Nutzer der Dienste von Google und AOL werden Opfer von Onlinekriminellen

Hamburg. Spam-Mails im Posteingang sind für jeden Internetnutzer ein Ärgernis – aber es gibt Schlimmeres: Ungewollt kann man selbst zum Versender von betrügerischen Mails werden. Die Hamburgerin Angela Grosse hat das erlebt. Sie wurde darauf aufmerksam, als sie von Bekannten angerufen und gefragt wurde, in welchen Schwierigkeiten sie denn stecke. Denn Freunde und Geschäftspartner der freiberuflich tätigen Wissenschaftsjournalistin hatten einen offenbar von ihrer Gmail-Adresse abgesendeten Hilferuf erhalten: Sie habe auf einer Reise in England ihre Papiere samt Kreditkarte verloren und bitte auf diesem Wege darum, ihr „so schnell wie möglich“ über den Geldanweisungsdienst Moneygram 1730 Pfund für ein Rückflugticket und die Hotelrechnungen zu leihen.

Angela Grosse wusste sofort, dass sie das Opfer von Computerkriminellen geworden war. „Ich habe gleich versucht, möglichst viele meiner Bekannten per SMS zu warnen“, sagt sie. Zu ihrer E-Mail-Adresse bekam sie keinen Zugang mehr. Dafür hatte das Programm, mit dem die Betrüger arbeiten, bereits gesorgt.

Erst nach rund eineinhalb Stunden gelang es der Hamburgerin, über das Mail-Konto einer Freundin den Internetkonzern Google, den Betreiber des Gmail-Dienstes, zu informieren. „Eine Notrufnummer für solche Fälle gibt es nicht“, sagt Grosse. „Warum kann Google nicht wie ein Telekommunikationsunternehmen eine telefonische Störungsannahme haben?“

Anschließend ging sie zur Polizei und erstattete Strafanzeige gegen Unbekannt. Derartige Anzeigen dürften sich in diesem Jahr häufen. Denn gerade erst in dieser Woche musste AOL Mail, ein anderer großer E-Mail-Dienst, eine Sicherheitslücke einräumen: Zahlreiche Nutzer beschwerten sich, weil in ihrem Namen zum Beispiel Werbemails für Diätpillen verschickt wurden. Nach Darstellung von AOL handelte es sich allerdings um Fälle von so genanntem „Spoofing“; demnach haben die Betrüger die AOL-Absenderadresse nur vorgetäuscht, ohne dass die Mails tatsächlich über einen Server des Konzerns versendet wurden.

„Identitätsdiebstahl ist eines der größten Risiken bei der Internetnutzung“, heißt es dazu vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Ziel der Onlinekriminellen sei es, im Namen anderer Internetnutzer aufzutreten, E-Mails zu versenden, auf fremde Kosten in einem Online-Shop einzukaufen oder sich auf andere Weise zu bereichern.

Anfang April hatte nach Angaben des BSI die Staatsanwaltschaft Verden einen Datensatz mit rund drei Millionen deutschen E-Mail-Adressen samt Passwörtern, die von Hackern ermittelt worden waren, sichergestellt. Betroffene Nutzer der Telekom sowie von Freenet, gmx.de, Kabel Deutschland, Vodafone und web.de wurden informiert.

Außerdem hatte das Bundesamt einen Sicherheitstest ins Internet gestellt, mit dem man prüfen konnte, ob die eigene Adresse kompromittiert ist. Angela Grosse hat das mehrfach getan, ihr Mail-Zugang wurde aber nicht als gefährdet eingestuft.

„Die Bedrohung durch schadhafte E-Mails nimmt zu, die Tricks und Täuschungen der Cyberkriminellen werden immer ausgefeilter“, heißt es auch vom Hamburger Deutschland-Büro der Firma Return Path, die auf dem Gebiet der E-Mail-Analyse tätig ist. Die Zahl betrügerischer E-Mails sei hoch. Dazu gehört das so genannte Phishing, bei dem die Betrüger versuchen, Menschen auf Nachbildungen vertrauenswürdiger Internetseiten zu locken, um an persönliche Daten wie etwa Bankkontonummen zu gelangen. Einer Studie des Softwarekonzerns Microsoft zufolge beläuft sich der direkte Schaden durch Phishing-Attacken, auf die Gesamtbevölkerung hochgerechnet, in Deutschland auf 138 Euro pro Anwender.

Zwar dürfte es den meisten Internetnutzern verdächtig vorkommen, wenn etwa ein „Mr. Raymond Chukwueugo Mgbekwere“ von einer nigerianischen Bank per Mail eine Geschäfts-transaktion, die einen zweistelligen Millionenbetrag einbringen soll, vorschlägt. Wenn aber ein Bekannter über das Internet um Hilfe bittet, „sollte man sich in jedem Fall rückversichern, ob tatsächlich ein solcher Notfall vorliegt“, rät eine Polizeisprecherin. Skeptisch sollte man auch bei Schreibfehlern werden: Onlinekriminelle bauen sie absichtlich ein, weil Personen, die auf fehlerbehaftete E-Mails antworten, dann leichter auszutricksen sind.

Auf konkrete Anfragen zur betrügerischen Nutzung von Gmail-Adressen äußerte sich Google nicht. Angela Grosse müsse dem Unternehmen eine funktionierende eigene E-Mail-Adresse nennen, damit man ihr helfen könne, hieß es lediglich. Die Hamburgerin ist verärgert: „Google hat sich nach eineinhalb Tagen noch nicht bei mir gemeldet oder den Zugang zu meinem Mail-Konto wiederhergestellt. Ist das etwa Kundenfreundlichkeit?“