtet und betriebsbereit. Ist auch hier alles in Ordnung, finden Sie wiederum grüne Häkchen an den betreffenden Stellen (siehe Abbildungen auf Seite 158 und links). Es ist für den Privatanwender nicht unbedingt erforderlich, Einstellungen an der Windows-Firewall vorzunehmen. Falls Sie die voreingestellte Konfiguration der Firewall abändern wollen, sollten Sie sich unbedingt vorher kundig machen oder einen Fachmann oder eine Fachfrau zurate ziehen.
163
Das Vorhandensein und der Betrieb einer Firewall sind auf einem Windows-PC essen ziell. In Bezug auf die Windows-10-eigene Firewall kann für Sie als Privatanwender die Empfehlung ausgesprochen werden, diese auch zu benutzen. Es ist nicht notwendig, sich extra Firewall-Apps herunterzuladen und zu verwenden.
164
Weitere Sicherheitsmechanismen unter Windows 10 Home Das Defender Security Center bietet Ihnen über den Antivirenschutz und die Firewall hinaus noch weitere Schutzoptionen, mit denen Sie Ihren PC schützen können. Erkunden Sie hierzu das Defender Security Center und klicken Sie auf die dort integrierten Hilfe- und Informationsfunktionen. Sie werden zu Internetseiten von Microsoft weitergeleitet und erhalten genaue kontextbezogene Erläuterungen.
Nach Öffnen der Windows-Einstellungen mithilfe der Tastenkombination (œ)+(I) und anschließendem Klick auf Update und Sicherheit finden Sie in der Kategorie Windows Update den aktuellen Stand des Updates Ihres Windows-Betriebssystems (siehe Abbildung links). Auf der Seite des Bundesamts für Sicherheit in der Informationstechnik für Bürger unter https://www. bsi-fuer-buerger.de erhalten Sie darüber hinaus wertvolle Tipps zum Herstellen eines Basisschutzes für Ihren PC.
165
An dieser Stelle weise ich Sie ausdrücklich darauf hin, dass diese Windows-eigenen Schutzmechanismen nur dann greifen und aktuell sind, wenn Sie regelmäßig Windows-Updates durchführen. Dies geschieht unter Windows 10 Home automatisch, wenn Sie nicht aktiv die automatische Updatefunktion eingeschränkt bzw. blockiert haben.
166 Mein eingerichtetes Standardkonto
Benutzerkonten unter Windows Kaufen Sie einen PC oder Laptop, auf dem Windows 10 bereits vorinstalliert ist, oder installieren Sie Windows 10 selbst auf einem solchen Gerät, ist standardmäßig ein sogenanntes Administratorkonto angelegt.
Es empfiehlt sich daher, seinen Windows-PC nicht unter dem Administratorkonto zu betreiben, sondern sich separat ein Standardkonto anzulegen und sich unter diesem in Windows anzumelden. Möchten Sie dennoch irgendetwas unter Ihrem Standardkonto erledigen, das Administratorrechte erfordert (etwa ein Programm bzw. eine App installieren oder auch bestimmte Systemeinstellungen festlegen), werden Sie zur Eingabe Ihres Administratorpassworts aufgefordert. Unter dem Standardkonto lassen sich beispielsweise Systemeinstellungen verändern, die keine Auswirkungen auf die Sicherheit des Systems haben. Zu nennen ist hier etwa das Abändern des Bildschirmhintergrunds. Ein Standardkonto lässt sich einrichten durch Öffnen der Windows-Einstellungen per (œ)+(I) und die Auswahl von Konten.
167
Die Verwendung von Windows 10 unter einem Administratorkonto bedeutet, dass Sie umfassenden Zugriff und vor allem auch umfassende Berechtigungen auf Ihrem Rechner haben und damit die vollständige Kontrolle. Installieren Sie z. B. ein Programm oder eine App auf Ihrem PC unter Ihrem Administratorkonto, müssen Sie dafür kein weiteres Passwort mehr eingeben. Im Umkehrschluss heißt das aber auch, dass eventuell auf Ihrem Rechner befindliche Schadsoftware oder andere unliebsame Programme sich quasi uneingeschränkt auf Ihrem Rechner installieren und breitmachen können.
168
Browsereinstellungen Zum Surfen im Internet wird ein Browser benötigt. Bei Windows 10 ist standardmäßig der Browser Microsoft Edge vorinstalliert. Unabhängig davon, ob Sie diesen benutzen oder sich einen separaten Browser wie z. B. Chrome, Firefox oder Opera installiert haben, können Sie gewisse Einstellungen vornehmen, die die Sicherheit erhöhen. Das gilt sowohl bei der Verwendung eines PCs oder Laptops als auch beim Surfen per Smartphone oder Tablet mit dem darauf installierten Browser.
Für alle Browser gilt, dass man zuweilen die durch den Browser angelegten Daten löschen sollte. Dies sind beim Browser Edge der Browserverlauf, die Cookies und gespeicherten Websitedaten, die zwischengespeicherten Daten und Dateien, der Downloadverlauf, die Kennwörter und einiges mehr. Wenn Sie sich unsicher sind und möglicherweise Angst haben, etwas zu verstellen, ohne zu wissen, wie es wieder rückgängig gemacht wird, machen Sie von den Voreinstellungen sogenannte Screenshots. Windows bietet mit dem Snipping Tool das hierfür geeignete Bordmittel. Mit den Screenshots können Sie dann immer wieder nachvollziehen, wie der Browser voreingestellt war. Das Snipping Tool finden Sie, indem Sie das Wort »snipping« in das Suchfeld eintippen (Ihr eingegebener Text erscheint in einem kleinen Eingabefeld am linken unteren Bildschirmrand). Das Tool wird angezeigt und lässt sich durch Anklicken öffnen.
169
Um Modifizierungen vorzunehmen, drücken Sie im Browser Edge die Tastenkombination (Alt)+(X) und klicken mit der Maus unter Einstellungen auf Datenschutz und Sicherheit und/oder auf Kennwörter & AutoAusfüllen. Auf der folgenden Seite werde ich Ihnen einige Einstellungen vorstellen. Selbst die besten Einstellungen bieten natürlich keinen hundertprozentigen Schutz, dies sollten Sie immer im Hinterkopf behalten.
170 Hier können Sie im Browser Edge den InPrivate-Modus einschalten.
Einstellungen bei Microsoft Edge Sie erhalten nun einige Hinweise zur Nutzung des Microsoft-eigenen Browsers Edge. Die nachfolgend beschriebenen Einstellungen finden Sie allesamt im Einstellungsmenü des Browsers und hier in den Unterkategorien Datenschutz und Sicherheit bzw. Kennwörter und AutoAusfüllen.
Cookies: Diese kleinen »Kekse« sind winzige Textdateien, die auf Ihrem PC gespeichert werden. Sie werden von der besuchten Website auf Ihrem Rechner abgelegt. Die Website kann so erkennen, wann Sie sie zuletzt besucht haben. Daneben gibt es Drittanbietercookies, die auf Ihrem PC abgespeichert werden, obwohl Sie die Ursprungsseite nie besucht haben. Sie dienen größtenteils der Nachverfolgung von Onlinetätigkeiten, dem Online-Tracking. Ich empfehle daher, Cookies regelmäßig zu löschen oder erst gar nicht zu erlauben, dass Cookies gesetzt werden. Allerdings kann man die meisten Websites ohne Cookie-Erlaubnis nicht aufrufen bzw. vollständig verwenden. Surfen Sie im InPrivate-Modus: Durch die Tastenkombination (Strg)+(ª)+(P) öffnet sich im geöffneten Browser ein InPrivate-Fenster (siehe Abbildung links). In diesem Modus werden die Brow serdaten, wie Cookies, Surfverlauf oder temporäre Internetdateien, nicht gespeichert; sie werden nach dem Schließen des Browsers gelöscht. Kennwörter und AutoAusfüllen: Beim Besuch von Websites, bei denen Sie sich anmelden müssen, werden Sie von Ihrem Browser gefragt, ob Ihr Benutzername und das Kennwort gespeichert werden sollen. Dies ist zwar eine bequeme Option, sie kann aber auch gefährlich sein, vor allem wenn der PC von mehreren benutzt wird oder z. B. am Arbeitsplatz steht. Ich selbst nutze diese und auch die AutoAusfüllen-Funktion (der Browser merkt sich hierbei auszufüllende Formularfelder) nicht.
171
Nutzen Sie den Windows Defender SmartScreen: Durch dessen Einsatz wird Ihr Computer vor schädlichen Websites und Downloads geschützt.
172 Von links nach rechts: Google Chrome, Mozilla Firefox und Opera
Weitere gängige Webbrowser unter Windows Weitere verbreitete Webbrowser, die unter Windows eingesetzt werden können, sind Chrome aus dem Hause Google, Firefox von Mozilla und Opera von Opera Limited. Auch diese Browser bieten ähnliche Einstellmöglichkeiten, wie sie beim Browser Edge beschrieben wurden. Mehrmals im Jahr werden die Browser Edge, Chrome, Firefox und Opera im Auftrag verschiedener PC-Zeitschriften Tests unterzogen. Testkriterien sind z. B. die Browsersicherheit, das Handling, die Erweiterbarkeit durch Add-ons und auch die Schnelligkeit, in der Websites aufgebaut werden.
Edge hat z. B. den Vorteil, dass er vollständig in das Windows-System integriert ist. Opera ist bekannt für seinen äußerst schnellen Websiteaufbau. Wollen Sie Ihre Browserlesezeichen und Favoriten auf allen Ihren Geräten synchron halten, könnte der Griff zu Chrome oder Firefox nützlich sein – Synchronisierung leicht gemacht.
173
Den einen Browser, den man aufgrund der Veröffentlichung dieser Testergebnisse unbedingt empfehlen müsste, gibt es meiner Meinung nach nicht. In den getesteten Kategorien gibt es keine Ausfälle nach unten, vor allem nicht in puncto Sicherheit. Es liegt somit am Anwender, für welchen Browser er sich entscheidet, um das World Wide Web zu erkunden.
174 GUI mit umfangreichen Einstellungsmöglichkeiten
Der Internetrouter: sicherheitsrelevante Einstellungen
Jeder Internetrouter bietet Ihnen eine grafische Benutzeroberfläche oder auch GUI (Graphical User Interface). Ist der IR korrekt angeschlossen und z. B. ein Laptop im Netzwerk eingebunden, kann über den Internetbrowser des Laptops die GUI angewählt werden. Ich selbst betreibe eine FRITZ!Box als IR und kann die GUI entweder durch Eingabe von »fritz.box« oder der IP-Adresse (bei FRITZ!Boxen ab Werk stets http://192.168.178.1) in der Adresszeile meines Browsers aufrufen. Zum Nachvollziehen dieser Schritte lesen Sie die Bedienungsanleitung Ihres IR. Haben Sie keine Anleitung zur Hand, finden Sie sie auf der Website des Gerätehersteller zumeist als PDF zum Herunterladen. Damit keine Fremden auf Ihren IR zugreifen können (z. B. durch Ablesen des rückseitig aufgedruckten WLAN-Passworts und Einloggen in Ihr WLAN), rate ich Ihnen, folgende Einstellungen vorzunehmen: • Vergeben Sie für die GUI ein Passwort, sodass nicht jeder, der sich in Ihrem Netzwerk befindet (etwa ein Bekannter, dem Sie Ihr WLAN-Passwort gegeben haben) auf Ihren IR zugreifen und somit auch Veränderungen vornehmen kann. • Ändern Sie das auf der Rückseite des IR abgedruckte WLAN-Passwort in ein eigenes. Ver geben Sie außerdem einen neutralen Namen für Ihr WLAN – zumeist ist der werkseitig voreingestellte Name des WLAN gleichzeitig der Routername (wie im Bild links zu sehen). • Richten Sie für Gäste, die Ihr WLAN benutzen möchten, einen Gastzugang ein. • Halten Sie die Gerätesoftware (Firmware) Ihres Routers stets aktuell; dies geschieht bei den meisten Routern automatisch und ohne weiteres Zutun. Manche Modelle verlangen jedoch ein manuelles Update. Überprüfen Sie im letzteren Fall regelmäßig, ob Updates vorhanden sind und eingespielt werden können.
175
Der Internetrouter (IR) ist das Gerät, das bei Ihnen als »Empfangs- und Sendezentrale« dient. Er verwaltet die daran angeschlossenen internetfähigen Geräte (PC, Laptop, Tablet, Smartphone, Spielekonsolen, aber auch das Telefon).
Kapitel 8 Smartphone und Tablet sicher einrichten Eines sollte man sich stets vor Augen halten: Smartphones und Tablets sind Computer in Miniaturausgabe, stehen jedoch in der Funktionalität ihren »großen Brüdern« in kaum etwas nach. Daher sind die Tipps, die Sie bisher bekommen haben, auch bei der Verwendung von Smartphone und Tablet zu beachten. Des Weiteren gibt es speziell für diese mobilen Endgeräte noch einige Regeln, die Sie beherzigen sollten, denn diese Regeln tragen zum Schutz Ihrer Geräte bei. • zur Geräteabsicherung und zur SIM/USIM-PIN, • zur Installation von Apps, • zu den App-Zugriffsberechtigungen, • zur App-Sperre auf dem Gerät, • zum Gebrauch unverschlüsselter öffentlicher oder fremder WLAN-Hotspots, • zum Schutz Ihrer Daten wie Fotos und Videos • sowie zum Sperren des Geräts aus der Ferne, z. B. bei Verlust. Darüber hinaus finden Sie auf der Seite des Bundesamts für Sicherheit in der Informationstechnik (BSI – www.bsi-fuer-buerger.de) unter dem Schlagwort »smartphone basischutz« wertvolle Tipps dazu, wie Sie Ihr Smartphone oder iPhone vor Fremdeinwirkung schützen können.
177
Auf den folgenden Seiten bekommen Sie Tipps
178
SIM-Karten-PIN und Gerätesperre Mit der Zusendung Ihrer SIM-Karte (oder auch USIM-Karte) durch Ihren Provider erhalten Sie auch die PIN (persönliche Identifikationsnummer). Beim Start des Smartphones mit eingelegter neuer SIM-Karte muss die PIN eingegeben werden, um einer missbräuchlichen Verwendung vorzubeugen. Innerhalb des Einstellungsmenüs Ihres Smartphones haben Sie die Möglichkeit, eine neue PIN zu vergeben oder die SIM-Sperre gänzlich zu deaktivieren. Letzteres kann ausdrücklich nicht empfohlen werden, da ansonsten einer missbräuchlichen Verwendung Ihrer Telefonkarte Tür und Tor geöffnet ist.
Haben Sie ein Passwort für den Sperrbildschirm auf Ihrem Smartphone eingerichtet, werden Sie beim Neustart des Geräts auch nach diesem Passwort gefragt – und zwar nach der Eingabe der SIM-PIN. Ebenso müssen Sie es beim Umschalten vom Ruhe- in den Aktivmodus eingeben. Das Sperrbildschirmpasswort ist gerätebezogen, und daher gilt auch hier meine ausdrückliche Empfehlung, es einzurichten, stellt es doch einen wichtigen zusätzlichen Schutz für Ihr Smartphone dar. Die Entsperrmethode ist ebenfalls gerätebezogen. Die Eingabe einer numerischen Abfolge (PIN), eines Musters oder eines Passworts ist auf jedem Gerät möglich. Hinzu kommen, je nach verwendetem Smartphone, z. B. auch Entsperrungen durch Fingerabdruck (Fingerprint) oder Gesichtserkennung (Face Unlock). Sogar die Entsperrung mittels eines in der Nähe befindlichen Bluetooth-fähigen Geräts bieten einige Geräte an. Nutzen Sie auf alle Fälle wenigstens eine der Entsperrmethoden, anderenfalls kann jeder, der das Gerät findet oder klaut, nicht nur »nach Hause« (eventuell China) telefonieren, sondern auch Ihre Kontaktdaten nutzen, über Ihre Apps etwas bestellen und an sich liefern lassen und vieles andere mehr.
179
Kommt Ihnen z. B. Ihr Smartphone abhanden und Ihre SIM-Karte wird entnommen, um in einem fremden Smartphone verwendet zu werden, kann Ihnen großer Schaden in Form von immensen Telefonieoder mobilen Internetkosten zugefügt werden, wenn die PIN-Eingabe für Ihre SIM-Karte deaktiviert wurde.
180
App-Installation: App Store und Play Store
Android-Geräte sind werkseitig so eingestellt, dass Apps lediglich aus dem Google Play Store installiert werden können. Jedoch bieten alternative Quellen aus dem Internet auch Apps für Android-Geräte an. Somit ist es für den Android-Nutzer möglich, Apps, die sich nicht im Play Store finden, über andere Quellen auf dem Gerät zu installieren. Hierzu muss in den Einstellungen die Installation von Apps aus unbekannten Quellen zugelassen werden (bis Android 7). Ab Android 8 hat sich diese Einstellungsmethode jedoch grundlegend geändert, es muss nun einer bereits auf dem Gerät vorhandenen App erlaubt werden, Apps aus anderen Quellen zu installieren. Ein Beispiel: Sie benutzen Ihren Browser Google Chrome und stoßen auf eine alternative Quelle, die Apps zum Download anbietet. Sie müssen jetzt der bereits vorhandenen App Google Chrome die Erlaubnis erteilen, die gewünschte App herunterzuladen. Der Vorteil liegt auf der Hand: Bezieht man die Alternativquellen mit ein, steht Android-Nutzern eine noch größere Auswahl an Apps zur Verfügung. Doch seien Sie sehr vorsichtig, denn Apps aus Alternativquellen können virenverseucht sein. Außerdem sind zeitnahe App-Updates, insbesondere für das Schließen von Sicherheitslücken, nicht bei allen Alternativquellen gewährleistet.
181
Nutzen Sie ein iPhone oder iPad, können Sie nur Apps aus dem App Store von Apple installieren. Andere Installationsquellen lässt ein Apple-Gerät nicht zu. Somit ist der Apple-User auf diejenigen Apps angewiesen, die er im App Store vorfindet. Nachteil hierbei ist sicherlich, dass nicht auf Alternativquellen ausgewichen werden kann, um eine App zu installieren, die sich nicht im App Store befindet. Immenser Vorteil ist dagegen, dass eine App im App Store, bevor sie dort zur Verfügung steht, auf Herz und Nieren überprüft wurde und daher virenfrei ist.
182 Berechtigungsanfrage einer App unter Android 9.0
Apps: Zugriffsberechtigungen hinterfragen Um ihre Aufgabe zu erfüllen, benötigen Apps Zugriff auf bestimmte Bereiche des Smartphones (oder Tablets). Damit beispielsweise eine Navigations-App Ihnen den Weg weisen kann, braucht sie Zugriff auf den Standortdienst (GPS) des Geräts. Um mit WhatsApp Fotos aufzunehmen, benötigt die App Zugriff auf die Kamera. So weit, so gut.
Haben Sie nun eine App installiert und fordert diese für den Gebrauch Zugriffsberechtigungen an, schauen Sie bitte genauer hin: Fordert z. B. eine Taschenlampen-App die Berechtigung »Standortzugriff«, »Versenden von SMS« oder »Telefonstatus abrufen«, erscheint dies doch recht merkwürdig – und ist es auch. Denn diese Berechtigungen müssen zum bestimmungsgemäßen Funktionieren der Taschenlampe gewiss nicht erteilt werden.
183
Es gibt jedoch auch Apps, bei denen man sich fragen muss, warum sie Zugriff auf bestimmte Bereiche des Smartphones oder Tablets benötigen. Allseits beliebt sind z. B. Taschenlampen-Apps, kann doch die eingebaute Leuchte (LED) als Taschenlampe dienen. Einige Smartphone- Modelle bieten über den sogenannten Schnellzugriff die Möglichkeit, die LED dauerhaft zum Leuchten zu bringen und das Gerät somit als Taschenlampe zu benutzen. Bei anderen Modellen muss per App nachgerüstet werden.
184 Benötigt eine Taschenlampen-App wirklich diese Berechtigungen? – Screenshot aus Google Play Store
Apps: Zugriffsberechtigungen einschränken Fordert eine App weitreichende Zugriffsberechtigungen, kann es sein, dass Ihr Smartphone ausgelesen wird und Ihre persönlichen Daten abgegriffen und an den App-Entwickler übermittelt werden. Dieser wiederum bereichert sich durch den Verkauf Ihrer Daten. Apples App Store und auch der Google Play Store bieten Ihnen die Möglichkeit, vor dem Download festzustellen, welche Berechtigungen Apps einfordern (siehe Bild links). Somit lohnt sich vor der eigentlichen App-Installation ein Blick auf diese Angaben.
Fazit: Überprüfen Sie vor der Installation einer App im jeweiligen Store, welche Zugriffsberechtigungen diese einfordert. Stimmen diese Berechtigungen mit dem Sinn und Zweck der App nicht überein, lassen Sie lieber die Finger davon bzw. schränken Sie im Nachhinein einzelne Berechtigungen ein. Überprüfen Sie von Zeit zu Zeit die Berechtigungen der Apps auf Ihrem Gerät und passen Sie die Zugriffsberechtigungen an. Denn nicht selten werden bei einem App-Update die Zugriffsberechtigungen wieder erweitert.
185
Möchten Sie die App jedoch unbedingt installieren, obwohl Sie mit der einen oder anderen Zugriffsberechtigung nicht einverstanden sind, können Sie diese sperren. Hierbei ist es möglich, auch einzelne von Ihnen ausgewählte Zugriffe nicht zu erlauben. Dies können Sie sowohl bei Apple-Geräten als auch bei Androiden ab Android-Version 6 einstellen.
186 App-Sperre unter Android 9
Suche in den Einstellungen nach »appsperre«
App-Sperre auf dem Gerät Ein sinnvolles Feature, das sich die Macher von Apple und Android ausgedacht haben, ist die App-Sperre. Sie möchten nicht, dass andere Menschen, die aus irgendwelchen Gründen Ihr Smartphone benutzen, auf Ihre Apps zugreifen können? Dann sperren Sie diese Apps doch einfach. Eine gesperrte App lässt sich nicht durch einfaches Antippen öffnen, sondern muss zunächst entsperrt werden. Hierzu legen Sie in den Sicherheitseinstellungen Ihres Geräts einen Entsperrcode fest und wählen diejenigen Apps aus, die erst nach Eingabe dieses Codes geöffnet werden können.
Aufgrund der verschiedenen Betriebssysteme (Android und Apple) sowie der Vielzahl der Geräte und Gerätetypen (Smartphones, Tablets, iPhones, iPads) ist es schwierig, an dieser Stelle zu erklären, wo Sie diese Einstellungsmöglichkeiten an Ihrem Gerät finden. Eines haben jedoch Android- und Apple-Welt gemeinsam: eine integrierte Suchfunktion. Nach dem Öffnen der App Einstellungen (meist durch ein Zahnrad symbolisiert) haben Sie die Möglichkeit, über das Textfeld nach verschiedenen Stichwörtern zu suchen. Links im Beispiel sehen Sie die Suche nach dem eingegebenen Begriff »appsperre« sowie das Ergebnis auf einem Gerät mit Android 9.
187
Alternativ dazu ist die Entsperrung durch einen Fingerabdruck möglich, falls Ihr Mobilgerät diese Entsperrmöglichkeit anbietet. Je nach Gerät sind auch noch andere Entsperrmethoden vorhanden.
188
Öffentliche unverschlüsselte WLAN-Hotspots Immer mehr Städte und Gemeinden, öffentliche Einrichtungen, Krankenhäuser, Cafés, Flughäfen und andere Institutionen bieten öffentliches (und unverschlüsseltes) WLAN an – sogenannte freie WLAN-Hotspots erfreuen sich großer Beliebtheit. Die Nutzung des Internets ist somit kostenfrei, das eigene Datenvolumen wird geschont. Insbesondere im Ausland, wo bei Nutzung der eigenen mobilen Daten eventuell zusätzlich noch die sogenannten Roaming-Gebühren anfallen (je nach Vertrag und Land), werden öffentliche WLANs gern benutzt. Zudem haben WLANs den angenehmen Nebeneffekt, dass die Datenübertragung meistens schneller vonstattengeht (die Datenrate ist höher) als beim Verwenden des mobilen Internets.
Aufgrund der Tatsache, dass die meisten WLAN-Hotspots unverschlüsselt sind (das heißt, Sie können Ihr Smartphone ohne weitere Passworteingabe mit diesem WLAN verbinden), ist die Datenübertragung ebenfalls unverschlüsselt. Alles, was Sie hier in Ihr Smartphone eingeben, kann von Dritten mitgelesen werden. Der technische Aufwand für das Mitlesen ist eher gering. Somit können auch Passwörter, die Sie z. B. im Rahmen eines Anmeldevorgangs auf einer Website eingeben und somit unverschlüsselt übertragen, mitgelesen werden.
189
Wenn Sie öffentliche WLAN-Hotspots nutzen, sollten Sie jedoch eines wissen:
190
Fremde unverschlüsselte WLAN-Hotspots Wie bereits geschrieben: Die Verlockung ist groß, sich mit einem unverschlüsselten WLAN zu ver binden.
Und hier lauert die Gefahr: Sie wissen gar nichts über den Betreiber dieses offenen WLAN. Hat er die Absicht, Ihnen in dem Augenblick, in dem Sie sich mit diesem WLAN verbunden haben, Schadsoftware in Ihr Smartphone zu schleusen, kann er dies ohne großen technischen Aufwand auch tun. Selbst wenn der Name des Hotspots noch so seriös erscheint, kann er in betrügerischer Absicht erstellt worden sein, denn den Namen des Hotspots kann der Betreiber frei wählen. Den offenen WLAN-Hotspot Vodafone Shop im Bild links habe ich selbst mit meinem Smartphone erstellt, und ich habe rein gar nichts mit Vodafone zu tun. Nachfolgend ein paar Regeln, die Sie beachten sollten, falls Sie sich doch mit einem unverschlüsselten öffentlichen oder fremden WLAN verbinden wollen.
191
Sind Sie z. B. im innerstädtischen Bereich in einer Fußgängerzone unterwegs und werfen einen Blick auf Ihr Smartphone oder iPhone, werden Sie feststellen, dass sich bei eingeschaltetem WLAN etliche unverschlüsselte WLANs in Ihrer WLAN-Liste befinden. Die unverschlüsselten erkennen Sie daran, dass sich kein Schlosssymbol am WLAN-Zeichen befindet bzw. dass dieses als »offen« gekennzeichnet ist (siehe Beispielbild links).
192 Auf dieser Google-Website erfahren Sie, wie Sie Datenfreigaben konfigurieren können. Geben Sie dazu bei Goggle die Suchbegriffe »android dateifreigabe deaktivieren« ein.
Regeln für unverschlüsselte öffentliche oder fremde WLANs Dies sollten Sie beachten, wenn Sie in öffentlichen oder fremden WLANs unterwegs sind:
Für etwas Fortgeschrittenere: • Sorgen Sie selbst für eine verschlüsselte Übertragung, indem Sie ein sogenanntes Virtuelles Privates Netzwerk (Virtual Private Network – VPN) verwenden. Dies ist dann anzuraten, wenn Sie über den offenen Hotspot nicht nur kurz auf einer Website nach Informationen suchen, sondern sich z. B. mit einem Passwort in einem Onlineshop anmelden möchten. • Deaktivieren Sie Verzeichnis- und Dateifreigaben auf Ihrem Gerät (um zu vermeiden, dass Dritte, die sich ebenfalls in diesem WLAN tummeln, auf Ihrem Gerät auf freigegebene Dateien oder Verzeichnisse zugreifen können). Die Websites von Google (Android) und Apple bieten hier unter den Suchbegriffen »android dateifreigabe deaktivieren« (siehe Abbildung links) bzw. »apple dateifreigabe deaktivieren« wertvolle Hilfen.
193
• Schalten Sie die WLAN-Funktion an Ihrem Gerät erst dann ein, wenn Sie das WLAN auch tatsächlich nutzen wollen. Schalten Sie diese Funktion nach Nutzung auch wieder aus. Die meisten Mitmenschen müssen nicht ständig online sein. • Wenn es die Einstellungen Ihres Geräts hergeben: Deaktivieren Sie die automatische Anmeldung an bekannten WLAN-Hotspots. Ein ehemals »guter« Hotspot kann sich auch mal zu einem »bösen« Hotspot gewandelt haben. • Senden Sie keine vertraulichen Daten über einen solchen Hotspot und melden Sie sich nirgendwo unter Eingabe eines Nutzerkennworts an.
194 Tresorerstellung auf einem Android-Smartphone
Schutz Ihrer Daten, wie Fotos und Videos Android- wie auch Apple-Geräte haben in Bezug auf die Geräte-, Daten- und Dateiverschlüsselung verschiedene Konzepte und auch Möglichkeiten an Bord. Die Verschlüsselung dient dazu, Dritten den Zugriff auf Ihre Dateien zu erschweren.
Der Vorteil liegt auf der Hand: Nur mit einem Schlüssel, den Sie eingeben müssen, haben Sie Zugriff auf diese Dateien. Und hier auch gleich der Nachteil: Um auf die verschlüsselten Dateien zuzugreifen, müssen Sie immer den Schlüssel eingeben. Dennoch: Nutzen Sie zum Schutz Ihrer Privatsphäre die Verschlüsselungsmöglichkeiten, die Ihnen Ihr Smartphone oder iPhone bietet. Die Optionen zur Verschlüsselung finden Sie auf Android- und iOS-Geräten in der App Einstellungen, die unter beiden Betriebssystemen gleichermaßen vorhanden ist. In den Einstellungen finden sich Verschlüsselungsoptionen dann an verschiedenen Stellen – je nach Version des Betriebssystems. Oder nutzen Sie die Suchfunktion Ihres Smartphones oder iPhones. Streichen Sie von der Mitte des Home-Bildschirms nach unten und tippen Sie in dem nun erscheinenden Suchfeld einen Suchbegriff wie z. B. »Tresor« oder »verschlüsseln« ein.
195
Hier kommt es in erster Linie darauf an, welche Android- bzw. iOS-Version sich auf Ihrem Gerät befindet, entsprechend ist es Ihnen möglich, zu verschlüsseln. So lassen sich von Ihnen ausgewählte Dateien (Fotos, Videos, Dokumente) oder auch komplette Speicherkarten (nur bei Android), die sich zusätzlich im Smartphone befinden, verschlüsseln.
196 Ortungsfunktion von Google. Die Landkarte ist zoombar, sodass eine detailgetreue Anzeige möglich ist.
Orten und Sperren eines abhandengekommenen Geräts Sollte Ihnen das iPhone oder Smartphone abhandengekommen sein, bietet sich eine Reihe von Möglichkeiten, aus der Ferne tätig zu werden, allerdings gibt es Unterschiede zwischen Android und Apple: • Orten – den Standort des Geräts auf einer zoombaren Landkarte anzeigen lassen. • Klingeln lassen oder eine Benachrichtigung auf dem Sperrbildschirm hinterlassen. • Daten vom Gerät löschen – sämtliche Daten werden gelöscht. Ist das Gerät offline, beginnt der Löschvorgang, sobald das Gerät wieder online ist. Allerdings lässt es sich dann auch nicht mehr orten. • Gerät sperren und aus dem Google-Konto abmelden. Hilfe und weitere Informationen finden Sie unter https://support.apple.com/de-de/HT201472 (Apple) bzw. https://support.google.com/accounts/answer/6160491?hl=de (Google).
197
Hier einige Beispiele, die angeboten werden:
198 Google Play Protect innerhalb des Google Play Store
Antivirenprogramme und Android Die klassischen sich selbst installierenden und sich selbst weiterverbreitenden Viren, wie wir sie vom Windows-PC kennen, kommen auf Android-Geräten kaum vor – es gibt sie (fast) gar nicht. Andere Schadprogramme stehen hier im Vordergrund. Grundsätzlich sind diese Geräte jedoch nicht vor dem Befall anderer Schädlinge gefeit.
Sollten innerhalb einer App Unregelmäßigkeiten in Form von Sicherheitsbedrohungen festgestellt werden, löscht Google Play Protect diese App von Ihrem Gerät. Über das Menü im Google Play Store lässt sich der Antivirenschutz aufrufen. Hier sehen Sie z. B., welche Apps zuletzt überprüft wurden und ob Google Play Protect schädliche Apps gefunden hat. Stellt sich nun die Frage nach alternativen Antiviren-Apps, die Sie auf Ihrem Gerät installieren können. Mittlerweile sind die »Großen« der Antivirenbranche auch im Google Play Store vertreten. An diesem Punkt scheiden sich die Geister. Glühende Verfechter vertreten die Meinung, dass eine zusätzliche Antivirensoftware auf dem Android-Gerät ein absolutes Muss ist. Das andere Lager spricht davon, dass Google Play Protect ausreichend ist, wenn andere Sicherheits- und Schutzeinstellungen beachtet werden.
199
Google hat ein Antivirenprogramm bereits mit an Bord: Google Play Protect überprüft in regelmäßigen Abständen die bereits auf dem Gerät vorhandenen und auch die neu installierten Apps auf Schädlinge. Es heißt Antivirenprogramm, obwohl Viren hier kaum vorkommen. Unter Viren auf Android ist aber die Gesamtheit der Schädlinge zu verstehen.
200 Eine gute Firewall-App, die aber nicht ganz leicht zu konfigurieren ist.
Die Firewall unter Android Im Gegensatz zu Windows-Rechnern bietet das Android-Betriebssystem keine an Bord befindliche Firewall. Es stellt sich also die Frage: Sollte eine Firewall installiert werden? Leider scheiden sich, wie beim Antivirenschutz, auch hier die Geister.
Zu nennen ist z. B. die Firewall-App NetGuard. Richtig konfiguriert, erhöht sich die Sicherheit Ihres Smartphones nicht unerheblich. Aber genau hier liegt der Hund begraben: Viele sind damit überfordert, eine Firewall richtig zu konfigurieren, denn durch die vielfältigen Einstellungsmöglichkeiten innerhalb der App wird es für den Laien schnell unübersichtlich. Zudem ist NetGuard wirklich erst dann nützlich, wenn die kostenpflichtige PRO-Version zum Einsatz kommt.
Tipp Wenn Sie bereit sind, für eine gut funktionierende Firewall Geld auszugeben (ca. fünf bis zehn Euro) – und es sich darüber hinaus zutrauen, diese richtig zu konfigurieren (oder zumindest jemanden kennen, der das für Sie vornimmt) –, trägt die Verwendung einer Firewall zur Sicherheit Ihres Android-Geräts durchaus bei.
201
Über Sinn und Zweck einer Firewall unter Windows habe ich ja bereits auf Seite 163 geschrieben. Sähen die Entwickler von Android eine unbedingte Notwendigkeit, eine Firewall zu implementieren, hätten sie das bestimmt auch getan. Dennoch gibt es Firewall-Apps, die durchaus eine Betrachtung wert sind.
202
Antivirenprogramm und Firewall auf dem iPhone
Somit ist ein iPhone grundsätzlich vor Viren geschützt und bedarf eher keiner zusätzlichen Antiviren- App. Diese Behauptung kann aufgestellt werden, da Apple selbst im Jahr 2015 sämtliche Antivirenprogramme aus dem App Store entfernt hat. Somit sieht es Apple nicht als notwendig an, dass Antivirensoftware auf iPhones installiert wird. Einige Hersteller von Antivirenprogrammen wie z. B. Norton sind zwar mit ihren Produkten noch im App Store zu finden, jedoch nicht mit Antivirenprogrammen, sondern eher mit Werkzeugen zur Erhöhung der Sicherheit – fraglich, ob man diese tatsächlich benötigt. Auf iPhones ist die Möglichkeit vorhanden, eine bereits implementierte Firewall zu nutzen. Wenn Sie nach dem Begriff »Firewall« auf Ihrem Gerät suchen (wie Sie suchen, haben Sie auf Seite 187 kennengelernt), finden Sie die entsprechenden Einstellungsmöglichkeiten. Da diese vielfältig sind, verweise ich auf die Hilfeseite von Apple: https://support.apple.com/de-de/HT201642.
203
Solange Sie nichts an Ihrem iPhone verändert haben (z. B. durch Jailbreak), sind Sie vor Viren und anderen Schadprogrammen sicher. Als Jailbreak (zu Deutsch Gefängnisausbruch) bezeichnet man Veränderungen am Betriebssystem, die es Ihnen beispielsweise erlauben, auch Apps außerhalb des Apple App Store auf das iPhone herunterzuladen und zu installieren. Den Begriff »Jailbreak« gibt es für Android-Geräte nicht – hier wird eine solche Veränderung als Rooten bezeichnet. Aber keine Sorge: Zum Jailbreaken oder Rooten ist Spezialwissen erforderlich. Aus Versehen kann das nicht geschehen.
Kapitel 9 Sichere Passwörter erstellen Das in Potsdam ansässige Hasso-Plattner-Institut für Digital Engineering (HPI) schreibt mit Stand vom 18. Dezember 2018 auf seiner Website zum Thema Passwörter (Auszug):
›Derart schwache Passwörter gleichen Haustüren, an denen von außen ein Schlüssel steckt. Sie sind geradezu eine Einladung zum Identitätsdiebstahl‹, sagt HPI-Direktor Christoph Meinel, der daher bei der Nutzung von Passwörtern weiterhin digitalen Aufklärungsbedarf sieht. ›Es gibt keinen 100-prozentigen Schutz vor Identitätsdiebstahl, aber es muss Kriminellen so schwer wie möglich gemacht werden, an das eigene Passwort zu gelangen.‹ Insbesondere die weit verbreitete Mehrfachnutzung von Passwörtern für unterschiedliche Dienste ist wirklich leichtsinnig, wenn man bedenkt, welche Schäden einem hierdurch entstehen können.« (https://hpi.de/pressemitteilungen/2018/die-top-ten-deutscher-passwoerter.html) Die Top Ten der deutschen Passwörter lauten demnach (aufsteigend von Platz 1 bis Platz 10): 123456, 12345, 123456789, ficken, 12345678, hallo123, hallo, 123, passwort, master Hier gibt es also Handlungsbedarf. In diesem Kapitel lernen Sie verschiedene Möglichkeiten kennen, wie Sie sichere Passwörter erstellen können.
205
»Die Deutschen sind nicht sehr kreativ, wenn es um die Wahl ihrer Passwörter geht. Auch im zurückliegenden Jahr verließen sich viele auf simple Zahlenreihen. Damit gehen sie allerdings erhebliche Risiken ein.
206
Das sichere Passwort – Grundregeln Passwörter, die Sie im digitalen Alltag verwenden, benötigen Sie für Onlineshops, Ihr Onlinebanking und vieles mehr. Aus Bequemlichkeitsgründen wird oftmals »eines für alles« verwendet. Durch Datenlecks können Kriminelle allerdings an Zugangsdaten und Passwörter kommen, die sie dann für ihre eigenen Zwecke nutzen. Wenn Sie für Shop A die gleichen Zugangsdaten wie für Shop B benutzen und die Daten von Shop A werden gestohlen, haben Kriminelle auch Ihren Zugang zu Shop B. Und das ist bestimmt nicht wünschenswert.
Auch wenn es einen gewissen Arbeitsaufwand darstellt, sich für jedes Einloggen in eine Website ein anderes Passwort anzulegen, so dient es doch Ihrer Sicherheit. In meinen Seminaren höre ich immer wieder: »Mein Account bei XYZ wurde gehackt, und jetzt habe ich noch weiteren Schaden, weil meine Zugangsdaten woanders ebenfalls verwendet wurden.« Ein sicheres Passwort sollte mindestens acht bis zehn Zeichen lang sein und aus einer zufälligen Anordnung von Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen bestehen. Spätestens dann, wenn Sie ein einziges Passwort für alle Online-Accounts benutzen und in den Medien wieder ein Datenleck oder ein Passwortklau bekannt wird, sollten Sie dringend Ihre Pass wörter wechseln und auch damit beginnen, für jeden Zugang ein separates Passwort anzulegen. Weiteres zur Häufigkeit des Passwortwechselns finden Sie auf Seite 209.
207
Darum lautet die goldene Regel: Für jeden Zugang ein separates Passwort!
208
Passwörter für E-Mail und Social-MediaPlattformen
An dieser Stelle möchte ich daran erinnern, dass im April 2019 publik wurde, dass 540 Millionen Facebook-Kundendaten auf öffentlich zugänglichen Amazon-Cloud-Servern gespeichert wurden. Erklärt wurde, der Fehler sei externen Firmen unterlaufen, die bei Facebook unter Vertrag stehen. Bereits im März 2019 musste Facebook eine Datenpanne einräumen: Passwörter von Millionen Nutzern waren für Angestellte des Unternehmens im Klartext zugänglich (Quelle: https://www.tages schau.de/wirtschaft/facebook-daten-cloud-103.html). Experten sind sich nicht einig darüber, wie oft ein Passwort geändert werden muss. So empfiehlt z. B. die Seite klicksafe.de anlässlich des Ändere-dein-Passwort-Tags, ein Passwort regelmäßig zu wechseln (https://www.klicksafe.de/service/aktuelles/news/detail/aendere-dein-passwort/). Gegenteiliges lässt sich im Internet aber auch finden: Der Tech-Block ArsTechnica hat auf seinem englischsprachigen Webauftritt Gründe dafür zusammengetragen, dass ein regelmäßiger Passwortwechsel als nicht zwingend angesehen werden muss (https://arstechnica.com/information-tech nology/2016/08/frequent-password-changes-are-the-enemy-of-security-ftc-technologist-says/). Ich denke, die Mischung beider Darstellungen macht’s. Je sicherer ein Passwort ist (siehe Abbildung auf Seite 214 – checkdeinpasswort.de), desto weniger muss es gewechselt werden.
209
Für E-Mail-Konten und Social-Media-Plattformen (z. B. Facebook, Instagram) gelten natürlich die gleichen strengen Passwortregeln, die ich auf der vorherigen Seite bereits vorgestellt hatte. Die wichtigste Regel: nie ein und dasselbe Passwort für verschiedene Accounts verwenden. Denn Ziel von Hackerangriffen sind immer wieder die Server von E-Mail-Providern und Social-Media-Plattformen, um an die Zugangsdaten der Nutzer zu gelangen.
210 Wuschel, das Kaninchen. Lebt im Haushalt des Autors.
Die Merksatzmethode für Passwörter Legen Sie Ihr Passwort mithilfe einer Eselsbrücke an. Überlegen Sie sich einen Merksatz, nehmen Sie die Anfangsbuchstaben, Zahlen und Sonderzeichen und bilden das Grundpasswort. Dies kann z. B. sein: Unser Kaninchen heißt Wuschel und wurde am 01.06. im Jahr 17 geboren! Daraus wird: UKhWuwa01.06.iJ17g!
Haben Sie zum Beispiel einen Zugang beim Verkaufsportal Amazon, nehmen Sie hiervon den ersten und den letzten Buchstaben und setzen diese an den Anfang und das Ende Ihres Grundpassworts: AUKhWuwa01.06.iJ17g!n Überlegen Sie sich eine weitere Individualisierung (z. B. Anzahl der Buchstaben des Accounts) und fügen Sie diese dem Passwort hinzu: AUKhWuwa01.06.iJ17g!n6 Das alles klingt am Anfang etwas schwierig, doch wenn Sie einmal Ihr eigenes Schema gefunden haben, erstellen Sie mit dieser Methode die individuellsten Passwörter im Schlaf. Ich selbst nutze diese Methode bevorzugt.
211
Da verschiedene Passwörter zu verschiedenen Accounts verwendet werden sollen, lässt sich das Grundpasswort dann noch individuell anpassen (falls es Ihnen bereits jetzt schon zu lang ist, kürzen Sie es entsprechend).
212 Die Passwortkarte (2019), eine gemeinsame Entwicklung von DATEV (www.datev.de) und DsiN (www.sicher-im-netz.de)
Die Passwortkarte Auf der Internetseite www.sicher-im-netz.de/dsin-passwortkarte stellt der Verein Deutschland sicher im Netz (DsiN) die Passwortkarte zum Erstellen eines sicheren Passworts zur Verfügung. Die Passwortkarte ist eine gemeinsame Entwicklung der DATEV eG aus Nürnberg und Deutschland sicher im Netz aus Berlin. Auf der DsiN-Homepage ist nachzulesen:
Tatsächlich ist die Verwendung der Passwortkarte denkbar einfach: Sie merken sich einen Einstiegspunkt, legen einen individuellen Verlauf fest und bestimmen schließlich einen Ausstiegspunkt. Schon haben Sie ein sicheres Passwort, das den Anforderungen genügt. Achten Sie nur noch darauf, dass es eine ausreichende Anzahl von Zeichen hat. Das auf der Abbildung links erstellte Beispielpasswort lautet x5K@25#9. Durch individuelle Anpassungen (siehe voriger Abschnitt) lassen sich auch mithilfe der Passwortkarte verschiedene Passwörter für verschiedene Zugänge kreieren. Die Passwortkarte kann auf der Seite von DsiN als Desktopvariante heruntergeladen und darüber hinaus auch im geldbeutelfreundlichen Format kostenfrei über die Seite www.sicher-im-netz.de bestellt werden.
213
»Die Muster-Passwortkarte soll eine regelkonforme Passwortbildung sowie das Merken und Aufbewahren erleichtern. Sie besteht aus einem Koordinatensystem, dessen Achsen von links nach rechts mit den Buchstaben A–Z und von oben nach unten mit den Zahlen 1–12 versehen sind. Das Zeichenfeld beinhaltet alle Zeichen, die zur Passwortbildung erlaubt sind.«
214
Der Passwort-Manager Passwort-Manager sind kleine Programme oder Apps, die Sie auf dem Computer und auch auf dem Smartphone oder Tablet nutzen können. Im Passwort-Manager selbst legen Sie Ihre Passwörter für Ihre verschiedenen Accounts ab. Zum Öffnen des Passwort-Managers legen Sie ein Masterpasswort fest, sodass der Manager gegen unbefugtes Öffnen gesichert ist. Die Vorteile sind unter anderem,
Als Nachteile können unter anderem angeführt werden, • dass sich der Passwort-Manager ohne Masterpasswort nicht mehr öffnen lässt und • dass ein durch Dritte gehackter Passwort-Manager alle Ihre Passwörter preisgibt. Die Stiftung Warentest hat in der Heftausgabe 10/2017 das Testergebnis für neun plattformübergreifende Passwort-Manager veröffentlicht. Auf den ersten Plätzen rangierten hierbei LastPass Premium, Keeper Security, Dashlane Premium, F-Secure Key Premium und True Key Premium.
Tipp Auf der Seite www.checkdeinpasswort.de haben Sie die Möglichkeit, Passwörter zu überprüfen. Das Ergebnis für das auf der Seite 211 kreierte Passwort AUKhWuwa01.06. iJ17g!n6 sehen Sie links. Beeindruckend!
215
• dass Ihre Passwörter an einem zentralen Ort gespeichert werden, • dass es Passwort-Manager-Programme und Apps gibt, die sich sowohl auf dem PC als auch auf dem Smartphone nutzen lassen und sich somit der Inhalt synchronisieren lässt, • dass viele Passwort-Manager Sie bei der Passworterstellung unterstützen und sichere Passwörter anlegen.
216 Der Passwort-Schlüssel-Automat auf www.passwort-schluessel.de (2019)
Der Passwort-Schlüssel-Automat Kinder und Jugendliche an das Thema sicheres Passwort heranzuführen, ist ungemein wichtig. Denn wer von unserem Nachwuchs bewegt sich nicht bereits in jungen Jahren auf sozialen Medien wie Instagram, Snapchat & Co, daddelt Onlinegames mit Passwortzugang oder ist auf anderen Onlineportalen unterwegs?
Eine genaue Anleitung dazu finden Sie auf der Seite Surfen:ohne:Risiko (www.surfen-ohne-risiko. net), ein Internetangebot des Bundesministeriums für Familie, Senioren, Frauen und Jugend. Der Passwort-Schlüssel-Automat ist ein Tool dieses Ministeriums.
217
Auf der Seite www.passwort-schluessel.de findet sich der Passwort-Schlüssel-Automat. Mit diesem Tool lassen sich auf spielerische Art und Weise sichere Passwörter erstellen. Zunächst muss ein Passwortschlüssel erstellt werden – dieser ist jedoch noch nicht das endgültige Passwort. Unter Verwendung dieses Schlüssels wird dann das oder die fertigen Passwörter kreiert.
218
Die Zwei-Faktor-Authentisierung Mit der Zwei-Faktor-Authentisierung (2FA) kann ein Account über die Passworteingabe hinaus noch zusätzlich abgesichert werden. Ein Beispiel hierzu: Rund 75 % der deutschen Bevölkerung nutzen Smartphones mit einem Android-Betriebssystem. Das Smartphone ist dann üblicherweise mit einem Google-Konto verbunden.
Der Nachteil des Mehraufwands wird mit dem Vorteil an Sicherheit bei Weitem aufgewogen. Denn kommt Ihr Account-Zugang (Nutzername und Kennwort) in falsche Hände, reicht dies nicht aus, um sich an Ihrem Konto anzumelden – dank der zusätzlichen Hürde 2FA. Die 2FA ist meistens nicht voreingestellt, sondern muss im Nachhinein aktiviert werden, so auch im Google-Konto. In Ihrem eigenen Interesse sollten Sie eine angebotene Zwei-Faktor-Authentisierung nutzen. Die Möglichkeit der 2FA findet sich auch bei E-Mail-Zugängen (web.de und gmx.de), beim Online bezahldienst PayPal oder beim weitverbreiteten Computerspiel Fortnite.
219
Google bietet für seine Konten die 2FA an. Immer wenn Sie sich z. B. über Ihren PC auf Ihrem Google-Konto mit Nutzername und Passwort anmelden möchten, greift zusätzlich noch die Zwei-Faktor- Authentisierung. Diese bewirkt nun, dass Sie nach Eingabe von Nutzername und Passwort zusätzlich z. B. per SMS einen Code auf Ihr Smartphone gesandt bekommen, den Sie wiederum in das dafür vorgesehene Feld in der Anmeldemaske eingeben müssen.
Kapitel 10 Erste Hilfe – was tun, wenn es doch passiert ist? Abschließend geht dieses letzte Kapitel unter anderem den Fragen nach:
Antworten darauf können – Sie werden es mir nachsehen – nicht in die Tiefe gehen und auch nicht jedes Detail berücksichtigen. Letztlich kommt es doch immer sehr auf den individuellen Einzelfall an. Aber ich möchte Ihnen einige Hinweise geben und Links nennen, über die Sie sich näher informieren können.
Tipp Sei es das Smartphone bzw. Tablet oder der PC: Halten Sie stets Ihr Betriebssystem, die Apps und Programme sowie eine eventuell vorhandene Gerätesoftware durch das Installieren von Updates auf dem neuesten Stand. Updates tragen wesentlich zum Schließen von Sicherheitslücken bei. Oftmals ist veraltete bzw. nicht upgedatete Software das Einfallstor für Schädlinge.
221
• Was kann ich machen, wenn mein PC oder Smartphone mit Malware kompromittiert wurde? • Wie verhalte ich mich, wenn Kriminelle an meine Daten, meine Identität oder an mein Geld gelangt sind?
222 Jetzt ist’s passiert – oder doch nicht?
Nicht reinfallen! Der Schock am Windows-PC oder Laptop! Die Meldung, die Sie links sehen, zeigt es eindeutig: Sie haben sich einen Trojaner-Virus eingefangen. Aber die Hilfe ist nah: Sie müssen nur noch auf OK drücken, um die Reparatur zu beginnen. Vorsicht!
Diese Anzeige wurde begleitet mit einem hochfrequenten Piepton, der aus den Lautsprechern meines Laptops schrillte. Sie wollte dadurch wohl auf sich aufmerksam machen und somit erhöhten Handlungsbedarf suggerieren. Und das Paradoxe: Es ist sehr wahrscheinlich, dass Sie sich nach dem Klick auf OK tatsächlich irgendeinen Schädling eingefangen haben. Eine plötzlich aufpoppende Internetseite oder eine derartige Meldung zeigt Ihnen nie an, dass sich auf Ihrem PC tatsächlich ein Virus oder andere Schadsoftware befindet. Für Meldungen zu einem Virenbefall ist Ihr Antivirenprogramm zuständig. Bei dieser Meldung sollen Sie dazu gebracht werden, auf OK zu klicken und damit erst die Schadsoftware herunterzuladen.
223
Diese Meldung, die ich im Rahmen des Besuchs von Schmuddelseiten provoziert habe, taucht überall mal wieder auf dem Bildschirm auf, und zwar nicht nur bei dem Besuch von Schmuddelseiten (hier ist es jedoch am wahrscheinlichsten, dass eine solche Warnmeldung erscheint), sondern auch beim ganz normalen Surfen im Internet. Nicht ausgeschlossen also, dass Sie mit einer solchen oder ähnlichen Meldung auf Ihrem Bildschirm konfrontiert werden.
Würmer
Spyware Scareware
Backdoor 224
Adware
Trojaner
Viren
Malware
Ransomware
Wie merke ich, ob mein Computer infiziert ist? Nicht immer schlägt das auf dem PC befindliches Antivirenprogramm sofort an, sollten Sie oder vielmehr Ihr PC sich einen Virus oder andere Schadsoftware eingefangen haben.
Achten Sie auf Anzeichen, die auf einen Viren- oder, ganz allgemein gesprochen, Malware-Befall hindeuten. Als Malware oder auch Schadsoftware bezeichnet man die Gesamtheit der Computerprogramme, die nur deswegen programmiert wurden, um Schaden auf einem PC anzurichten. Hierbei ist der Begriff des Schadens recht weit gefasst: Nicht nur schädigende Ereignisse auf dem Rechner sind damit gemeint, sondern ganz allgemein Ereignisse, die der Nutzer so nicht wollte. Diese können auch eher harmloser Natur sein – wie das gelegentliche Aufpoppen von Emojis auf dem Bildschirm. Dennoch ist dies vom Nutzer nicht gewünscht. Ein Virus wiederum – wie auch ein Trojaner (trojanisches Pferd), ein Exploit, ein Wurm, eine Backdoor (Hintertür), Spyware, Adware, Scareware, Ramsonware etc. – ist ein Typ von Malware. Die im Folgenden beschriebenen Anzeichen können – müssen aber nicht – auf das Vorhandensein von Malware hindeuten. Kommen die Anzeichen jedoch gehäuft vor, ist die Wahrscheinlichkeit ziemlich hoch, dass sich auf Ihrem Rechner Schadsoftware eingenistet hat.
225
So wie es viele Möglichkeiten gibt, dass sich Ihr Rechner mit einem Virus infizieren kann, so gibt es ebenso viele Möglichkeiten, wie sich ein Virus bemerkbar macht. Zudem macht er nicht immer gleich und sofort auf sich aufmerksam, sondern schlummert erst einmal. Auf den nächsten Seiten werden typische Anzeichen für den Befall von Geräten durch Schädlinge beschrieben.
226
Malware-Anzeichen am Rechner Hinweise auf einen Befall mit Malware, die die Leistungsfähigkeit Ihres Rechners betreffen, können beispielsweise sein: • Nach dem Einschalten bootet Ihr Computer ungewöhnlich lange, um einsatzbereit zu sein. • Nach dem Bootvorgang läuft der Rechner langsamer als gewöhnlich, er braucht z. B. für das Starten von Apps/Programmen unverhältnismäßig lange. • Apps oder Programme lassen sich nach einem Doppelklick nicht starten. • Ihr Rechner fährt von allein herunter und startet gegebenenfalls wieder neu. • Der Rechner stürzt öfter ab, der Bildschirm »friert ein«, es ist keine Eingabe mehr möglich. • Sie können mit dem Explorer (oder einem anderen Dateiverwaltungsprogramm) nicht mehr auf vormals vorhandene Ordner zugreifen, bzw. sie lassen sich nicht öffnen oder fehlen ganz. • Dateien sind aus Ordnern verschwunden. • Das Öffnen von gewissen Anwendungen ist nicht mehr möglich, hierzu zählen z. B. die Systemsteuerung, der Taskmanager, die Registry oder das Terminal (Eingabekonsole). • Sie finden auf Ihrem Desktop oder im Windows-Startmenü Verknüpfungen zu Programmen oder Ordnern, die Sie selbst nie installiert bzw. angelegt haben.
227
Anzeichen für Malwarebefall, die Ordner und Programm auf Ihrem Rechner betreffen, können sein:
228
Malware-Anzeichen bei der Internetnutzung • Der von Ihnen verwendete Browser arbeitet nach dem Öffnen sehr langsam und friert nach einiger Zeit sogar gänzlich ein. • Haben Sie vormals eine bestimmte Startseite im Browser festgelegt, so öffnet sich nun eine andere. • Es erscheinen ständig Werbeeinblendungen in Form von lästigen Pop-ups. • Es öffnen sich Browsertabs mit Internetadressen, die Sie nicht geöffnet oder eingegeben haben. • Ihr Webbrowser weist von Ihnen nicht hinzugefügte Toolbars auf. Die Toolbar (Werkzeugleiste) ist eine im Browser befindliche waagerechte oder senkrechte Symbolleiste mit kleinen Schaltflächen. • Egal, welche Internetadresse Sie in die Adresszeile Ihres Browsers eingeben, Sie werden ständig umgeleitet und landen auf einer Seite, die Sie nicht gewählt haben. • Sie werden von Bekannten angesprochen, dass unter Ihrer E-Mail-Adresse Spam-E-Mails verschickt werden. • Plötzlich tauchen in Ihrem E-Mail-Postfach unerklärlich viele Mails auf, zum Teil ohne Absender oder auch von Absendern, die Sie überhaupt nicht kennen. Für etwas Fortgeschrittenere: Auch eine außergewöhnlich hohe oder starke Internetauslastung weist auf einen Malware-Befall hin, denn manche Schadsoftware überträgt im Hintergrund Daten über das Internet. Die Internetauslastung beziehungsweise das Datenübertragungsvolumen lässt sich über die grafische Benutzeroberfläche des Internetrouters auslesen. Hier sollte man sich dann die Frage stellen: »Stimmt die im Router angezeigte Auslastung (siehe GUI auf Seite 175) oder das dort angezeigte Übertragungsvolumen mit meinem tatsächlichen Surfverhalten überein?«
229
Anzeichen auf Malware-Befall, die sich bei der Nutzung des Internets und des eigenen E-Mail- Accounts zeigen können, sind:
230 Scanoptionen des Windows Defender
Einen Virenscan durchführen Bei einem gehäuften Auftreten der Anzeichen ist es dringend angeraten, den Rechner mit einem Antivirenprogramm einer entsprechenden Überprüfung anhand eines Virenscans zu unterziehen. Nun mögen Sie denken: »Aber ich habe doch ein Antivirenprogramm, das ständig mitläuft und meinen PC schützt.«
Sei es nun das Windows-eigene Antivirenprogramm Defender oder ein anderes Antivirenprogramm: Beide Varianten bieten verschiedene Optionen, den Rechner tiefgreifend nach Schadsoftware zu scannen – nutzen Sie diese Optionen. Spätestens jetzt sollten Sie allerdings Ihr Antivirenprogramm updaten, sodass die neuesten Virendefinitionen vorhanden sind (falls es nicht schon zu spät und diese Funktion dank des Virus außer Kraft gesetzt ist). Normalerweise sollten sich die Virendefinitionen automatisch aktualisieren. Stößt nun das Antivirentool auf ein Schadprogramm, werden Sie darüber in Kenntnis gesetzt (oftmals nicht nur visuell, sondern auch durch einen Piepton). Sie werden gefragt, wie es mit dieser Malware verfahren soll – zumeist werden mehrere Möglichkeiten angeboten (löschen, in Quarantäne verschieben etc.). Folgen Sie den Empfehlungen des Antivirenprogramms.
231
Dennoch ist es nicht unwahrscheinlich, dass ein Virus »durchrutscht«. Ein Antivirenprogramm kann nur so aktuell sein, wie es dessen Virendefinitionen sind. Und ein Virus (oder ein anderes Schadprogramm) entsteht immer früher als die Virendefinition der Schutzsoftware. Erst die Virendefinitionen (auch Virensignaturen genannt) ermöglichen einem Antivirenprogramm, Schadsoftware zu erkennen. Aus diesem Grund müssen diese stets auf dem neuesten Stand sein, um den größtmöglichen Schutz zu gewährleisten.
232
Der Offline-Virenscan Ebenso ist an einen sogenannten Offline-Virenscan zu denken. Dabei werden nicht das Betriebssystem und dann das Antivirenprogramm Ihres PC gestartet, sondern ein Betriebssystem (oftmals eine Linux-Distribution), das sich zusammen mit einem Antivirenprogramm auf einem bootbaren Medium befindet. Ein bootbares Medium kann z. B. eine DVD/CD oder ein USB-Stick sein.
Sie haben dann die Möglichkeit, mit dem auf dem Medium befindlichen Antivirenprogramm einen Check durchzuführen. Ist Ihr Rechner mit dem Internet verbunden, werden vom Antivirenprogramm zunächst die aktuellen Virendefinitionen heruntergeladen. Unterziehen Sie Ihren Rechner dann einer vollständigen (gegebenenfalls mehrstündigen) Überprüfung. Eventuell müssen Sie die Bootreihenfolge im PC-eigenen UEFI (Unified Extensible Firmware Interface, der »Nachfolger« des BIOS) umstellen, damit der PC vom Medium bootet. Entnehmen Sie der Anleitung Ihres Rechners, wie Sie das UEFI aufrufen (oftmals durch Drücken der Taste Esc, F2, F8 während des Bootvorgangs), und ändern Sie dann die Bootreihenfolge, sodass vom Medium (CD/ DVD, USB-Stick) gebootet wird. Der Windows Defender bietet Ihnen eine solche Offlinevariante von Hause aus an, sie nennt sich Überprüfung durch Windows Defender Offline (siehe Abbildung auf Seite 230).
233
Über Homepages von Computerzeitschriften oder Antivirenherstellern lassen sich Notfall-Viren scanner herunterladen und auf ein bootbares Medium installieren. Entsprechende Anleitungen finden sich ebenfalls dort. Legen Sie dieses Medium in den PC ein und schalten ihn an, bootet nicht das Betriebssystem Ihres Rechners, sondern es wird von dem Medium gebootet (nicht wundern, dieser Vorgang dauert um einiges länger als das normale Hochfahren des PCs).
234 Einen Überblick über die Wiederherstellungsoptionen unter Windows 10 bietet Ihnen der Microsoft Support u. a. unter https://support.microsoft.com/de-de/help/12415/windows-10-recovery-options.
Wiederherstellung – Vorsorgen ist die halbe Miete In den Fällen, in denen sich der PC aufgrund der Verseuchung nicht mehr starten bzw. die Schadsoftware sich nicht mehr rückstandsfrei entfernen lässt, sollte man an eine Wiederherstellung des gesamten Windows-Systems denken.
Nutzen Sie deshalb die Möglichkeiten zur Sicherung und zur Wiederherstellung. Rufen Sie hierzu die Windows-Einstellungen mit der Tastenkombination (œ)+(I) auf und geben Sie in das Suchfeld Ihren Suchbegriff ein (siehe Bild links). Windows bietet Ihnen eine Lösung dafür an. Auch sollten Sie an die Erstellung eines Notfallmediums denken (DVD), mit dem ein Windows- System wiederhergestellt werden kann. Klicken Sie hierzu auf die Windows-Taste und geben Sie den Begriff »Systemsteuerung« ein. Nach dem Öffnen klicken Sie auf Sichern und Wiederherstellen und dann auf Systemreparaturdatenträger erstellen. Folgen Sie der Anleitung. Im Übrigen sollten Sie nicht nur im Hinblick auf einen Malware-Schaden eine entsprechende Vorsorge treffen. Der Datenbestand kann schlicht und ergreifend wegen eines Hardwareschadens verloren gehen, denn auch Festplattenausfälle sind nicht selten.
235
Windows bietet Ihnen bordeigene Mittel, Ihr System bzw. Ihre Ordner und Dateien zu sichern und notfalls wiederherzustellen. Das Wichtigste hierbei ist jedoch: Sie müssen vorsorgen, damit ein kompromittiertes System bzw. durch Schadsoftware (oder auf andere Weise) gelöschte Ordner oder Dateien wiederhergestellt werden können.
236 Auf einem Android-Gerät integrierter Virenscanner
Malware-Anzeichen auf AndroidSmartphones und -Tablets • Das Smartphone oder Tablet verlangsamt seinen Betrieb. • Apps starten nur schleppend. • Zusätzliche Apps werden ungewollt nachgeladen. • SMS werden an kostenpflichtige Nummern gesendet (Premium-SMS). • Auf dem Homescreen erscheinen vermehrt halb- bzw. ganzseitige Werbefenster. • Spam-E-Mails werden unter Ihrer Absenderadresse massenhaft versendet. • Ihre Apps oder Daten (oder Teile hiervon) sind plötzlich verschlüsselt. In Kapitel 8 auf Seite 199 habe ich bereits das Thema Antivirenprogramm auf Android-Geräten thematisiert. Auf einigen Android-Geräten findet sich zudem, über Google Play Protect hinaus, ein Antivirenprogramm, das in die Einstellungen-App integriert ist (siehe Bild links, Antivirenprogramm auf einem Smartphone Honor 6A mit Android 7.0). Besteht der Verdacht eines Befalls, versuchen Sie zunächst, mit Google Play Protect oder einem eventuell vorhandenen Virenscanner das Gerät zu überprüfen. Bei Letzterem lassen sich, ebenso wie beim Windows Defender, verschiedene Scanoptionen einstellen. Installieren und nutzen Sie, falls darüber hinaus nötig, ein Antivirenprogramm aus dem Google Play Store, um die Schadsoftware zu beseitigen. Im Google Play Store finden Sie Anti viren-Apps verschiedener Hersteller, wie z. B. Kaspersky, Avira und viele mehr.
237
Anzeichen dafür, dass Ihr Android-Smartphone oder -Tablet mit Schädlingen verseucht ist, können unter anderem sein:
238 Sichern und wiederherstellen/zurücksetzen auf einem Smartphone mit Android 9
Weitere Maßnahmen am Android-Gerät Haben Sie den Verdacht, dass eine installierte App die Malware beinhaltet, deinstallieren Sie diese App über die Einstellungen. Vergessen Sie vor der Deinstallation aber nicht, die von der App angelegten Dateien und den angelegten Cache zu löschen.
Android-Geräte bieten in den Einstellungen zwei hilfreiche Möglichkeiten: Zurücksetzen und Sichern und Wiederherstellen. Das Gerät kann komplett auf die Werkeinstellungen zurückgesetzt und wiederhergestellt werden. Auch das bietet sich an, um Malware wieder loszuwerden. Beim Zurücksetzen bzw. Wiederherstellen ist jedoch eines zu beachten: Das Sichern und Wiederherstellen läuft über das auf dem Gerät integrierte Google-Konto. Das Konto kann nach dem Zurücksetzen auf die Werkeinstellungen über die App Einstellungen wieder mit dem Android-Gerät verbunden werden. Dazu müssen Sie wissen, wie der Name des Google-Kontos lautet (eine Gmail-Adresse oder eine Telefonnummer, kann aus dem Gerät ausgelesen werden). Darüber hinaus müssen Sie das zugehörige Passwort unbedingt kennen. Denn ohne dieses Passwort können Sie das Google-Konto nicht mehr auf dem Gerät aktivieren. Aber Achtung: Beim Wiederherstellen besteht natürlich auch die Gefahr, dass Sie die malwareverseuchte App wieder mit auf das Gerät bringen. Im Zweifelsfall sollten Sie das Gerät lieber komplett neu installieren. Möchten Sie noch mehr darüber wissen, empfehle ich einen Artikel des Bundesamts für Sicherheit in der Informationstechnik für Bürger. Dieser beinhaltet Sicherheitshinweise, unter anderem auch zur Vermeidung von Schadsoftware auf dem mobilen Endgerät: https://www.bsi-fuer-buerger.de/BSIFB/ DE/Empfehlungen/BasisschutzGeraet/EinrichtungMobileGeraete/EinrichtungMobileGeraete_node. html.
239
Lässt sich die App nicht deinstallieren, starten Sie Ihr Gerät im sogenannten abgesicherten Modus und deinstallieren die fragliche App dann. Informationen zur vollständigen App-Deinstalla tion und zum Starten im abgesicherten Modus speziell für Ihr Gerät finden Sie per Internetrecherche.
240 Überprüfung der E-Mail-Adresse auf der Seite des HPI (Ausschnitt)
Wird meine E-Mail-Adresse missbräuchlich verwendet? Cyberkriminelle gelangen an die Daten von Internetnutzern, indem sie z. B. Firmenserver und Datenbanken hacken. Mit einer gehackten E-Mail-Adresse können z. B. Spam-E-Mails versandt werden: Die E-Mail-Postfächer der Adressaten werden mit Massen von E-Mails befüllt, und Sie werden als Absender angezeigt. Das Potsdamer Hasso-Plattner-Institut für Digital Engineering (HPI) schreibt auf seiner Website:
Haben auch Sie den Verdacht, dass mit Ihrer E-Mail-Adresse etwas nicht stimmt, können Sie mithilfe eines Datenabgleichs auf der Seite des HPI kontrollieren lassen, ob Ihre E-Mail-Adresse in Verbindung mit anderen persönlichen Daten (z. B. Telefonnummer, Geburtsdatum oder Adresse) im Internet offengelegt wurde und missbraucht werden könnte. Geben Sie hierzu die entsprechende E-Mail-Adresse auf https://sec.hpi.uni-potsdam.de/ilc/search;jsessionid=33124320D516F33E7FF 4CEF69BAD5990 ein. Das Ergebnis wird Ihnen per E-Mail an eben diese Adresse übersandt (siehe Abbildung auf der nächsten Seite). Weitere Überprüfungsmöglichkeiten bieten z. B. https://hacked-emails.com/ und https://haveibeen pwned.com/ (beide Seiten in englischer Sprache). Sollten als Ergebnis tatsächlich Unregelmäßigkeiten auftauchen, rate ich Ihnen dringend, das Passwort für diesen entsprechenden Account sofort zu erneuern. Die Überprüfung auf diesen Seiten ist allerdings lediglich ein Anhaltspunkt, aber keine hundertprozentige Gewähr dafür, dass Ihre E-Mail-Adresse nicht doch missbräuchlich verwendet wird.
241
»Täglich werden persönliche Identitätsdaten durch kriminelle Cyberangriffe erbeutet. Ein Großteil der gestohlenen Angaben wird anschließend in Internet-Datenbanken veröffentlicht und dient als Grund lage für weitere illegale Handlungen.«
242 E-Mail des HPI Identity Leak Checkers
Identitätsmissbrauch – wenn es ganz hart kommt Identitätsmissbrauch wird auch Identitätsdiebstahl genannt, was jedoch etwas irreführend ist, da die Identität ja nicht etwa gestohlen und damit komplett entfernt wurde.
Das passiert mir nicht? Leider doch: Immer mehr Internetnutzer verlieren nicht nur durch einen allzu sorglosen Umgang mit ihren Daten die eigene Identität. Sicherheitslecks auf Servern, z. B. von Onlineshops, bieten Cyberkriminellen immer wieder die Möglichkeit, an Daten von Nutzern heranzukommen. In den allermeisten Fällen versucht der Betrüger durch einen Identitätsmissbrauch, sich einen finanziellen Vorteil zu verschaffen. Dies kann z. B. folgendermaßen ablaufen: • Der Betrüger legt einen Account unter Ihrem Namen bei einem Onlineshop oder -verkaufsportal im In- oder Ausland an. Oftmals ist dafür der eindeutige Identifizierungsnachweis mittels eines amtlichen Dokuments (Personalausweis, Reisepass) nicht nötig. • Er bestellt Waren und gibt als Lieferanschrift eine Adresse an, die von Ihrer eigenen Adresse abweicht und die Ihnen höchstwahrscheinlich überhaupt nicht bekannt ist. Kennt der Betrüger sogar Ihre Bankdaten, kann er diese im Shop zusammen mit einer Einzugsermächtigung hinterlegen.
Fortsetzung
243
Kommen Ihre persönlichen Daten – und hierzu gehören nicht nur Name, Geburtsdaten, Anschrift und Erreichbarkeit über Telefon und E-Mail – in falsche Hände, sind dem Identitätsmissbrauch Tür und Tor geöffnet. Zu diesen persönlichen Daten zählen auch Bank- und Kreditkartendaten, Sozialversicherungsnummer, Führerscheindaten, Informationen zum Schulabschluss, zur beruflichen Tätigkeit, zu Hobbys, Vorlieben und Abneigungen, zum Einkommen und Familiäres. Je mehr dieser Daten in falsche Hände geraten, desto höher ist die Wahrscheinlichkeit, dass der Betrug gelingt.
244
Identitätsmissbrauch wenn es ganz hart kommt (Fortsetzung) • Die Ware wird an die hinterlegte Lieferanschrift gesendet, und der Betrag wird von Ihrem Konto abgebucht, oder Sie erhalten die Rechnung. • Eventuell erhalten Sie nach einer gewissen Zeit eine Mahnung mit Zahlungsaufforderung, da Sie der Zahlungsaufforderung (falls Sie überhaupt eine Rechnung erhalten haben) nicht nachgekommen sind.
Zum Vermögensnachteil kommen wahrscheinlich noch andere unliebsame Begleiterscheinungen hinzu. Dies kann Post vom zuständigen Amtsgericht sein, dass gegen Sie ein Pfändungs- und Überweisungsbeschluss (PfÜB) erlassen wurde, oder Ihre Hausbank teilt Ihnen mit, dass Sie nicht mehr kreditwürdig sind, wollen Sie einen solchen beantragen. Das kann z. B. die Folge eines nicht gerechtfertigten Schufa-Eintrags sein (siehe Seite 247). Von der Rufschädigung ganz zu schweigen. Oder Ihr Social-Media-Account wurde gekapert, und plötzlich werden von diesem Account aus kuriose Dinge im Netz verbreitet. Es kommt allerdings weniger häufig vor, dass durch einen Identitätsmissbrauch eine Person in Verruf oder Misskredit gebracht werden soll oder wird. Ich darf an die in den Jahren 2018 und 2019 bekannt gewordenen Datenlecks auf den Servern von Facebook erinnern. Hunderttausende Zugangsdaten von Usern wurden hier unverschlüsselt auf Servern abgelegt, und es war nur einem glücklichen Umstand zu verdanken, dass die Zugangsdaten der Nutzer nicht missbraucht wurden.
245
Genau jetzt haben Sie ein ziemliches Problem, da es mit nicht unerheblichem Aufwand verbunden ist, aus dieser Misere wieder herauszukommen. Jedenfalls steht Ärger ins Haus, dessen Ausmaß auf den ersten Blick nicht abzusehen ist.
246
Identitätsmissbrauch – was tun?
Die größte Auskunftei über die Kreditwürdigkeit privater Schuldner in Deutschland ist die Schufa Holding AG (www.schufa.de). Nahezu jeder Mensch, der innerhalb Deutschlands am bargeldlosen Zahlungsverkehr teilnimmt, ist hier verzeichnet. Die Datenbank der Schufa speichert positive und negative Informationen in Bezug auf das Zahlungsverhalten von Kunden. Sollte Ihnen z. B. ein neuer Handyvertrag oder ein Kredit verweigert werden oder ist es Ihnen nicht möglich, unter Ihrer Identität ein Konto zu eröffnen oder einen Handyvertrag abzuschließen, könnte dies mit einem negativen Schufa-Eintrag zusammenhängen, der im Zusammenhang mit Betrügereien zustande gekommen ist, bei denen Ihre Identität verwendet wurde. Die Schufa schreibt auf ihrer Homepage: »Als führender Lösungsanbieter von Auskunftei- und Informationsdienstleistungen für Unternehmen und Verbraucher verfügen wir über Daten zu 67,7 Millionen natürlichen Personen und 6 Millionen Unternehmen. Damit sind wir eine zuverlässige Informationsquelle für Unternehmen und Verbraucher.« Weitere Auskunfteien sind z. B. Creditreform, Accumio und CRIF Bürgel. Eigenauskunft können Sie auf den jeweiligen Homepages der Auskunfteien beantragen. Ebenso kann die Möglichkeit von www.selbstauskunft.net genutzt werden. Unter dem Schlagwort »Identitätsdiebstahl« finden sich auf den Seiten www.polizei-beratung.de und beim Bundesamt für Sicherheit in der Informationstechnik unter www.bsi-fuer-buerger.de weitere Informationen und Verhaltenstipps.
247
Gibt es Anzeichen dafür, dass Ihre Identität missbraucht oder gar gestohlen wurde, überlegen Sie sich den Gang zur Polizei. Viele Polizeidienststellen haben eine Abteilung »Cybercrime/Internetkriminalität«. Dort sitzen die richtigen Ansprechpartner, die Ihnen beratend zu Seite stehen können. Ist ein materieller Schaden eingetreten, sollten Sie auf jeden Fall Anzeige erstatten.
248
Soll ich auf Forderungen reagieren? Selbst wenn Forderungen (Rechnungen oder Mahnungen) aus Ihrer Sicht ungerechtfertigt sind, weil sie durch einen Datenmissbrauch oder Identitätsdiebstahl entstanden sind, sollten Sie dennoch gegenüber dem Rechnungssteller reagieren – am besten schriftlich und mit einer rechtssicheren Zustellungsart, damit Sie im Fall der Fälle auch Nachweise in Händen halten.
Möchten Sie nicht gleich einen Anwalt konsultieren, ist die Kontaktaufnahme mit der Verbraucherzentrale eine Alternative. Die dortige Beratung erfolgt durch Rechtsberater, die zumeist Juristen, jedenfalls aber bestens geschultes Fachpersonal sind. Auf der Seite www.verbraucherzentrale.de finden Sie die Verbraucherzentrale in Ihrer Nähe. Erfragen Sie in beiden Fällen die Höhe des Beratungshonorars. Das Honorar für eine Erstberatung bei den Verbraucherzentralen liegt in der Regel unter dem Honorar eines Rechtsanwalts. Sind allerdings weitere anwaltliche Tätigkeiten nötig (z. B. Korrespondenz mit dem Mahnenden, Fertigung von Schriftsätzen etc.), ist der Gang zum Rechtsanwalt nahezu unausweichlich.
249
Sollten die Forderungen überhand nehmen oder kommen Sie an die Grenzen Ihrer Mittel, ist es durchaus angezeigt, einen Rechtsanwalt zurate zu ziehen, der das Fachgebiet Verbraucherrecht abdeckt.
250
Weiterführende Informationen Zum Abschluss möchte ich Ihnen noch einige Links auf interessante Websites nennen, die ergänzende, weitergehende und vertiefende Informationen zum Thema Cybercrime und darüber hinaus zu vielen Themen rund um Internet, Computer, Smartphone & Co. bieten. www.bsi-fuer-buerger.de Bietet Informationen zu Computer, Smartphone & Co. sowie IT-Sicherheit und vieles mehr. Leicht verständlich und eingängig erklärt. www.verbraucherzentrale.de
www.watchlist-internet.at Unabhängige Informationsplattform zu Internetbetrug und betrugsähnlichen Onlinefallen. Sie informiert über aktuelle Betrugsfälle im Internet und gibt Tipps dazu, wie man sich vor gängigen Betrugsmaschen schützen kann. www.klicksafe.de EU-Initiative für mehr Sicherheit im Netz. Eigene spezielle Bereiche für Kinder, Jugendliche, Eltern und Pädagogen. https://www.sicher-im-netz.de/ Bietet vielfältige Angebote zur digitalen Aufklärung für Jung und Alt. Unter der Schirmherrschaft des Bundesministeriums des Innern, für Bau und Heimat.
251
Homepage der Verbraucherzentrale Bundesverband. Beschäftigt sich mit den vielfältigsten Verbraucherthemen.
Index A
abgesicherter Modus 239 AGB 59 Aggregator, WAP-Billing 95 Akteure, WAP-Billing 95 allgemeine Geschäftsbedingungen 59 Android Malware 237, 239 Sichern und Wiederherstellen 239 Werkeinstellungen 239 Zurücksetzen 239 Antivirenprogramm Defender 159 Antivirenprogramme 159, 161 Android 199 iPhone 203 App-Installation 181 App-Sperre 187 App Store 181 AutoAusfüllen-Funktion, Passwörter 171 Avira 159
B
Bandansagen 115 Bankeinzug, Bezahlmethode 29 Benutzerkonten, unter Windows 167
Bestellbutton 21 EU-Recht 25 Pflichtinformationen 23 Betrugsmethoden 63 Bezahlmethoden online 29 Bezahlmöglichkeiten, Website 57 Body, Website 41 Bootreihenfolge, ändern 233 Bot-Netzwerk 127 Browser 173 Browsereinstellungen 169 Button 21 Buttonlösung 21
C
Call-IP-Spoofing 117 CEO Fraud 135 Checkliste, zur Seriosität einer Website 43 Cookies 171
D
Daten, auf Smartphone und Tablet 195 Datenbestand, sichern 235 Datensammeln, durch Internetfirmen 147 Datenschutzerklärung 59 Datenschutzgrundverordnung 59 Datensparsamkeit 151 Datenspur 147
Datenvermeidung 153 Datenwertschöpfungskette 147 DCB (Direct-Carrier-Billing) 87 Defender, Antivirenprogramm 159 Deinstallation, Apps 239 Dienste im Internet 15 Direct-Carrier-Billing 87 Drittanbietersperre 105 DSGVO 59
E
Einreiseantrag USA, Betrugs masche 77 E-Mail-Adresse, gehackte 241 E-Mail-Anhänge 127 Entsperrcode, Apps 187 Entsperrmethode, Smartphone 179 Erste Hilfe, im Schadensfall 221 EU-Verbraucherrechte-Richtlinie 25
F
Facebook, Geschäftsmodell 141 Face Unlock 179 Fake Chef 135 Fake President 135 Fake-Shops 65 Festnetz, Gefahren 85 Filmstreaming-Portale 69
253
0900-Sonderrufnummern 111
Firewall 163 Android 201 iPhone 203 Footer, Website 41 Freiwilliges Redirect, Mobilfunkanbieter 107
J
G
Kaspersky 159 Käuferschutz 31 Kontrolle, über eigene Daten 153 Kostenfalle Werbebanner, zusammengefasst 109 Kreditkarte, Bezahlmethode 29
giropay, Bezahlmethode 29 Google Play Protect 237 Gütesiegel 51 Gutscheincode, Bezahlmethode 31
H 254
Handyrechnung, bezahlen über 87 Header, Website 41 Hilfe, im Schadensfall 221 HTTPS-Verbindung 53
I
Identitätsmissbrauch 243, 245, 247 Impressum, Website 49 informationelle Selbstbestimmung 139 InPrivate-Modus 171 Internetbezahlsystem 31 Internetgütesiegel 51 Internetrouter 175 Internetseite, Aufbau 41
Jahresabos 67 Jailbreak, iPhone 203 Junk-E-Mails 125
K
L
Lastschrift, Bezahlmethode 29 Linux, Offline-Scan 233
M
Malware 225 Malware-Anzeichen Android 237 Internetnutzung 229 Rechner 227 McAfee 159 Microsoft Edge, Einstellungen 171 Mietwohnungen, Betrugsmethode 73 MSISDN (Mobile Subscriber Integrated Services Digital Network Number) 95 Musterbriefe 103
N
Navigationsleisten, Website 41 NetGuard, Firewall 201 Notfallmedium, zur Wiederherstellung 235 Notfall-Virenscanner 233
O
Offline-Virenscan 233 Onlinebezahlmethoden 29 Onlinekauf, versus Kauf im Geschäft 27 Online-Tracking 171 Orten, Smartphone 197
P
Passwort E-Mail 209 erstellen 205 für den Sperrbildschirm 179 Grundregeln 207 Merksatzmethode 211 Social-Media-Plattformen 209 überprüfen 215 wechseln 209 Passwortkarte 213 Passwort-Manager 215 Passwort-Schlüssel-Automat 217 paydirekt, Bezahlmethode 31 PayPal, Bezahlmethode 31 paysafecard, Bezahlmethode 31 PC Grundschutz 155 sicher einrichten 155
R
Rechnung, Bezahlmethode 29 Recht auf informationelle Selbst bestimmung 149 Rechtsanwalt 249 Risiken, der Internetnutzung 17 Rooten, Android 203 Routenplaner 67 Router 175 Rücksendekosten 27
S
Sachmängel 27 Schadsoftware 157, 225 Schließen-Kreuz, in Werbe bannern 89 Schnellcheck, Website 39 Überblick 43 Schufa 247 Seriositätscheck, Website 43 Sicherheitslecks 243 SIM-Karte 179 Smartphone, Gefahren 85 Snipping Tool 169 soziale Netzwerke, Geschäfts modell 143
Spam-E-Mails 125 sprachliche Mängel, Website 45 Symantec Norton 159
T
TCP/IP-Netzwerkprotokoll 13 telefonische Erreichbarkeit, Websitebetreiber 55 Telefonwerbung 119 Trojaner 157 Befall 223
U
Überweisung, Bezahlmethode 29 Updates, installieren 221 USIM-Karte 179
V
Verbraucherrechte online 27 Verbraucherzentrale 249 Vereine, Fake Chef 137 Verschlüsselung, Daten auf Smartphone und Tablet 195 Vertragsabschlüsse am Telefon 119 Verhaltenstipps 121 Viren 157 Virendefinitionen 231 aktuelle 161 Virenscan 231 offline 233 Virensignatur 231 Virtuelles Privates Netzwerk, VPN 193
Virus 127 Virusbefall 223 Vorsorge, für PC-Wiederherstellung 235
W
WAP-Billing (Wireless Application Protocol) 87 Abo, Gegenmaßnahmen 103 Akteure 95 Wayback Machine 7 Website, Aufbau 41 Werbebanner Abofalle 89 im WLAN 99 Werbung, Website 47 Widerrufsbelehrung 27, 59 Widerrufsrecht 27 Wiederherstellung, Windows 235 Windows 10, Grundschutz 157 Windows Defender Security Center 157 Windows Defender SmartScreen 171 WLAN-Hotspots öffentliche 189 Regeln 193 unverschlüsselte 191 Wohnmobile, Betrugsmethode 79
Z
Zugriffsberechtigungen, Apps 183, 185 Zwei-Faktor-Authentisierung 219
255
persönliche Daten, Schutz 139 Phishing-E-Mails 125–131 PIN 179 PING-Anrufe 115 Play Store 181 Pop-ups, Website 47 Premium-Dienste 111 Provider 15