Der Faktor Mensch als IT-Sicherheitsrisiko

"Pishing-Angriffe" werden immer raffinierter: Werkzeug des organisierten Verbrechens

Stuttgart - Nach einigen Monaten der Ruhe an der Virenfront, sind in den vergangenen Tagen wieder häufiger Aktivitäten von Würmern und Trojanern zu verzeichnen. So ist der Wurm "Sober" in einer neuen Variante aktiv geworden - auch "Bagle" und "MyDoom" machen wieder die Runde. Es sind alles Würmer, die sich per eMails zwischen Windows-Betriebssystemen verbreiten. So gross der Schaden durch diese Würmer ist, der durch zusätzlichen Aufwand von Administratoren, Benutzern, oder höheren Datenverkehr eintritt, so schnell greifen auch Sicherheitsmechanismen. Binnen weniger Tage sind in der Regel alle Virenscanner aktualisiert und die offenkundigsten Lücken der Systemsoftware durch sogenannte Sicherheitspatches schliessbar. Was den Experten aber Sorge bereitet, ist weniger der Faktor "Technik" als der Faktor "Mensch". "Pishing, das Ausspähen oder Erschleichen von Passwörtern und Codes, ist durch Technik alleine nicht in den Griff zu kriegen", erläutert Massimiliano Mandato, Sicherheitsexperte beim Stuttgarter IT-Dienstleister NextiraOne http://www.nextiraone.de

In den USA wurden nach Schätzungen des Marktforschungsunternehmens Gartner http://www3.gartner.com/Init während der vergangenen zwölf Monate fast zwei Millionen Menschen Opfer der Pisher. Die daraus entstandenen Schäden belaufen sich auf rund 1,2 Milliarden Dollar (928 Millionen Euro). Mittlerweile sind auch europäische Anwender zunehmend Ziel der Pishing-Angriffe. Meistens erfolgen diese über gefälschte eMails von Banken und anderen Finanzinstituten, in denen die Kunden aufgefordert werden, in einer genau beschriebenen Art und Weise ihre Account-Daten zu aktualisieren oder neu einzugeben.

Tatsächlich aber arbeiten die Pishing-Konzepte mit Umleitungen der Webzugriffe und gefälschten Webseiten, die nur dazu dienen, dem Anwender eine sichere und seriöse Umgebung vorzugaukeln, in der er seine Daten eingeben kann. Technisch lässt sich das leider nicht vollständig verhindern: "Ein Anwender bekommt eine eMail seiner Bank, in der er aufgefordert wird, sich bei der Bank anzumelden und seine Login-Daten zu bestätigen, weil die Kundendatenbank aufgrund eines System-Updates überprüft werden muss. Um sicher zu gehen, dass alles in Ordnung geht, soll er sich mit seinem gewohnten, nur ihm bekannten Login anmelden und seine Daten bestätigen. Der Login-Link wird gleich mit einem Link in der eMail angeboten", schildert Mandato den typischen Pishing-Vorgang. Alles scheint richtig zu sein, nur ist die eMail nicht von der Bank verschickt worden und der Login-Link führt auf eine echt aussehende, aber dennoch gefälschte Seite. Es sei weder an Form und Inhalt zu erkennen, dass es sich um eine kriminelle eMail handelt, ergänzt Mandato, noch sei irgendeine Firewall oder ein Antiviren-Programm in der Lage, diese eMail als schädlich zu identifizieren: kein Virus, kein Wurm, kein Trojaner, kein Hinweis auf Spam.

Es liegt beim Pishing-Angriff in den Fähigkeiten des Anwenders, den Angriff als solchen zu erkennen. "Keine Bank fordert ihre Kunden auf, sensible Daten per eMail zu versenden oder auf eine eMail hin auf einer nicht gesicherten Webpage einzugeben. Das muss man einfach wissen und berücksichtigen. Im Zweifelsfall lieber die Bank anrufen", rät Mandato. Der Schaden durch Pishing, so befürchten er und andere Experten, hat eine ganz andere Qualität als die Schäden, die etwa durch Würmer verursacht werden. "Während wir bei der üblichen Virenprogrammierung eher so eine Art spielerische, anarchistische Kriminalität finden, ist Pishing eindeutig das Werkzeug von organisiertem Verbrechen. Der Schaden entsteht hier nicht durch Systemausfälle und Server-Abstürze, sondern schlicht und ergreifend durch direkten Raub: die Konten der ‚er-pishten’ Zugangscodes werden leer geräumt. Hier ist eine ständige Aufklärung erforderlich und ein kontrolliertes, bewusstes Verhalten der Anwender", so Mandato.