Wir müssen jederzeit mit IS-Anschlägen rechnen. Guido Steinberg

Der Bibel-Code

Phishing sei keine Sportart, erklärte Torsten Seeberg vom Landeskriminalamt Baden-Württemberg auf der Tagung des Verbandes Ingenieure für Kommunikation (IfKOM). Sein Thema: „Heute schon ins Netz gegangen?“ Phishing sei auch in der Bibel keine Sportart, ergänzte der Theologe Dieter Heidtmann von der Evangelischen Akademie Baden.

Nein, es wäre eindeutig zu weit gedacht, zu glauben, schon die Bibel hätte vor den Risiken des Internets gewarnt. Das Netz, ob als wörtliches Beispiel oder als Metapher, ist stets symbolträchtig und steht häufig für Bedrohung, wie in der Klage aus dem Psalm 140: „Hochmütige legten mir heimlich eine Falle und Schlingen, sie spannten ein Netz am Rande des Weges, Fanghölzer stellten sie auf für mich. [Sela].“ Oder aus einer wesentlich jüngeren Quelle, dem Kirchenlied von Hans-Jürgen Netz, in dem es heißt: „Einer hängt im fremden Netz, versucht noch zu retten, was zu retten ist.“

Fischen gehen

Phishing – ein Kunstwort, das sich aus den englischen Wörtern „password“ und „fishing“ zusammensetzt – ist eine Angriffsart, die dem Netz seit Jahren schwer zusetzt. Phishing wurde immer wieder totgesagt und erfand sich doch immer stets neu – intensiver Aufklärung und Warnungen zum Trotz. Phishing bezeichnet eine Angriffsart, bei der mithilfe von gefälschten E-Mails Angreifer an vertrauliche Daten der Opfer gelangen. Eine Phishing-Mail gibt vor, von einem vertrauenswürdigen Absender, zum Beispiel einer Bank, zu stammen, wobei der Empfänger gebeten wird, über das Anklicken eines Links oder eines Formulars vertrauliche Daten preiszugeben, etwa Kreditkartennummer, Kontodaten, Zugangsdaten zu den Bankkonten und PayPal-Accounts oder Passwörter, Transaktionsnummern etc. Meist werden diese „abgefischten“ Daten dann genutzt, um die Opfer finanziell zu schädigen. Besonders betroffen ist deswegen der kommerzielle Bereich des Internet, Onlinebanking und E-Commerce. „Phishing: Das klingt nach fischen gehen – und genau so ist es auch“, erklärt BSIFB, was übrigens die Kurzform für „BSI für Bürger" ist. Phishing bedeutet demnach wörtlich „nach Passwörtern angeln“ .

In seiner fortgeschrittenen Ausprägung – auch Pharming oder Domain-Spoofing genannt – wird auf das Gerät des Opfers bspw. im Anhang einer E-Mail Malware eingeschleust, die aktiviert wird, sobald der Nutzer eine bestimmte URL, beispielsweise die der vertrauenswürdigen Bank, in den Browser eingibt. Pharming ist eine Fälschung der Zuordnung von Namen zu IP-Adressen, um Anfragen auf gefälschte Webseiten umzuleiten. So landet das Opfer nach Eingabe einer richtigen URL auf einer manipulierten Seite eines Phishers, wo dann die Abfrage vertraulicher Daten, Passwörter etc. erfolgt.

Phishen heute und gestern

Phishing ist eine, sowohl das Konzept als auch den technischen Aufwand berücksichtigend, primitive Angriffsart. Obwohl sich weder am Konzept noch an der Technik seit mindestens einem Jahrzehnt nichts wesentlich änderte, ist sie immer noch sehr effektiv. Die Erfolgsquote der Kriminellen bei den im Jahr 2006 gezählten acht Millionen Phishing-Attacken lag, laut Aussage des damaligen Innenministers Schäuble, bei fünf Prozent. Dies sei eine „erschreckende Relation“, kommentierte damals Schäuble, die teils auf Leichtsinnigkeit der Anwender, teils auf lückenhafte Produktsicherheit zurückzuführen sei. Für die Unternehmen bedeutete eine sie betreffende Welle der Phishing-Angriffe schon damals Vertrauens- und Imageverlust. Offene Schwachstellen bei einem erfolgreichen Angriff lagen oft auf der Nutzerseite: „Vor allem auf die immer professioneller gefälschten E-Mails fallen die Internet-Nutzer herein“, bemerkte die Initiative „Deutschland sicher im Netz“ anno 2006. Mehr als zehn Jahre später hat sich diesbezüglich wenig geändert.

In der Studie von Kaspersky Lab „Cost of Security Breaches“ aus dem Jahr 2015 , in der die häufigsten Ursachen für Angriffe aus einer Menge von 5.500 Unternehmen aus 27 Ländern erhoben wurden, landete Phishing auf Platz zwei – gleich hinter der Schadsoftware. Der finanzielle Schaden, der den Firmen durch das Phishing entstanden war, wurde auf etwa 650.000 Dollar beziffert. Zum Vergleich: Der Schaden, den die Unternehmen durch Sicherheitsvorfälle bei den Zulieferern erlitten hatten, wurden auf rund drei Millionen Dollar beziffert, der Betrug durch interne Mitarbeiter auf 1,3 Millionen Dollar. Schadsoftware verursachte Schäden in Höhe von etwa 530.000 Dollar. In einer jüngeren Studie des Ponemon Institute aus dem Jahr 2017, im Auftrag von Accenture wurde eine andere Auswahl an Ursachen für Sicherheitsvorfälle in 254 Organisationen aus sieben Ländern ausgewertet, bezogen auf die Fiskaljahre 2016 und 2017. Auch in dieser Studie landeten Phishing und Social Engineering auf Platz zwei, direkt hinter der Schadsoftware. Deutschland gehört offenbar zu den Ländern, in denen Phishing zu den, aus der Unternehmensperspektive betrachtet, teuersten Angriffsarten gehört.

Folgen Sie diesem Link

Die ersten Phishing-Mails ließen sich leicht erkennen, etwa an unglücklichen Übersetzungen ins Deutsche oder Englische, schlechtem Schreibstil, kurzen Sätzen, Rechtsschreibfehlern oder eingeschränktem Vokabular. Doch diejenigen, die Falschmeldungen streuen, haben zügig aufgerüstet – etwa mit einem anspruchsvolleren Schreibstil. York Sure-Vetter vom Karlsruher Institut für Technologie (KIT) erinnert daran, wie Spam-Mails ungefragt und in großer Zahl verschickt wurden: „Nach einer Phase des intensiven Aufrüstens auf beiden Seiten, bei Spammern ebenso wie bei E-Mail-Anbietern, ist inzwischen ein Gleichgewicht entstanden.“ Heute gehören E-Mails, wie diese etwas kantig formulierte Phishing-Mail eines sich als Sparkasse ausgebenden Absenders zur Minderheit:
Betreff: Aktualisierung
Sehr geehrter Kunde,
Vielen Dank für Ihre Nutzung von Sparkasse Online Banking. Wir arbeiten stetig daran, um sicherzustellen, dass unsere Sicherheit-System im Online-Banking weiter entwickelt ist.
Bitte folgen Sie diesem Link, um Ihre Online Sicherheits-Software zu überprüfen. Klicken Sie hier
Mit freundlichen Grüßen,
Ihre Sparkasse

Sie werden dennoch immer noch nicht immer vom Spamfilter erkannt und aussortiert – und ob sie ihre Wirkung entfalten, liegt dann alleine bei dem Empfänger der E-Mail.

Geld durch Phishing verlieren? Das kennt man. Aus den Pionierzeiten des Internetbankings sind Fälle bekannt, bei denen das Phishing-Opfer erst dann seine Bank benachrichtigt hatte, wenn das Girokonto fast vollständig leer war. Wie dieser Fall: Ein Kunde, der in einer netten E-Mail von dem Servicemitarbeiter seiner Bank gebeten wurde, einen Link anzuklicken und dann – die sich damals noch im Einsatz befindlichen – TANs von der Liste anzugeben, wurde erst dann aufmerksam und alarmierte die Bank, als er alle Nummer aus der Liste auf der Phishing-Seite eingetragen hat (es waren ca. 100 Transaktionsnummer darauf). Angreifer haben mittels dieser TANs ca. 100.000 Euro vom Konto abbuchen können. In den Pionierzeiten des Internets haben die Banken oft kulant die Verluste übernommen. Viel wichtiger war es, den Imageschaden zu begrenzen. Anzeigen bei der Polizei sind immer noch nicht gang und gäbe, um die Klärung und Entschädigung der Kunden kümmert sich das Unternehmen gerne intern und ersetzt oft den vollständigen Schaden. Dies dürfte sich zunehmend ändern – für die Verteilung der Verantwortung für Sicherheitsvorfälle sprechen sich auch die Parteien im Koalitionsvertrag zwischen CDU, CSU und SPD aus.

Phishiger Geldsegen

Mit dem Phishing reich werden? Gilt neuerdings nicht nur für die Phisher, sondern auch für ihre Opfer. Die amerikanische Steuerbehörde Internal Revenue Service (IRS) bescherte einigen amerikanischen Bürgern einen unerwarteten Geldsegen, indem zum Teil fünfstellige Beträge an Steuererstattungen auf die Konten der Steuerzahlen überwiesen wurden. Wer mit dem Geld eine Anzahlung auf ein Haus oder einen neuen Wagen machen möchte, solle damit besser noch etwas abwarten, empfiehlt die NYT. Am besten das Geld gar nicht anrühren und die Behörde benachrichtigen. Es könnte sich nämlich zeigen, dass später eine Rückforderung des „irrtümlich“ überwiesenen Betrags erfolgt, wobei das Geld dann nicht auf den Konten des IRS, sondern auf denen der Phisher landet.

IRS soll Anfang Februar die Steuerberater und etwas später auch die Bürger vor der neuen Phishing-Methode gewarnt haben. Möglich soll der Angriff gewesen sein dank der Daten der Steuerzahler, die bei den Steuerberatungsfirmen ausgespäht wurden. Diese wurden nun aufgefordert, ihre Software up to date zu halten und sich vor Phishing-Mails in Acht zu nehmen, mit denen die Schadsoftware auf die Computer heruntergeladen werden könnte. Sind Ihre Sicherheitsprotokolle aktualisiert? Sind Ihre Mitarbeiter trainiert, um Phishing zu erkennen? Die Empfehlungen der Sicherheitsexperten erinnern an die Wechseln-Sie-Ihr-Passwort-Dauerempfehlung durch das BSI hierzulande.

Tatsächlich sind Awareness, Information und Kommunikation über die Risiken und Gefahren des Phishings die bekanntesten und immer noch effektivsten Maßnahmen gegen Phishing. Unternehmen schicken Mitarbeitern testweise Phishing-Mails, um zu prüfen, ob sie darauf hereinfallen. Die Risiken, die den Unternehmen durch das Phishing entstehen, haben dazu geführt, dass eine neue Kategorie von Sicherheitskontrollen eigens hierfür entstanden ist: die sogenannten Deterrent Controls. Sie umfassen Maßnahmen, die die Wahrscheinlichkeit des Erfolgs des Phishings verringern, ohne die Exposition auf die Gefährdung zu reduzieren. Konkret heißt das: Die Unternehmen haben zwar keinen Einfluss darauf, wie oft und welche Kunden Phishing-Mails ausgesetzt werden. Sie können dennoch durch gezielte Kampagnen und Informationen die Mitarbeiter dafür zu sensibilisieren, nicht auf die verdächtigen Anhänge oder Links zu klicken.

Passwort: 123456

Wenn alle Nutzer ein bisschen mehr aufpassen würden und ein bisschen besser trainiert wären, wäre das Internet ein viel sicherer Ort, wiederholen Sicherheitsexperten. Eine Auffassung, die der US-Sicherheitsguru Bruce Schneier nicht teilt. Das Problem sei nicht der Nutzer, so Schneier, das Problem sei schlechte und unsichere Technologie. Warum können die Nutzer nicht unbedenklich auf Links klicken oder USB-Sticks einstecken, ohne die Gefahr, die Systeme mit Malware zu infizieren, fragt Schneier? Sicherheit bedeute nicht, die Menschen dazu zu bringen, das zu tun (oder nicht zu tun), was sie möchten, sondern robuste Sicherheit zu implementieren, das heißt: „that works“. Man kann Dateien und Anhänge in einem Container oder in einer Cloud öffnen, damit sie nicht das gesamte System oder Computer kontaminieren. Man sollte den Menschen nicht verbieten, auf Links zu klicken, nachdem man fast zwei Dekaden dafür gebraucht hat, sie daran zu gewöhnen, im Web zu surfen und auf Links zu klicken. Er empfiehlt Sicherheitslösungen, die, mit den Worten des niederländischen Kryptologen aus dem 19 Jahrhundert Auguste Kerckhoffs ausgedrückt, ohne „stress of mind, or knowledge of a long series of rules“ funktionieren. Warum können Nutzer nicht Passwörter nutzen, die leicht zu merken sind, fragt Schneier?

Wie zum Beispiel das Passwort „123456“, das seit 2016 die Avira-Liste der schlechtesten Passwörter anführt. Gefolgt von „password“ und „12345678“. Für die Liste wurden die im Jahr 2016 geleakten Passwörter ausgewertet. Zu den Neueinsteigern im Jahr 2017 gehört unter anderem das Passwort „123456789“, was vermutlich neuen Vorgaben zur Passwortlänge mancher Organisationen zu verdanken ist (statt sechs nun neun Digits – ist sicherer). Unter den Neuzugängen finden sich „starwars“, „monkey“ oder „trustno1“. Offenbar gibt es auch bei Trends und Wiederholungen der beliebtesten Passwörter erkennbare Muster: „‚Starwars‘ gab es vor zwei Jahren schon mal“, kommentierte Nicole Lorenz in Avira-Blog „also kommt dann dieses Jahr wahrscheinlich ‚hansolo‘ und nächstes Jahr wieder ‚starwars‘?“

Auch Kenntnisse der Bibel können hilfreich sein. Nicht nur dabei, häufig verwendete Passwörter anderer zu erraten, sondern auch, um selbst sichere Passwörter zu konstruieren. So sollen in bestimmten Kreisen die Code-Zahlen 316 und 153 beliebt sein. Sie stehen für Joh. 3,16 und Joh. 21, 6–11 (Einheitsübersetzung, wohlgemerkt). Bei mehrstelligen Passwörtern müssen die Bibelkenntnisse schon weiter fortgeschritten sein. Zu behaupten, in der Bibel stünde nur Schlechtes über das Netz, wäre tatsächlich nicht richtig: „Werft das Netz auf der rechten Seite des Bootes aus und ihr werdet etwas fangen. Sie warfen das Netz aus und konnten es nicht wieder einholen, so voller Fische war es“, heißt es im Evangelium des Johannes (Joh. 21,6). Es waren 153 Fische in diesem Netz, um genau zu sein.

Sicherheit im Internet ist das große Thema dieser Tage. Warum Facebook hier ein negatives Beispiel und eine Gefährdung darstellt, lesen Sie in Ihrer BÖRSE am Sonntag.

Lesen Sie auch die neuste Kolumne von Aleksandra Sowa: Das liest die Maschine nicht

Leserbriefe

comments powered by Disqus

Mehr zum Thema: Bundesnetzagentur, Netzpolitik

Debatte

RWE und Eon sortieren den Energiemarkt neu

Medium_8ad58cd631

Wut und Misstrauen bei Innogy

Deutschlands Energie-Riesen aus Essen und Düsseldorf wagen die Neustrukturierung. Während sich Eon zukünftig verstärkt auf das Netz-Geschäft konzentrieren will, plant RWE eine Fokussierung auf den ... weiterlesen

Medium_e33b6ccd8e
von Oliver Götz
18.03.2018

Gespräch

Medium_a0a6dc4d64

Kolumne

Medium_45c47f9584
von Gunnar Sohn
24.04.2013
meistgelesen / meistkommentiert