Der Begriff "Phishing" wurde bereits Mitte der 90er Jahre geprägt, als sich Hacker die Zugangsdaten zu AOL-Konten von arglosen Nutzern verschafften. Password Fishing (Phishing) bezeichnet den Versuch von Betrügern, in den Besitz von Passwörtern, Kreditkartennummern, Zugangsdaten und persönlichen Informationen wie Sozialversicherungsnummern zu gelangen.
Als seriöse Instanz getarnt, fordern die Phisher ihre Opfer dazu auf, persönliche Daten und Zugangskennungen zu aktualisieren oder zu bestätigen, da das Passwort erneuert werden müsse oder die Daten verloren gegangen seien. Zur Dateneingabe ist in der HTML-E-Mail meist schon ein präparierter Link enthalten, der die Nutzer auf eine gefälschte Webseite leitet, die von der echten Internet-Seite kaum zu unterscheiden ist. Dazu benutzen Phisher meist Internet-Adressen, die sich nur geringfügig von denen renommierter Unternehmen unterscheiden. Leichte Abweichungen gegenüber den gewohnten Adressen, beispielsweise .com anstelle von .de, eingeschobene Bindestriche oder "Unternehmensformen" (ebay-ag.de anstelle von ebay.de), fallen dem unkritischen Anwender meist nicht auf.
Eine weitere Möglichkeit, den Nutzer in Sicherheit zu wiegen und auf die präparierte Seite zu leiten, ist das Fälschen der Adressleiste des Browsers mittels eines Javascripts. So lassen sich viele arglose Nutzer täuschen und geben vertrauliche Informationen preis. Alternativ dazu fordern Passwortfischer Empfänger dazu auf, ihre Daten direkt per E-Mail-Antwort zu übermitteln, und auch damit haben sie in einer Vielzahl der Fälle Erfolg. "support@verify-visa.org" war beispielsweise eine dieser gefälschten Absenderadressen, mit deren Hilfe Kreditkartendaten von Visa- Kunden ausspioniert werden sollten.
Die Fallen der Phisher
In den USA sind Internet Service Provider, Finanzinstitute und E-Commerce Anbieter schon seit geraumer Zeit Ziel von Phishing-Attacken. Ausgangspunkt für den Datendiebstahl in Australien sind meist gefälschte E-Mails über angebliche Geldgewinne. Das Opfer wird aufgefordert, sich durch amtliche Dokumente wie eine Kopie des Ausweises zu authentifizieren. So gelangen die Betrüger an die gewünschten Daten und Informationen. Oft wird auch um die Eröffnung eines Kontos und ein Startkapital für den Transfer des Gewinns gebeten. Reicher wird der vermeintliche Gewinner jedoch allenfalls an Erfahrung. Denn in den allermeisten Fällen sind die Betrüger mit dem Startkapital auf und davon. "Die Zahl solcher E-Mails würde nicht weiter zunehmen, wenn das nicht funktionieren würde", warnen Vertreter der australischen Behörde Fraudwatch International.
Auch deutsche Anwender geraten zunehmend in den Fokus der Phisher. eBay-Kunden wurden auf Grund eines angeblichen Wasserschadens im Rechenzentrum per E-Mail aufgefordert, ihre Zugangskennung zum Bezahldienst PayPal zu bestätigen. Auch Visa International, Deutsche Bank und die Postbank warnen vor unrechtmäßigen Anfragen zu Informationen wie Kartennummer, Verfalldatum, Kartenprüfziffer, Kontonummer oder Geheimzahlen. Sicherheitsexperten der Postbank raten ihren Kunden ferner, die betreffenden Internet-Seiten genau zu prüfen, bevor sie vertrauliche Informationen eingeben. Ein Klick mit der rechten Maustaste ermöglicht beispielsweise unter dem Punkt "Eigenschaften" eine Prüfung des Seitenzertifikats der Internet-Seite. Generell sollte man auf solche Seiten nur über Bookmarks zugreifen und nicht über Links in E-Mails oder anderen Webseiten.
Externe Schutzmaßnahmen gegen die Bedrohung
Phishing-Angriffe sind genau genommen nichts Neues, doch ihre Zahl hat innerhalb der letzten zwölf Monate dramatisch zugenommen. So fanden laut Gartner 76 Prozent der registrierten oder vermuteten Angriffe innerhalb der letzten sechs Monate statt. Etwa 19 Prozent der Betroffenen - rund elf Millionen erwachsene US-Bürger - reagierten auf Phishing-Mails. Drei Prozent der Anwender gaben persönliche und finanzielle Daten an die Betrüger weiter. Allein in den USA entstand im letzten Jahr ein Schaden in Höhe von rund 1,2 Milliarden US-Dollar, so die Marktforscher von Gartner.
Die Untersuchungen des Bundeskriminalamts (BKA) und die Statistiken des "Managed E-Mail Security Services"-Anbieters MessageLabs weisen ebenfalls auf starke Zuwächse bei diesem "Genre" unerwünschter E-Mails hin. "Seit Monaten verzeichnet MessageLabs ein exponentielles Wachstum der Phishing-Mails. Es gibt jedoch wirksame Schutzmaßnahmen gegen diese Bedrohung. Hierzu zählen erstens ein Fraud Protection Service für proaktives Monitoring, zweitens die Identifizierung der Urheber und Schließung der entsprechenden betrügerischen Website durch ein Incident Response Team und drittens die Aufklärung der Kunden über die potentiellen Gefahren von Phishing-Attacken. Entscheidend ist der proaktive Ansatz, wie ihn MessageLabs mit seinen Managed E-Mail Security Services verfolgt, nämlich die unerwünschten Phishing-Mails abzublocken, bevor sie das Netzwerk des Unternehmens erreichen", erklärt Henning Ogberg, Sales Director DACH bei MessageLabs, die Strategie seines Unternehmens gegen die Bedrohung.
Auch das Beobachten von Domain-Name-Registern und Hacker Chat Rooms kann frühzeitig Hinweise auf Angriffe mit Hilfe betrügerischer Websites liefern. So sind Unternehmen dazu in der Lage, sich rechtzeitig auf einen Angriff vorzubereiten, Kunden zu warnen und geeignete Gegenmaßnahmen zu treffen. Diesen Weg geht beispielsweise Mastercard und hat nach eigenen Angaben in einem Testbetrieb bereits innerhalb von einer Woche 74 verdächtige Internet-Seiten und 24 Online-Schwarzmärkte für gestohlene Kreditkartendaten ausfindig gemacht. Darüber hinaus untersucht Mastercard Internet-Seiten und Spam-Mails nach typischen Mustern, um mehr über die Vorgehensweise der Phisher zu lernen.
Content-Filter
Ein umfassendes Konzept zum Schutz vor Angriffen sollte neben der reinen Beobachtung des E-Mail-Aufkommens und des Internets auch die Sensibilisierung und Schulung der Mitarbeiter berücksichtigen. Darüber hinaus sind Maßnahmen zu ergreifen, die helfen, laufende Angriffe zu entdecken und künftigen Angriffen vorzubeugen. Die Sensibilisierung der Mitarbeiter ist für Unternehmen ein nicht zu unterschätzender Sicherheitsaspekt. Millionen Angestellte surfen während ihrer Arbeitszeit privat im Internet und nutzen den firmeneigenen E-Mail-Account für E-Mails, die für ihre Arbeit nicht relevant sind.
Dies hat weit reichende Folgen, denn die beim Surfen hinterlassenen Spuren lassen sich für Spam- und Phishing-Angriffe nutzen. Selbst ohne umfassendes technisches Können ist es mit Hilfe des Internets möglich, in den Besitz tausender E-Mail-Adressen zu gelangen. Führen Appelle nicht zum gewünschten Erfolg, bietet sich der Einsatz von Content-Security-Produkten an. Mit Hilfe der Content-Filter lassen sich Webseiten mit unerwünschten Inhalten sperren und E-Mails filtern. Mittels individueller Konfigurationen kann man auch bestimmte Medientypen komplett sperren oder den Zugriff auf Benutzergruppen oder Tageszeiten einschränken.
Spam-Filter
Content-Security-Lösungen gehören in vielen Unternehmen mittlerweile zum Standardrepertoire der Sicherheitsinfrastruktur und werden auch künftig eine große Rolle spielen. Laut IDC wird der Markt für Content Security im Jahr 2005 bereits ein Volumen von 4,2 Milliarden US-Dollar erreichen. Neben Virenschutz und Filterfunktionen ist Spam-Schutz die dritte Säule der Content-Security-Lösungen. Auch Spam-Filter lassen sich erfolgreich gegen die massenhaft versandten Phishing-Mails einsetzen. Allerdings variieren Effektivität und Kosten-Nutzen-Aspekte je nachdem, welche Technologie zum Einsatz kommt.
Eine einheitliche, zentral konfigurierte Lösung kann vermeiden, dass einzelne Mitarbeiter die unternehmensweite Security Policy wissentlich oder unwissentlich umgehen. Sie muss aber gleichzeitig sicherstellen, dass relevante Nachrichten beim Kommunikationsteilnehmer ankommen. Client-basierte Lösungen, die vom Anwender individuell konfiguriert und manuell gepflegt werden, sind dagegen aufwendiger und setzen technisches Verständnis beim Mitarbeiter voraus. Bei einer automatischen Filterung der E-Mails am Gateway besteht die Gefahr, dass Nachrichten zu Unrecht zurückgehalten werden. Denn die Unterscheidung erwünschter Nachrichten von unerwünschten Inhalten stellt einige Herausforderungen an die Technik. Filter haben beispielsweise Probleme mit Zitaten, Smalltalk oder ironischen Kommentaren in geschäftskritischen Mails.
Erfolg versprechend sind Lösungen, die auf eine Kombination unterschiedlicher Methoden wie Header-Abgleich, Volltextanalyse, RFC -Standards, adaptive, heuristische Filter, Bayes-Filter und Open-Proxy-Listen setzen. Reduziert wird die Fehlerrate zudem durch statistische Textanalyseverfahren bei weniger komplexen Texten. Gute Produkte können auch HTML und Cascading Style Sheets (CSS) interpretieren. Sind die Links in Bildern versteckt, um die Empfänger dazu zu bringen, die URL selbst einzugeben, helfen Lösungen, die mit Bilderkennungs-Software arbeiten.
Voraussetzungen für SPAM-Filter
Vor der Implementierung eines entsprechenden Produkts sollte sich der Verantwortliche allerdings über die rechtlichen Rahmenbedingungen informieren. Denn beim Einsatz von Spam-Filtern tauchen rechtliche Probleme auf. Vor allem dann, wenn die private Nutzung des E-Mail-Accounts zulässig ist oder vom Arbeitgeber geduldet wird, spielt das Fernmeldegeheimnis eine wichtige Rolle.
Dem Arbeitgeber steht es jedoch frei, die private Nutzung des Internets zu verbieten. Dazu bedarf es weder der Unterschrift der Mitarbeiter noch einer Betriebsvereinbarung. Damit ist allerdings noch nicht das Problem gelöst, wie mit den als unerwünscht eingestuften Nachrichten zu verfahren ist. Technisch betrachtet hat der Anwender die Möglichkeit, die identifizierten E-Mails zu blockieren, zu markieren, in Quarantäne zu stellen oder zu löschen. Aus rechtlicher Sicht sind die zu treffenden Maßnahmen allerdings eingeschränkt. Das kommentarlose Löschen verdächtiger E-Mails ohne Einverständnis der Mitarbeiter sollte in jedem Fall unterbleiben. Als unerwünscht identifizierte Nachrichten zu blockieren oder an den Absender zurückzuschicken ist rechtlich umstritten. Eine zentrale Quarantäne ist ebenfalls problematisch. Denn in der Regel werden diese Nachrichten erst dann weitergeleitet, wenn ein Administrator diese eingesehen und darüber entschieden hat. Und dazu ist er aus rechtlicher Sicht, vor allem aus Datenschutzaspekten, nicht befugt.
Authentifizierung und Verschlüsselung
Bei E-Commerce- und E-Banking-Angeboten bietet sich auch der Einsatz starker Authentifizierungslösungen wie Smartcards oder Tokens an. Selbst wenn der Nutzer einem Phishing-Angriff zum Opfer fällt, sind die Online-Angebote nur in Verbindung mit dem physikalischen Schlüssel zugänglich. Diese Lösung ist für Unternehmen je nach Kundenanzahl allerdings mit hohen Kosten verbunden. Denn zum einen müssen Schlüssel und die entsprechende Desktop-Software bereitgestellt werden. Zum anderen verursacht der Einsatz von Zertifikaten weitere Kosten.
Die verschlüsselte Kommunikation ist eine der wirkungsvollsten Maßnahmen gegen die Phisher, die praktische und rechtliche Aspekte gleichermaßen berücksichtigt. S/MIME, PGP oder GnuPG verschlüsseln Nachrichten automatisch beim Versenden und versehen sie mit einer digitalen Signatur. So wird Veränderungen am Inhalt wirkungsvoll vorgebeugt, und auch das unentdeckte Fälschen von Absenderadressen lässt sich verhindern.
Initiativen der Hersteller
Hersteller sagen der wachsenden Bedrohung durch Phishing-Mails den Kampf an. Neben der reinen Aufklärungsarbeit sind übergreifende Initiativen wie die Anti-Phishing Working Group (APWG) entstanden. Diese sammelt Hinweise auf Angriffe und gefälschte Webseiten und stellt einer breiten Öffentlichkeit die Ergebnisse zur Verfügung. Allein im Juli wurden der APWG 1974 neue Phishing-Angriffe gemeldet. Darüber hinaus arbeiten die über zweihundert Mitglieds-Unternehmen an gemeinsamen Vorgehensweisen und Lösungen gegen die Bedrohung. Die Entwicklung und Verbreitung technischer Standards zur Bekämpfung des Daten-Phishing sind das Ziel des Trusted Electronic Communications Forum (TECF). IBM, AT & Wireless, Fidelity Investments, Siebel Systems sind unter anderen die treibenden Kräfte in diesem Forum.
Zukunftsvision Mail-Server-Authentifizierung
Ein weiterer Ansatz im Kampf gegen Phishing-Mails und Spam ist die Mail-Server-Authentifizierung. Das Identifizieren des tatsächlichen Absenders einer E-Mail soll Domain-Spoofing, also den Versuch, E-Mails unter einem fremden Domain-Namen zu verbreiten, verhindern. Wie das im Einzelnen aussieht, hängt von der eingesetzten Technologie ab. Unter den zahlreichen Ansätzen ringen derzeit hauptsächlich drei Verfahren um eine Anerkennung als Internet-Standard. Alle Lösungen wurden mittlerweile als Internet Draft bei der Internet Engineering Task Force (IETF) eingereicht.
Microsoft, Brightmail, Sendmail und Amazon.com unterstützen "Caller ID for E-Mail". Dieses Verfahren sieht vor, dass E-Mail-Versender ihre IP-Adresse in einem speziellen, von Microsoft definierten Format im Domain Name Server (DNS) veröffentlichen. Empfänger können so eingehende E-Mails daraufhin überprüfen, von welchem System sie stammen und ob die jeweilige Adresse im DNS-System hinterlegt ist. Ist dies nicht der Fall, kann es als Hinweis auf Spam gedeutet werden. Yahoo bringt mit DomainKeys ein eigenes System ins Rennen. Das Sender Policy Framework (SPF) des Internet-Service-Providers Pobox wird auch von AOL und GMX unterstützt. Alle drei Systeme sind ähnlich konzipiert und können auch parallel existieren.
Bis sich eine der Lösungen tatsächlich als Internet-Standard etabliert hat, wird allerdings noch etwas Zeit vergehen. Probleme ergeben sich derzeit vor allem für Unternehmen, deren E-Mail-Verkehr über Drittanbieter läuft. Auch das Weiterleiten (Forwarding) von E-Mails bereitet Filtern und Rastern Schwierigkeiten und führt oft noch dazu, dass die Nachricht abgeblockt wird. Insgesamt befindet sich die Mail-Server-Authentifizierung momentan im Anfangsstadium. Für den breiten Einsatz dieser Technologien müssten sich die Anbieter zunächst auf einheitliche Standards einigen. Und auch dann kann diese Lösung nur als sinnvolle Ergänzung zu weiteren Maßnahmen gesehen werden.
Fazit
Unabhängig davon, welche Technologie und welche Lösung gegen die Phisher zum Einsatz kommt, gilt auch hier der Grundsatz: Hundertprozentige Sicherheit gibt es nicht und wird es nicht geben. Denn zum einen stellen sich Angreifer schnell auf die Lösungen und Strategien der Security-Anbieter ein.
Zum anderen führt der Ehrgeiz, mit spektakulären Angriffen von sich Reden zu machen, zu immer neuen Angriffsszenarien. Ein hohes Maß an Sicherheit und Schutz lässt sich jedoch durch eine Kombination der verschiedenen Abwehrkonzepte gewährleisten. Wenn sich Angriffe auch in Zukunft nicht vermeiden lassen, so trägt das Zusammenspiel ausgereifter, innovativer Lösungen dazu bei, das Gefährdungspotenzial auf ein erträgliches Maß zu verringern. (mha)