Spam: Diese gefährlichen Betrugsmaschen sollten Sie kennen

Spam-E-Mails sind die alltägliche Plage im Postfach. Doch welche Arten von Betrug gibt es, wie groß ist der Schaden – und warum fallen Menschen überhaupt auf Spam-E-Mails herein?

"Wir laden Sie ein, den '2020' zu begutachten und bei den zwei Produktvorstellungen, die wir in Kalifornien diesen Monat geben, mehr über die DECsystem-20-Familie zu erfahren." Dieser Satz ist nur Teil einer längeren E-Mail, abgeschickt am 1. Mai 1978 von einem Mann namens Gary Thuerk. Sein Ziel: für Computer der DECsystem-20-Familie werben.

Die etwa 1.241 Zeichen lange Nachricht gilt als erste Spam-E-Mail der Welt. Thuerk schickte die Botschaft an Nutzer des Arpanet, einem Vorläufer des Internets. 400 Empfänger sollte sie erreichen. Doch bei Nummer 320 brach das E-Mail-Programm zusammen. Heute besteht mehr als die Hälfte des weltweiten E-Mail-Verkehrs aus Spam: Laut Statista betrug der Anteil an Spam-E-Mails im Juni 2019 etwa 57 Prozent. Die E-Mail-Anbieter GMX und Web.de beziffern das Spam-Volumen auf über eine Milliarde E-Mails pro Woche. Andere Quellen sprechen von Milliarden täglich.

Was 2019 zum Alltag gehört, war anno 1978 ein Unikat. Viele Nutzer kritisieren Thuerk damals für die Nachricht. Doch im Vergleich zu dem, was heute im Postfach landet, scheint eine Werbemail für Computer harmlos.

Behörden warnen vor bekannten Betrugsmaschen

Denn neben Werbe-E-Mails umfasst Spam heutzutage auch Hoax-, Phishing- oder Scam-Nachrichten. Bei Hoax-Messages verbreiten Unbekannte eine Falschmeldung – entweder zum Spaß, oder um Desinformation zu verbreiten. Sowohl das Bundeskriminalamt (BKA) als auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) raten, Hoax-E-Mails zu löschen.

Bei Phishing haben es Kriminelle auf Daten der Nutzer abgesehen: Mit gefälschten E-Mails – meist im Namen bekannter Unternehmen – versuchen sie, Nutzer auf falsche Websites zu locken. Hier sollen Nutzer persönliche Informationen wie Adresse oder Bankdaten eingeben. Mehr zu Phishing und wie Sie die Betrugs-E-Mails erkennen, lesen Sie hier.

Zuweilen verbreiten Kriminelle durch Spam auch Trojaner wie Emotet. Das BSI bezeichnet das Programm als "weltweit gefährlichste Schadsoftware". Mehr zu Emotet lesen Sie hier.

Vorsicht vor Scam-E-Mails

Für Nutzer besonders schädlich sind auch Scam-E-Mails. Scam bedeutet übersetzt Betrug. Mit Scam-Nachrichten versuchen Kriminelle, den Empfänger um Geld (und Daten) zu betrügen. Die Unbekannten versprechen Empfängern dabei "die große Liebe, das schnelle Geld oder den Traumjob", schreibt die Polizeiliche Kriminalprävention. Doch um das Ersehnte zu erhalten, müssen Nutzer erst Geld im Voraus zahlen, beispielsweise für "Anwaltsgebühren". "Dies ist das eigentliche Ziel des Scams – Gewinne beziehungsweise der schnelle Reichtum bleiben aus", schreibt das BKA auf seiner Website.

Die Behörde bezeichnet solche Methoden als Vorschussbetrug oder "Nigeria Connection". Hintergrund ist, dass sich die Kriminellen besonders zu Beginn dieser Betrugsmethode 1988 in Faxen oder Briefen als afrikanische Geschäftsleute ausgaben, wie die Bayerische Polizei auf ihrer Seite schreibt. Um den Betrug glaubhaft aussehen zu lassen, erhalten Opfer dabei – mal mehr, mal weniger echt aussehende – Dokumente per E-Mail, teilweise auch per Brief oder Fax. Auch t-online.de hatte mit einem solchen Vorschussbetrüger Kontakt. Die Geschichte lesen Sie hier.

Millionenschaden in Deutschland durch Computerbetrug

Fälle wie Scam oder Phishing listet das BKA nach eigenen Angaben unter "Betrugsfälle mit Tatmittel Internet". Laut dem Cybercrime-Bericht von 2018 wurden 271.864 Fälle erfasst, in denen das Internet als Tatmittel genutzt wurde. Im Bereich Phishing im Onlinebanking nennt das BKA 723 Fälle.

Für Cybercrime im engeren Sinne zählt das BKA für 2018 rund 87.000 Fälle. Darunter fällt auch Überweisungsbetrug, der oft im Zusammenhang mit Phishing steht.

Zu den Schäden von Cybercrime finden sich unterschiedliche Zahlen. Das BKA selbst spricht von etwa 60 Millionen Euro. Allerdings schreibt die Behörde auch, dass sich "valide Aussagen zum tatsächlichen monetären Gesamtschaden durch Cybercrime" auf Basis der Polizeilichen Kriminalstatistik (PKS) nicht treffen lassen. Die PKS rechnet unter Cybercrime nämlich nur Computer- und Telefonbetrug. Auch betont das BKA, dass sich finanzielle Schäden durch "Reputationsverlust oder Imageschäden" nur schwer berechnen lassen.

Der Bitkom schätzt den finanziellen Schaden durch Cybercrime an der deutschen Wirtschaft für die vergangenen zwei Jahre auf etwa 43 Milliarden Euro. Weltweit soll sich der wirtschaftliche Schaden laut dem BKA-Bericht sogar auf 600 Milliarden Dollar belaufen.

Jeder kann Opfer von Scam werden

Und warum fallen Menschen immer wieder auf solche Maschen herein? Die Medienpsychologin Astrid Carolus von der Universität Würzburg erklärt das mit dem Begriff Social Engineering. "Man hat ein System aus Hardware, Software und dem Benutzer", sagte die Forscherin der Nachrichtenagentur dpa im Mai 2018. Betrüger können eben nicht nur Geräte, sondern auch Benutzer manipulieren.

Menschen beschreibt Carolus dabei als "soziale Wesen": "Sie haben das Bedürfnis, anderen zu helfen, und eine Neigung, anderen zu vertrauen." Auf Texte, die Mitleid oder Gier wecken, die den Helferinstinkt ansprechen, reagieren Menschen darum eher impulsiv als analytisch. "Das hat dann sehr wenig mit Intelligenz zu tun", sagt Carolus. Menschen aus allen Bildungsschichten fallen auf Betrugs-E-Mails herein, vor allem, wenn diese genau auf einzelne Empfänger zugeschnitten sind.

Wie kommen Betrüger an die E-Mail-Adresse?

Laut dem BSI können Spammer durch sogenannte Harvester an Ihre E-Mail-Adresse gelangen. Dabei handelt es sich um Programme, die das Netz nach freiliegenden Adressen absuchen, beispielsweise in einem Impressum oder einem Gästebucheintrag. "Oft aber werden Adressen einfach nur aufs Geratewohl aus häufig vorkommenden Kombinationen zusammengesetzt – etwa nach dem Schema info@domain.de", schreibt das BSI.

Wer das Spam-Risiko minimieren möchte, sollte seine E-Mail-Adresse beziehungsweise veraltete Accounts von allen Seiten und Diensten löschen lassen, die er nicht mehr verwendet. Wie Sie alte Accounts finden und löschen, erklären wir in diesem Artikel.

Was kann ich tun, wenn ich betrogen wurde?

Wenn Sie merken, dass Sie mit einem Scammer in Kontakt sind, blockieren Sie die Person am besten. Falls Sie dem Betrüger persönliche Informationen wie Ihre Ausweisdaten gegeben haben oder bereits um Geld betrogen wurden, sollten Sie sich an die Polizei wenden, schreibt die Polizeiliche Kriminalprävention. Anzeigen können Sie auch über Internetwache der jeweiligen Polizei erstatten. Eine Liste mit Onlinewachen aller Bundesländer finden Sie auf der Website des LKA Niedersachsen.

Grundsätzlich sollten Sie Spam-E-Mails niemals öffnen und "immer unverzüglich löschen", rät die Verbraucherzentrale. Um Spam zu erkennen, achten Sie vor dem Öffnen von Nachrichten auf die Betreffzeile und den Absender der E-Mail. Links oder Anhänge in E-Mails von Unbekannten sollten Sie generell meiden.