Die IT-Security-Abteilung ist willig, aber der Mensch ist schwach

Spear Phishing – gezielte Spam-Attacken auf naive Web-User

Seite: 2/3

Anbieter zum Thema

Spear Phishing

Hat ein Hacker erst einmal genügend Informationen über eine Person gesammelt und die E-Mail-Adresse seines potenziellen Opfers, ist der Schritt bis zum angepassten Spam nicht mehr weit. Die gezielte Form des Mail-Angriffs wird auch Spear-Phishing genannt. Und sie ist einer der Gründe, warum Phisher nach wie vor erfolgreich sind.

Eine Studie mit Kadetten aus der renommierten West Point Akademie belegt, dass auch vermeintlich gebildetere Menschen auf Spear Phishing hereinfallen: Sage und schreibe 80 Prozent der zu Testzwecken Angemailten gaben bei personalisiertem Phishing ihre persönlichen Daten preis. Bei ungezieltem Phishing liegt die „Erfolgsquote“ dagegen nur bei drei Prozent.

Bildergalerie

Im Gegensatz zu Trojanischen Pferden oder Drive by Pharming mit raffiniert programmierten Java-Scripts sind für Spear Pishing kaum technische Kenntnisse erforderlich. Eine einfache Internet-Recherche, eine fingierte Umfrage oder ein wenig Small-Talk in der Kaffeküche reichen aus, um anschließend in eine fremde Identität zu schlüpfen und gutgläubigen Zeitgenossen Passwörter abzuluchsen. Die Abbildung 1 zeigt ein einfaches Beispiel.

Und die Gefahr wächst ständig: Laut einer Studie von Microsoft wurden allein im ersten Halbjahr 2007 mehr als 31 Millionen Pishing-Versuche entdeckt. Eine Steigerung von 150 Prozent gegenüber dem Vorjahr! Für den Dezember identifizierte die Anti-Pishing Working Group mehr als 25.000 Pishing Seiten.

Sicherheitskonzept anpassen

Oft lässt sich der Mensch als Schwachstelle im Sicherheitskonzept eindeutig nachweisen, wenn es wieder einmal zu einem unautorisierten Zugriff kam. Damit sind zwar der IT-Administrator und der Sicherheitsbeauftragte aus dem Schneider – das generelle Problem ist aber nicht gelöst.

Menschen sind nun einmal nicht unfehlbar. So werden eben doch Passwörter auf Zetteln notiert, ausspioniert oder „mal eben“ an einen Kollegen weitergegeben, damit dieser schnell an wichtige Daten herankommt. Auch ständiges Ermahnen hilft hier nicht viel. Denn man sollte nicht vergessen: Mitarbeiter oder Kunden haben Wichtigeres zu tun, als sich ständig um die IT-Sicherheit zu kümmern.

Ein Sicherheitskonzept muss den Menschen berücksichtigen – und nicht umgekehrt. Die Zugangssicherung mittels User-Name und statischem Passwort ist im Zeitalter ständig steigender Bedrohungen einfach nicht mehr zeitgemäß.

Seite 3: Starke Authentifizierung schafft Abhilfe

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:2015144)