Oma Kasulke ist eine nette alte Dame. Oma Kasulke hat keine Angst vor Technik, und deshalb hat sie sich von ihrem Enkel Kevin Kasulke einen PC mit Internet-Zugang einrichten lassen. Das war vor zwei Jahren, und seitdem ist Oma Kasulke unterwegs im Netz, freut sich über neue Bilder von den Enkeln in der Mailbox, sieht im Netz nach, wann ihre Lieblings-Volksmusiksendung das nächste Mal kommt, verwaltet ihr Giro- und ihr Sparkonto online, lädt selbstverständlich immer die neuesten Patches für ihren Rechner herunter, und weil sie – natürlich online – soviel davon gelesen hat, erschreckte sie Klein-Kevin kürzlich mit der Frage, ob denn dieses "Linux" nichts für sie wäre.

Oma Kasulke kennt sich also aus. Umso überraschter war sie, als sie letzten Donnerstag E-Mail von einer amerikanischen Großbank bekam. Nun spricht Oma Kasulke leidlich englisch, aber was die amerikanische Bank schrieb, verstand sie nicht: Die amerikanische Bank entschuldigte sich tausendmal für die Unannehmlichkeit, aber da habe es ein Problem im Rechenzentrum gegeben, weshalb die Konten-Eintragungen ein wenig durcheinander geraten seien. Und ob Oma Kasulke sich vielleicht die Mühe machen könnte, die korrekten Daten, also Name, Kontonummer, Benutzername und Passwort auf einer Web-Seite der Bank noch einmal eingeben könnte – vielen Dank.

Drei Fragezeichen

Oma Kasulke war verwirrt, denn: Sie hat gar kein Konto bei einer amerikanischen Bank. Warum auch? Ohne es zu wissen, hatte Oma Kasulke zum ersten Mal in ihrem Online-Leben einen Phishing-Angriff erlebt – und weil sie auf die Mail mangels US-Konto nicht reagierte, ins Leere laufen lassen. „Phishing" spricht sich wie das englische Wort „fishing" aus (von dem es auch abgeleitet wurde) und ist Hacker-Englisch für den Versuch, an finanziell vertrauliche Daten nichtsahnender Internet-Nutzer zu kommen.

Und das geht so ...

Phisher gehen, nicht zu Unrecht, davon aus, dass ein Großteil der Menschen, die im Netz unterwegs sind, dort auch einkaufen. Des weiteren nehmen Phisher an, dass diese Nutzer nicht immer bis ins Letzte den Überblick über das behalten, was, wann und wo im Netz sie eingekauft haben. Und schließlich haben Phisher einen Volkshochschulkurs (oder zwei) im Webseitenbau besucht und sind ganz geschickt darin, das Design einer echten Bank-Webseite zu kopieren, so dass sowohl die einleitende E-Mail wie auch die Seite, die der ahnungslose Phish besuchen soll, von legitimer Mail beziehungsweise Seite nur schwer zu unterscheiden sind.

Die "Phishing-Flut"

Phishing ist unter den Betrügern dieser geplagten Welt zum Volkssport geworden – schließlich ist es nicht sonderlich schwer, auf einem Server in China oder Südkorea einen Hosting-Account aufzumachen, die gefälschten Seiten hochzuladen und dann Lock-Mails an Millionen loszuschicken.

Die US-Consulting-Firma Gartner Inc. schätzt, dass inzwischen schon 57 Millionen Amerikaner eine oder mehrere Phishing-Mails bekommen haben, dass 11 Millionen sich auch, ob aus Neugier oder aus Gutgläubigkeit, auf die Seite des Phishers durchgeklickt haben, und dass 1,8 Millionen Amerikaner tatsächlich persönliche Kontoinformationen preisgegeben haben – und sich später über ungewöhnlich niedrige Kontoauszüge wundern mussten.

Und Oma Kasulke?

Nun, Oma Kasulke hat Glück gehabt. Denn die Mail der US-Bank hat sie so misstrauisch gemacht, dass sie sich im Netz kundig machte. Und wenn demnächst von ihrer Bank eine ähnlich aussehende Mail kommt mit der Aufforderung, doch bitte die eigenen Daten zwecks Überprüfung einzugeben, wird sie das einzig Richtige tun: Sie wird sich ausloggen, zum Telefonhörer greifen und ihren Filialleiter anrufen – übrigens einen ausgesprochen reizenden jungen Mann, den sie viel lieber zum Schwiegersohn hätte als Kevins Vater.