Laut einer Erhebung des Bundesverbandes Informationswirtschaft, Telekommunikation und neue Medien (BITKOM) bei den Landeskriminalämtern stieg die Zahl der Internet-Nutzer, deren Konten mit gestohlenen Passwörtern geplündert werden, im vergangenen Jahr um 23 Prozent. Das. Die höchste Steigerung gab es 2006 in Sachsen, wo sie 169 Prozent betrug. Bundesweit hoben Betrüger in mehr als 3.250 Fällen rund 13 Millionen Euro von den Konten ihrer Opfer ab, so eine BITKOM-Hochrechnung. Für das erste Halbjahr 2007 liegen bereits Daten vieler Bundesländer vor – auch sie geben keinen Anlass zur Entwarnung: "Die Zahl der Phishing-Opfer wird auch dieses Jahr um rund ein Viertel steigen", sagt BITKOM-Vizepräsident Heinz Paul Bonn auf der Basis der offiziellen Daten. Die meisten Opfer melden Bayern, Baden-Württemberg und Berlin. Auch auf internationaler Ebene nimmt die Zahl der Betrugsversuche deutlich zu: So registrierte die Anti-Phishing-Arbeitsgruppe APWG in ihrer jüngsten Statistik monatlich über 23.000 Attacken weltweit. Die Betrüger unterhielten im globalen Netzt mehr als 37.000 gefälschte Bank-Webseiten, die meisten davon stammen aus den USA.

Ein wesentlicher Grund für die steigende Zahl der Phishing-Opfer sind raffiniertere Betrugsmethoden. Experten zufolge entstehen nur noch rund zehn Prozent der Schäden durch E-Mail-Links zu gefälschten Bank-Seiten, auf denen die Opfer eigenhändig ihre Kontodaten eingeben. In den meisten Fällen schicken Kriminelle per Mail ein so genanntes Trojanisches Pferd – ein Schadprogramm, das die Daten heimlich ausspäht und weitergibt. Andere Schadprogramme leiten die Nutzer beim Online-Banking im Hintergrund auf gefälschte Seiten weiter. "Deshalb ist es wichtig, die jeweils neuesten Schutzmethoden zu nutzen", sagt Bonn.

Der durchschnittliche Schaden eines Phishing-Falls liegt in Deutschland bei rund 4.000 Euro. Auch hier zeichnet sich jedoch eine deutliche Steigerung ab. Im ersten Halbjahr 2007 kletterte der Wert auf 4.700 Euro pro Vorkommnis. Zwar gelingt es in einigen Fällen, betrügerische Überweisungen zu stoppen. Doch die rechtlichen Mittel reichen für einen effektiven Kampf gegen dieses Phänomen insgesamt bei weitem nicht aus: "Wir brauchen dringend ein belastbares Gesetz gegen Phishing", appelliert Bonn an den Gesetzgeber. Bisher sei der Kontodaten-Klau an sich nicht eindeutig verboten – die Polizei kann oft nur aktiv werden, wenn bereits ein konkreter Schaden entstanden ist. "Schon der Versuch muss hart bestraft werden", fordert der BITKOM-Sprecher.

Zwar zeigen sich viele Banken kulant und erstatten einen Phishing-Schaden, wenn der Nutzer nicht grob fahrlässig gehandelt hat. Einen Rechtsanspruch haben die Kunden in der Regel aber nicht. Vorbeugung ist daher unverzichtbar. "Mit ein paar Grundregeln lässt sich das Risiko leicht minimieren", so Bonn. "Dann ist Online-Banking eine sehr sichere Dienstleistung, die zu Recht hohe Akzeptanz genießt."