Die IT-Security-Abteilung ist willig, aber der Mensch ist schwach Spear Phishing – gezielte Spam-Attacken auf naive Web-User

Autor / Redakteur: Jan Valcke von Vasco / Stephan Augsten

Viele Internet-Ganoven setzen statt auf raffinierte Technik auf die Schwachstelle Mensch. Mit Erfolg: Auch im Zeitalter immer perfekter werdender Zugriffskontrollen gelingt ihnen der Einbruch in gesicherte Firmennetzwerke. Ein Sicherheitskonzept kann nur dann erfolgreich sein, wenn es dem Faktor Mensch Rechnung trägt.

Anbieter zum Thema

Selbst Süßigkeiten können zum Risiko für die IT werden: Zehn Prozent aller Männer und sogar 45 Prozent aller Frauen sind bereit, ein Passwort für Schokolade preiszugeben. Das ist zumindest das Ergebnis einer Studie von Infosecurity Europe.

Die Mitarbeiter des Sicherheitsunternehmens gaben sich als Marktforscher aus und teilten in der Londoner Innenstadt Fragebögen aus. Und obwohl für das Ausfüllen lediglich ein Schokoriegel und die Teilnahme an einer Verlosung winkten, gab ein Großteil der Befragten ohne zu zögern private Daten wie Adresse, Geburtsdatum oder Telefonnummer an – und eben auch sensible Informationen wie geschäftliche Passwörter.

Bildergalerie

Infosecurity wollte mit der Aktion lediglich auf eine Veranstaltung zum Thema Sicherheitstechnik aufmerksam machen – und vernichtete die gesammelten Daten nach der statistischen Auswertung. Nicht selten aber landen ausspionierte Passwörter bei Ganoven, die damit sogar Zugang zu streng abgesicherten Firmennetzwerken erhalten.

Sensible Daten machen die Runde

Phishing-Versuche haben zuweilen Unterhaltungswert: In geradezu entzückend radebrechendem Deutsch wird zur Eingabe einer PIN aufgefordert. Hier schöpfen auch gutgläubige Zeitgenossen Verdacht. Schließlich wird in den Medien häufig über Computerkriminalität berichtet.

Was aber wenn die Mail scheinbar einen bekannten Absender hat, wenn der Verfasser auch noch Namen und persönliche Daten kennt? Dann kann es sich doch eigentlich nicht um einen Betrüger handeln, oder?

Leider doch! Denn viele auf den ersten Blick so persönliche Daten sind heute weitaus öffentlicher als man denkt. Das Xing-Profil zeigt meist den kompletten Lebenslauf. Aber auch wer nur einmal in einem Konzert als Solist mitgespielt hat, findet oft jahrelang seine Vita aus dem Programmheft in PDF-Form im Netz – eine ideale Quelle für Datendiebe.

Seite 2: Spear Phishing

Spear Phishing

Hat ein Hacker erst einmal genügend Informationen über eine Person gesammelt und die E-Mail-Adresse seines potenziellen Opfers, ist der Schritt bis zum angepassten Spam nicht mehr weit. Die gezielte Form des Mail-Angriffs wird auch Spear-Phishing genannt. Und sie ist einer der Gründe, warum Phisher nach wie vor erfolgreich sind.

Eine Studie mit Kadetten aus der renommierten West Point Akademie belegt, dass auch vermeintlich gebildetere Menschen auf Spear Phishing hereinfallen: Sage und schreibe 80 Prozent der zu Testzwecken Angemailten gaben bei personalisiertem Phishing ihre persönlichen Daten preis. Bei ungezieltem Phishing liegt die „Erfolgsquote“ dagegen nur bei drei Prozent.

Im Gegensatz zu Trojanischen Pferden oder Drive by Pharming mit raffiniert programmierten Java-Scripts sind für Spear Pishing kaum technische Kenntnisse erforderlich. Eine einfache Internet-Recherche, eine fingierte Umfrage oder ein wenig Small-Talk in der Kaffeküche reichen aus, um anschließend in eine fremde Identität zu schlüpfen und gutgläubigen Zeitgenossen Passwörter abzuluchsen. Die Abbildung 1 zeigt ein einfaches Beispiel.

Und die Gefahr wächst ständig: Laut einer Studie von Microsoft wurden allein im ersten Halbjahr 2007 mehr als 31 Millionen Pishing-Versuche entdeckt. Eine Steigerung von 150 Prozent gegenüber dem Vorjahr! Für den Dezember identifizierte die Anti-Pishing Working Group mehr als 25.000 Pishing Seiten.

Sicherheitskonzept anpassen

Oft lässt sich der Mensch als Schwachstelle im Sicherheitskonzept eindeutig nachweisen, wenn es wieder einmal zu einem unautorisierten Zugriff kam. Damit sind zwar der IT-Administrator und der Sicherheitsbeauftragte aus dem Schneider – das generelle Problem ist aber nicht gelöst.

Menschen sind nun einmal nicht unfehlbar. So werden eben doch Passwörter auf Zetteln notiert, ausspioniert oder „mal eben“ an einen Kollegen weitergegeben, damit dieser schnell an wichtige Daten herankommt. Auch ständiges Ermahnen hilft hier nicht viel. Denn man sollte nicht vergessen: Mitarbeiter oder Kunden haben Wichtigeres zu tun, als sich ständig um die IT-Sicherheit zu kümmern.

Ein Sicherheitskonzept muss den Menschen berücksichtigen – und nicht umgekehrt. Die Zugangssicherung mittels User-Name und statischem Passwort ist im Zeitalter ständig steigender Bedrohungen einfach nicht mehr zeitgemäß.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Seite 3: Starke Authentifizierung schafft Abhilfe

Starke Authentifizierung schafft Abhilfe

Konzepte wie Strong Authentication geben dem Anwender eine einfache und dennoch sichere Möglichkeit der Identifikation – im Büro und unterwegs. Am gängigsten sind dabei Zwei-Faktor-Authentisierungen. Wer sich einloggen will, muss etwas besitzen, zum Beispiel eine spezielle Hardware oder ein Software Token, und etwas wissen, also eine PIN.

Elegant und sicher: Der Vasco Digipass 560 errechnet ein Einmal-Passwort und ist selbst für Hacker unangreifbar. (Archiv: Vogel Business Media)

Die Hardware errechnet ein dynamisches Einmal-Passwort (One Time Passwort, OTP). Es ändert sich alle 36 Sekunden. Mit diesem OTP und seinem Benutzernamen kann sich der Anwender dann anmelden. Für jeden Login ist ein neues Passwort erforderlich. Auch wenn es einmal ausspioniert wird: Das Ergebnis ist für Kriminelle völlig nutzlos.

Das für die Strong Authentication nötige Zusatzgerät gibt es in den verschiedensten Ausführungen, zum Beispiel beim Digipass-System von Vasco. Es bietet vom nur daumengroßen Token bis hin zum universell einsetzbaren Kartenleser ein reichhaltiges Sortiment, das eine individuelle Anpassung des Konzepts an die jeweilige Bedrohungslage ermöglicht.

Jan Valcke ist Präsident und Chief Operational Officer von Vasco Data Security International.

(ID:2015144)