![[Aufmachergrafik: heller, corporate design]](05-3-023-0.jpg)
Mitgefangen... Wie Unternehmen Phishing vorbeugen und abwehren könnenMitgefangen... Wie Unternehmen Phishing vorbeugen und abwehren könnenEin Blick in die News oder den eigenen Spam-Ordner dürfte Zweifel schnell zerstreuen, ob Password Fishing – kurz: Phishing – ein wachsendes Problem ist. Die Anti-Phishing Working Group (APWG, ![[externer Link]](../../../../images/link.gif)
www.antiphishing.org) registrierte zwischen Juli 2004 und April 2005 eine durchschnittliche monatliche Zuwachsrate von 15 % bei Phishing Sites. Die Anfang Juni veröffentlichte Aprilausgabe der APWG-Trendschau verzeichnet für diesen Monat über 14 000 Phishing-Reports. Auch wenn sich in Deutschland die mit dem "Passwort-Abfischen" verbundenen finanziellen Schäden im Vergleich zu den USA und Großbritannien in Grenzen halten, so bewirken die Attacken doch enorme Imageschäden für das E-Business im Allgemeinen und für betroffene Unternehmen im Besonderen.
Auch wenn ein "gespooftes" Unternehmen eigentlich gar nichts dafür kann, wenn ein Betrüger dessen Website täuschend echt nachahmt und leichtgläubige Kunden in die Falle lockt, so fällt doch in der allgemeinen Berichterstattung und beim Kunden selbst oft auch ein schlechtes Licht auf die derart mittelbar Betroffenen. Vor allem Banken, die bei Online-Transaktionen von erheblichen Kosteneinsparungen profitieren, leiden unter dem schwindenden Vertrauen in das Internet als zuverlässige und sichere Plattform. Jede Schlagzeile zum Thema Phishing bedeutet für sie einen erheblichen Verlust an Glaubwürdigkeit. Doch auch andere Unternehmen, die vertrauenswürdige Dienstleistungen über das Netz anbieten, müssen sich und ihre Kunden vor Phishing schützen, wenn sie eine hohe Online-Akzeptanz erreichen oder bewahren wollen.
![[Jeweils zwischen 500 und 1000 aktive Phishing Sites gab es jede Woche 2005-01/04 - Quelle: www.antiphishing.org]](05-3-023-1.jpg)
Phishing Sites haben eine kurze Lebenserwartung: Nur knapp sechs Tage blieben sie nach Erkenntnissen der Anti-Phishing Working Group im April 2005 durchschnittlich online; aber es gibt stetig reichlich neue.
Um sich und seine Kunden schützen zu können, muss man naturgemäß zunächst die Struktur einer Phishing-Attacke kennen. Diese kennt typischerweise vier Phasen:
Der Anti-Phishing Working Group zufolge liegt die Antwort-Rate auf Phishing-Mails bei erschreckenden fünf Prozent. Für Unternehmen besteht also durchaus Handlungsbedarf, in jeder der beschriebenen Phasen richtig zu reagieren, um Phishing-Attacken möglichst früh erfolgreich abwehren zu können.
----------Anfang Textkasten----------
Der Begriff des Phishing geht zurück bis in die Mitte der Neunzigerjahre auf die – damals noch recht plumpen, aber dennoch nicht selten erfolgreichen – Versuche, Online-Kennungen von AOL-Nutzern zu ergattern. Die Anti-Phishing Working Group (APWG) datiert das erste Auftreten des Worts auf Januar 1996 in der Hacker-Newsgroup alt.2600. Mit der zunehmenden Beliebtheit und Verfügbarkeit von E-Business, Online-Banking und -Auktionen haben sich Tätigkeitsfeld und Täterbild der Phisher verlagert: Heutzutage steckt deutliche kriminelle Energie in den entsprechenden Attacken. Laut APWG waren bereits im August 2003 die (Kunden der) meisten großen Banken in den USA, Großbritannien und Australien von Phishing-Versuchen betroffen. Auf Deutsch kam die Bauernfängerei etwa im Mai 2004 erstmals in die elektronischen Briefkästen geflattert.
Lange Zeit waren Phishing-Mails noch in fehlerhaftem Deutsch oder Englisch verschickt worden oder Fangseiten mit einem auffallend schlechten Layout versehen, sodass sie relativ leicht als Fälschungen erkennbar waren. Da die E-Mails und nachgebauten Websites aber immer professioneller werden, fällt die Identifikation zunehmend schwer. Heute täuschen Phisher ihre Opfer immer öfter auch durch Techniken wie die Darstellung eines JavaScript-Fensters über der Adresszeile des Browsers, um eine "echte" URL vorzuspiegeln. Zusätzlich kann – bei typisch laxen Sicherheitseinstellungen – im Browser des Nutzers ein JavaScript-Fenster mitlaufen, das gesendete und empfangene Informationen aufzeichnet, solange der Browser aktiv ist.
Immer häufiger werden Phishing-Mails zudem mit Viren, Trojanern oder Würmern kombiniert. Man-in-the-Middle-Angriffe sollen laut APWG ebenfalls verstäkt auftreten: Dabei spiegelt die Fangseite dem Anwender und der rechtmäßigen Website des Anbieters wechselseitig die Identität des anderen vor, kann aber im Datenstrom eventuell Modifikationen vornehmen oder im entscheidenden Moment Daten abfangen oder unterdrücken. Derartige Angriffe sind naturgemäß schwieriger zu entdecken, da selbst interaktive Vorgänge bis zu einem gewissen Maße korrekt funktionieren.
Als neue Zugangswege zu Fangseiten zeigen sich zudem in jüngster Zeit Versuche, Benutzer über lancierte Suchmaschinen-Treffer auf die Seite des Phishers zu holen oder durch die Registrierung von tippfehleranfälligen Domains zu erwischen (sog. Typo Attacks, z. B. via www.beispielbnak.de). Auch ungeschützte Umleitungsmöglichkeiten (Redirects) innerhalb legitimer Web-Angebote, werden von Phishing-Betrügern ausgenutzt (z. B. www.beispielbank.de/redirect.htm?goto=www.bspkredit.de).
----------Ende Textkasten----------
Eine Attacke lässt sich idealerweise bereits während der Vorbereitungsphase stoppen. Dafür muss ein Unternehmen jedoch alle Neuregistrierungen von Domains überwachen, die eigene Marken oder Werbeslogans enthalten (www.die-bank-an-ihrer-seite.de). Auf diese Weise ist bereits frühzeitig erkennbar, wenn in betrügerischer Absicht Domainnamen registriert werden (Nebeneffekt: außer Phishing erkennt man auch potenziell unlauteren Wettbewerb und andere Formen des Markenmissbrauchs). Ein Beispiel: Wenn die Beispielbank erfährt, dass jemand unberechtigterweise die Domain www.beispielbank-online.de gesichert hat, so kann sie entsprechend reagieren und eine auf diese Seite zielende Phishing-Attacke von vornherein unterbinden. Spezielle, auf Markenrecht im Internet spezialisierte Anbieter können Unternehmen bei dieser Überwachung von Neuregistierungen unterstützen und so helfen, dass Betrügern das Handwerk gelegt wird, bevor sie über eine Fangseite Schaden anrichten können.
Hat ein Phisher dennoch die Einrichtung einer Fangseite im Web geschafft und diese mit Inhalt gefüllt, so ist es für das betroffene Unternehmen entscheidend, diese Seite möglichst schnell aus dem Web zu bekommen – am besten noch bevor der Phisher seine Spam-Mails versendet. Dies setzt die kontinuierliche Überwachung des Webs voraus. Spezialisierte Sicherheitsunternehmen sind durchaus in der Lage, dies zu bewerkstelligen: Sie durchforsten das gesamte WWW nach vom Kunden vorgegebenen Schlagwörtern, Grafiken und Logos und können so Fangseiten identifizieren, die Derartiges unberechtigt verwenden.
Auch während der dritten Phase einer Phishing-Attacke, dem Versand der Aufforderungs-Mails, sind Unternehmen nicht hilflos und können Dank Anti-Spam-Lösungen aktiv werden. Entsprechende Anbieter durchforsten und checken täglich Millionen von Spams und sind so in der Lage, auch Phishing-Versuche aufzuspüren. Hilfreich ist hierbei, wenn ein Anti-Spam-Dienstleister weltweit gute Kontakte zu E-Mail-Providern hat und so die entsprechenden Mail-Accounts umgehend sperren lassen kann.
Konnte eine Phishing-Attacke auch in der Spam-Phase nicht gestoppt werden, kann man den Schaden dennoch begrenzen, indem die Zeit zwischen Entdeckung und Schließen der zugehörigen Fangseite so kurz wie möglich gehalten wird. Dies setzt zunächst voraus, dass Hinweise von betroffenen Kunden im Unternehmen genau dort landen, wo sie umgehend weiterverfolgt werden. Zum anderen steht und fällt die zügige Schließung einer Fangseite mit der schnellen Recherche nach dem entsprechenden Hosting-Anbieter und der engen Zusammenarbeit mit den jeweiligen Internet-Service-Providern (ISP) beziehungsweise Justizorganen – weltweit.
In jeder Phase stehen Unternehmen also Mittel und Wege zur Verfügung, eine Phishing-Attacke aufzudecken und schädliche Auswirkungen zu begrenzen. Doch wie so oft im Rahmen der IT-Sicherheit fehlt es häufig an entsprechender Technik, an Recherchemöglichkeiten, qualifiziertem Fachpersonal oder schlichtweg an der nötigen Zeit. Der Markt hat längst auf die mit Phishing verbunden Bedürfnisse der Unternehmen reagiert und auch entsprechende Sicherheitsdienstleister bieten ihre Expertise an. Es gibt bereits die verschiedensten Anti-Phishing-Löungen, doch nur wenige davon sind umfassende Lösungen im Rahmen von Managed Security Services (MSS). Entscheidet sich ein Unternehmen, aktiv gegen Phishing vorzugehen und diese Aufgabe einem externen Dienstleister zu übertragen, sollte es bei der Auswahl darauf achten, dass der Sicherheitsspezialist über möglichst viele der geschilderten Möglichkeiten verfügt. Zudem sollte qualifiziertes Sicherheitsfachpersonal rund um die Uhr verfügbar sein.
Neben dem Einsatz einer umfassenden Anti-Phishing-Lösung können Unternehmen mit verschiedenen technischen und organisatorischen Schutzmaßnahmen agieren. Das Problem "Phishing" ist im Grunde das Ergebnis unserer bestehenden E-Mail-Infrastruktur, in der die Identität der Nutzer meist unbestätigt bleibt. Der Schwerpunkt der Authentifizierung ist traditionell einseitig: Das Unternehmen prüft die Identität seiner Kunden. Umgekehrt bleibt den Kunden die Authentifizierung des Unternehmens, mit dem sie per Web kommunizieren, weitgehend verwehrt oder erfordert – wie im Falle von SSL-Server-Zertifikaten – ein gehöriges Maß an Aufmerksamkeit und Wissen beim Nutzer. So kann dieser oft nur schwerlich mit letzter Sicherheit prüfen, ob beispielsweise eine Anfrage seiner Bank echt ist oder auf wessen Webseite er gerade seine persönlichen Daten hinterlässt. Genau diese Unsicherheit machen sich die Phisher zunutze. Hier ist ein stärkerer und leicht bedienbarer Authentifizierungsmechanismus vonnöten, der es jedem Nutzer ermöglicht, die Identität eines Mail-Absenders oder Website-Betreibers zweifelsfrei zu erkennen. Damit würde das Abfischen von Zugangsdaten von vornherein unterbunden. Ansätze für eine Authentifizierung aller Teilnehmer liefern derzeit zum Beispiel Cisco und Yahoo mit DomainKeys Identified Mail (vgl. http://newsroom.cisco.com/dlls/2005/prod_060105d.html).
Ebenso wichtig sind aber auch organisatorische Maßnahmen, allem voran Aufklärung von Anwendern: Denn ein Phishing-Angriff richtet sich nicht wie Würmer und Viren gegen Technik, sondern zielt direkt auf den Menschen. Er soll durch Tricks dazu bewegt werden, seine Daten freiwillig preiszugeben. Phishing ist damit eine Form des Social Engineering – auf gut Deutsch: Bauernfängerei mit viel Technikeinsatz. Es ist daher sehr wichtig, dass Unternehmen ihre Kunden sowohl über Phishing und Schutzmöglichkeiten als auch über korrekte Kommunikationskanäle informieren. So sollten Anbieter, die ihre Kunden aus Sicherheitsgründen nie per E-Mail kontaktieren, diese klar hiervon in Kenntnis setzen. Auch im Umgang mit eingesetzten Authentifizierungsmaßnahmen wie elektronischen Signaturen und Server-Zertifikaten sollte der Kunde gegebenenfalls geschult werden.
Darüber hinaus müssen beim rechtmäßigen Anbieter Erklärungen und Hotline-Nummern leicht zu finden und Links zu spezifischen externen Informationsquellen im Online-Angebot enthalten sein. Wer es seinen Kunden schwer macht, im Zweifelsfall nachzufragen, ob ein Angebot authentisch ist, der muss sich nicht wundern, wenn er nicht oder spät von Missbrauch erfährt und hinterher zumindest Untätigkeit vorgeworfen bekommt. In letzter Konsequenz gehören dazu auch Möglichkeiten, anhand derer Kunden die Echtheit der Anbieter-Website prüfen können – sei es gegenüber technisch versierten Kunden durch Vergleich der Daten eines Sicherheitszertifikats im Browser, sei es mit weniger versierten Kunden anhand besonderer Kennzeichen oder Interaktion.
Tobias Wann ist Geschäftsführer VeriSign Deutschland.
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2005#3, Seite 23
| 