In den letzten Monaten gab es vor allem in Online-Medien für die Massen, wie beispielsweise 20 Minuten, wiederholt Berichte über betrügerische Online-Shops, allgemein «Fake Shops» genannt. Verbraucherzentralen in Deutschland warnen bereits seit geraumer Zeit. Das Thema ist nicht neu.
In diesem Blogeintrag wollen wir nicht Medienberichte wiederholen. Wer nachschauen möchte, findet unten eine Auswahl von Links zum Thema. Wir wollen hingegen auf ein paar einzelne Punkte eingehen, die uns aus unserem Erfahrungsschatz heraus besonders ins Auge stechen.
Das ist Teil eins. Wir werden in den kommenden Wochen den zweiten und letzten Teil online stellen.
Beginnen wir mit der Frage:
Warum «fake» Websites? Was steckt dahinter?
Offensichtlich steckt dahinter eine Form von Betrug oder «Scam», wie man es landläufig aus dem Amerikanischen kommend nennt. Wobei es nicht vordergründig um Geld gehen muss. Es gibt auch Scams, die auf Identitätsklau oder ganz einfach Datenklau ausgerichtet sind. Sie versuchen an wertvolle Infos der Online-Nutzer zu kommen, z.B. Kreditkarteninfos, komplette Adressen, Telefonnummern, E-Mail-Adressen, Geburtsdaten, Passwörter usw.
Es gibt Marktplätze im «Dark Web», die sich auf den Verkauf von Kreditkarten- und sonstigen persönlichen Infos spezialisiert haben. Gestohlene persönliche Daten werden unter anderem benötigt, um Fake Shops oder andere betrügerische Sites einzurichten, ja, sogar, um Werbung im Web für diese Shops zu platzieren.
Generell empfehlen wir alles, was du auf dem Web oder in sozialen Medien siehst, das irgendwie zu schön um wahr zu sein klingt, 100 % in Frage zu stellen. Das gilt für das reale «offline» Leben, jedoch für das Web umso mehr.
Als Beispiel: Resultate mit vollmundigen Shop- oder Websitebeschreibungen in einer Suchmaschine bedeuten nicht, dass die Suchfirma dahinter die einzelnen Links und Texte (die «meta description») auf Wahrheit geprüft hat. Das wäre bei der Fülle an Einträgen im Suchindex der Suchmaschine unmöglich. Auch der Einsatz von KI wird aus unserer Sicht hier wenig ändern.
Die Verantwortung, welchen Link man in einem sozialen Medium, in einem Suchresultat, auf einer Website klickt, liegt seit den Ursprüngen des Web weiterhin beim Nutzer. Der beste Schutz ist deshalb aus unserer Sicht kritisches Denken. Hinterfrage alles, was du online siehst.
Problem Eins — Webadresse: Schützen gewisse Toplevel-Domains, z.B. Länder-Kürzel wie «ch», «de» oder «eu» vor Betrügern?
In den Urzeiten des Webs, so ungefähr 1994, konnte man Schweiz-Domains mit dem Suffix «.ch» nur bei SWITCH in Zürich registrieren. Seit vielen Jahren jedoch können x-beliebige sogenannte «Domain Registrars» weltweit ch-Domains registrieren lassen.
Stellt sich die Frage: Muss man eine Adresse in der Schweiz besitzen, um einen .ch-Domain-Namen zu registrieren?
SWITCH bzw. nic.ch, die offizielle Registrierungsstelle für ch-Domains, schreibt dazu:
Muss man Schweizer sein, um einen .ch-Domain-Namen zu registrieren?
Man muss nicht Schweizer sein oder Wohn-/Firmensitz in der Schweiz haben, um einen .ch-Domain-Namen zu registrieren. Daher kann man aber bei einem .ch-Domain-Namen auch nicht davon ausgehen, dass eine Schweizer Firma oder eine Person aus der Schweiz dahinter steht.
https://www.nic.ch/de/support/general/#swiss
Somit kann sich durchaus betrügerische Absicht hinter einem bewährten, vertrauenswürdigen «.ch»-Domain-Namen verbergen. Leider vermissen wir diesen Hinweis in den Mediaberichten zu «fake Shops». Wir empfehlen, Shops oder Sites mit ch-Domain, die einem unbekannt sind, recht gründlich anzuschauen.
In Deutschland oder allgemein in der EU besteht ein gewisser Schutz für Webnutzer, denn um eine «de»-Domain oder allgemein eine «eu»-Domain zu registrieren, braucht es eine echte Adresse in Deutschland bzw. in einem EU-Land. Es obliegt dem Domain-Registrar diese Daten zu überprüfen. Uns ist nicht bekannt, ob und wie weit das geschieht.
Eine mögliche Lösung für Schweizer Firmen. Top-Level-Domain «swiss»
Anders sieht es mit der Domain «swiss» aus, die es erst seit knapp zehn Jahren gibt. Hier muss man eine ganze Liste von Bedingungen erfüllen:
https://www.nic.swiss/nic/de/home/registrieren-sie-ihre-swiss-domain/wen-kontaktieren-.html
Das Angebot richtet sich vor allem an Firmen, auch weil ein Schweizer Handelsregistereintrag erforderlich ist. Privatpersonen sind unerwünscht. Mehr Info über die Geschichte von «swiss»: https://de.wikipedia.org/wiki/.swiss
Vielleicht würde mehr Anwendung von «swiss»-Domains Vertrauen im Web schaffen, jedoch ist der Registrierprozess mit Prüfung durch das BAKOM sehr aufwändig. Die Kosten für eine solche Domain bewegen sich im Rahmen zwischen hundert und zwei hundert Franken im Jahr.
Aktuell zweifeln wir, ob die Mehrheit der Schweizer Webnutzer überhaupt weiss, dass jede Registrierung einer «swiss»-Domain rigoros geprüft wird.
Problem Zwei — Webadresse: Adresse verändert sich nach Klick
Ja, die meisten Auflistungen mit Tipps, wie man fake Shops (und allgemein Websites) erkennt, geben den Rat, aufmerksam zu sein beim Laden der Seite: Ändert sich die Adresse? Stimmt der Link, das man z.B. in den Google-Suchresultaten gelesen hat mit der tatsächlichen Adresse nach dem Laden der Website überein?
Aus der Praxis wissen wir, dass ein solcher «Phishing Link» (kennt man auch aus «Phishing E-Mails») zu schnell lädt, um viel sehen zu können. Eine Ausnahme ist, wenn es sich um das «Faken» eines bekannten Shops handelt. Ein Beispiel:
Der Originalshop, wie alle Nutzer wissen, hat die Adresse (bekannt aus Funk und Fernsehen):
https://original-bekannter-shop.ch
Plötzlich steht jedoch oben im Adresseingabefeld des Browsers:
https://original-bekannter-sh0p.ch.com
oder auch populär: eine zusätzliche Sub-Domain vor der ch-Domain:
https://original-bekannter-shop.shopxyz.ch
oder Variationen.
Aber wir finden, das funktioniert nur bei ganz bekannten Websites. Niemand kann sich alle Webadressen von Shops merken. Dafür nutzen wir bekanntlich Suchmaschinen. Die Lösung? Überprüfen bei Zweifeln, wer überhaupt hinter der Domain steckt.
Website-Verschlüsselung (SSL-Zertifikat) als Sicherheitsmerkmal?
Heutige Websites, vor allem Shops, sollten eine Website-Verschlüsselung anbieten. Das bedeutet, dass alle Daten, die zwischen deinem Browser und der Website transferiert werden, vor Hackerangriffen sicher sind. Damit das funktioniert, muss die Website ein Sicherheitszertifikat installiert haben.
Am Rande erwähnt: Das ursprüngliche SSL oder «Secure Sockets Layer»-Sicherheitsprotokoll wurde schon vor langer Zeit durch das viel sicherere «Transport Layer Security» (TLS)-Protokoll abgelöst, jedoch wird immer noch der Begriff SSL benützt, ganz einfach, weil er sich eingebürgert hat.
Verschlüsselung ist am einfachsten ersichtlich, wenn man in das Adresseingabefeld ganz oben im Browser reinschaut. Beginnt dort eine Webadresse mit «https» dürfte Verschlüsselung auf Serverseite bestehen. Die meisten Browser zeigen daneben noch das Icon eines Vorhängeschlosses (Google Chrome zeigt das in den neusten Versionen nicht mehr). Durch klicken auf das Icon gibt es die Möglichkeit mehr Einzelheiten einzusehen. Die meisten Browser würden heute eine Warnung anzeigen, sollte Verschlüsselung fehlen.
Die Frage drängt sich auf: Schützt ein solches Zertifkat jedoch auch vor Betrügern? Ist Verschlüsselung allgemein ein Sicherheitsmerkmal?
Wir zitieren aus einem der vielen Beiträge (reklamationszentrale.ch), wie man Fake Shops erkennt: «Ein SSL-Zertifikat ist eine neutrale und anerkannte Webseiten-Validierung und garantiert den Besuchern, dass die Webseite echt und auf Sicherheit überprüft wurde.»
Die Website ist echt? Was bedeutet «echt»? Dass die Betreiber hinter einer Website mit SSL-Zertifikat auf Ehrlichkeit, gewissenhaftes Geschäftsgebaren, Redlichkeit usw. überprüft wurden? Wir denken, das könnte nicht mal das BAKOM bei den obenerwähnten «swiss»-Domains anbieten.
Kein Sicherheitszertifikat, keine Verifizierung von irgendeiner Behörde kann garantieren, dass du als Nutzerin nicht von einem Betrüger reingelegt werden kannst. Selbst wenn zu einem bestimmten Zeitpunkt eine Behörde irgendwas über einen Menschen oder eine Firma garantieren könnte, wir alle wissen, dass nichts beständig ist. Menschen, Firmen können sich ändern, von ehrlich zu unehrlich kann es oft nur ein kleiner Schritt sein.
Alles, was ein SSL-Zertifikat bestätigt, ist folgendes: die Verbindung zwischen dir als Nutzer über den Browser zur Website ist sicher vor Hackern, weil die übertragenen Daten verschlüsselt werden. Somit kann beispielsweise die Eingabe deiner Kreditkarteninfos in einem Shop mit Verschlüsselung nicht abgefangen werden oder höchstens mit enormem Aufwand.
Die meisten SSL-Zertifikate kann man direkt im Hosting-Konto selbst einrichten. Sie sind kostenlos. Es gibt aber Abstufungen bei den Zertifikaten, die klar darüber hinausgehen und mehr Infos zum Websitebetreiber bieten, die bei der Ausstellung des Zertifikates wenigstens teilweise überprüft wurden. Wir wollen diese Zertifikate hier nicht aufzählen, weil wir finden, dass sowieso nur eine kleine Anzahl von Online-Nutzern die genauen Details dazu im Browser überprüfen wird.
Teilweise wird in den Listen mit Tipps fürs Erkennen von Fake Shops behauptet, dass eine fehlende Verschlüsselung bei einem Shop 100 % ein Warnzeichen sei, dass der Shop nicht seriös sei. Aus der Praxis wissen wir jedoch, dass es noch ganz alte und seriöse Websites und Shops gibt, auch in der Schweiz, die es verpasst haben, auf SSL umzustellen.
Die Tipps, die auf das Studieren von äusseren Merkmalen setzen, z.B. gibt es AGB, gibt es ein Impressum, ist die Firma im HR eingetragen usw., sind aus unserer Sicht viel nützlicher als fehlende Server-Verschlüsselung anzuprangern. Selbstverständlich würden wir keinem Shop mit fehlender Verschlüsselung unsere persönlichen Daten, vor allem keine Kreditkartendaten anvertrauen, aber das bedeutet nicht, dass er damit automatisch unseriös sein muss. Leichtsinnig jedoch schon.
Wir empfehlen: Falls Zweifel, schau nach, wer hinter der Domain steht
Das Stichwort ist «whois», also «wer ist»: https://de.wikipedia.org/wiki/Whois
Was das genau hilft, und ob es noch andere Möglichkeiten gibt, um rauszufinden, wer sich hinter einer Domain oder ob eine E-Mail-Adresse keine «Phishing»-Adresse ist, sehen wir im zweiten Teil.
Wir sind gespannt! Kommentare und Anregungen sind unten gerne willkommen.
Alle Links in diesem Beitrag:
nic.ch – Fragen und Antworten zu Domain-Namen
https://www.nic.ch/de/support/general/#swiss
BAKOM – Ihre «.swiss»-Adresse registrieren
https://www.nic.swiss/nic/de/home/registrieren-sie-ihre-swiss-domain/wen-kontaktieren-.html
Zum Thema SSL – in Englisch: Can an SSL be hacked?
https://www.ssls.com/blog/can-an-ssl-be-hacked/
Wikipedia – Whois
https://de.wikipedia.org/wiki/Whois
Weitere Links aus Medien und Verbraucherschutz zum Thema:
verbraucherzentrale.de – Abzocke online: Wie erkenne ich Fakeshops im Internet?
https://www.verbraucherzentrale.de/wissen/digitale-welt/onlinehandel/abzocke-online-wie-erkenne-ich-fakeshops-im-internet-13166
brisant.de – Online-Abzocke – Betrugsmasche: Wie erkenne ich Fake-Shops im Internet?
https://www.brisant.de/haushalt/sicherheit/fake-shops-erkennen-118.html
20min.ch – «Alarmierende Zunahme» – Schweizer werden von Fake-Shops abgezockt
https://www.brisant.de/haushalt/sicherheit/fake-shops-erkennen-118.html
oekotest.de – Vorsicht vor Fake-Shops: So können Sie unseriöse Online-Shops erkennen
https://www.oekotest.de/freizeit-technik/Vorsicht-vor-Fake-Shops-So-koennen-Sie-unserioese-Online-Shops-erkennen_10995_1.html
Hat dir der Beitrag gefallen?
Verwandte Beiträge
Das Beitragsbild wurde durch DALL-E erstellt. Eingabeprompt war: «an impressionsist oil painting in the style of henri matisse about data privacy law».
Das Beitragsbild wurde durch DALL-E erstellt. Eingabeprompt war: «painting about artificial intelligence in the style of georgia o'keeffe».
Das Beitragsbild wurde durch DALL-E erstellt. Eingabeprompt war: «an impressionsist oil painting in the style of henri matisse about online marketing».