Passwort-Fischer (Phisher) sind äußerst raffiniert. Getarnt als vertrauenswürdige Instanz, beispielsweise als Bank oder Kreditinstitut, verschicken sie seriös wirkende, aber gefälschte E-Mails. Darin fordern sie Kunden dazu auf, ihre persönlichen Daten zu aktualisieren. Ein Link, der in der E-Mail bereits enthalten ist, leitet die Anwender auf eine präparierte Website mit gefälschter URL. Dort soll der arglose Nutzer vertrauliche Informationen wie Passwörter, Zugangsdaten oder Kreditkartennummern bestätigen. Phisher wollen zudem Kunden dazu bringen, die sensiblen Daten direkt per E-Mail an den vorgeblichen Sachbearbeiter weiterzuleiten.
Damit haben sie, einer aktuellen Studie des US-amerikanischen Marktforschersunternehmens Gartner zufolge, in rund 19 Prozent der Fälle Erfolg. Rund elf Millionen erwachsene US-Bürger reagierten demnach auf Phishing-Mails. Drei Prozent der Anwender gaben persönliche und finanzielle Daten an die Angreifer weiter. Alarmierend ist vor allem die wachsende Zahl dieser Angriffe. So fanden laut Gartner 76 Prozent der Attacken innerhalb der letzten sechs Monate statt, während in den sechs Monaten zuvor nur 16 Prozent der Angriffe erfolgten.
Visa und das BKA warnen vor Betrug
Auch deutsche Anwender geraten zunehmend in den Fokus der Phisher. So wurden eBay-Kunden per E-Mail aufgefordert, aufgrund eines angeblichen Wasserschadens im Rechenzentrum ihre Zugangskennungen zum Bezahldienst Paypal zu bestätigen. Auch Visa International warnt gemeinsam mit dem Bundeskriminalamt (BKA) Kreditkarteninhaber vor unrechtmäßigen Anfragen zu persönlichen Daten wie etwa Kartennummer, Verfallsdatum, Kartenprüfziffer oder Geheimzahlen (PIN). "Finanzinstitute, Internet-Service-Provider und andere Anbieter sollten das Phishing ernst nehmen", warnt Avivah Litan, Forschungsdirektor bei Gartner.
Zum Schutz vor E-Mails mit unerwünschten Inhalten und Phishing-Mails können Unternehmen speziell entwickelte Services nutzen, die "Managed E-Mail Security Services". Ein so genannter Fraud Protection Service umfasst neben der reinen Beobachtung des E-Mail-Verkehrs auch eine unmittelbare Benachrichtigung über das Auftreten von Phishing-Mails. So können sich IT-Manager rechtzeitig auf einen Angriff vorbereiten, Kunden warnen und geeignete Gegenmaßnahmen einleiten. Filter sorgen bereits hier dafür, dass Phishing-Mails erst gar nicht an das Unternehmen weitergeleitet werden.
Ein gezieltes Monitoring der E-Mails ermittelt idealerweise Details über Art und Ursprung eines Angriffs. Auch Register von Domain-Namen zu beobachten kann frühzeitig Hinweise auf Angriffe mit Hilfe betrügerischer Websites liefern. Im Falle eines Angriffs ist es dann möglich, in Zusammenarbeit mit der Justiz eine Schließung der Website zu erreichen. Einige Serviceanbieter überwachen für ihre Kunden inzwischen auch bekannte Chatrooms von Hackern auf erste Hinweise. Auch beim Kreditkartenproduzenten Mastercard setzt man zusätzlich zur Aufklärungsarbeit auf Prävention durch Beobachtung. So soll etwa die Suche nach typischen Mustern auf Internetseiten und in Spam-Mails Aufschluss über die Vorgehensweise der Phisher geben. Nach eigenen Aussagen lieferte ein Testbetrieb bereits nach einer Woche 74 verdächtige Internetseiten und 24 Online-Schwarzmärkte für gestohlene Kartendaten.
Auch einige Anti-Spam-Lösungen sind geeignet, Phishing-Mails zu bekämpfen. Allerdings variieren Effektivität und Kosten-Nutzen-Aspekte, je nachdem, welche Technologie zum Einsatz kommt. Bei einer Filterung der E-Mails am Gateway kann der Filter über eine einheitliche Benutzeroberfläche zentral konfiguriert und gesteuert werden. So lässt es sich vermeiden, dass einzelne Mitarbeiter die unternehmensweite Sicherheitspolitik umgehen. Client-basierte Lösungen, die vom Anwender gepflegt werden, sind hingegen aufwändiger und setzen technisches Verständnis der Mitarbeiter voraus. Während der Einsatz zentraler Virenfilter als zulässige Schutzmaßnahme angesehen wird, die weder eine "unbefugte Verletzung des Fernmeldegeheimnisses" darstellt noch den Straftatbestand einer "ungesetzlichen Datenlöschung oder -unterdrückung" erfüllt, ist dies in juristischen Fachkreisen bei Spam-Filtern umstritten.
Spam-Filter sind rechtlich umstritten
"Beim Einsatz von Spam-Filtern tauchen zahlreiche rechtliche Tücken auf", erklärt Ulrich Emmert, Rechtsanwalt und Lehrbeauftragter für Internet-Recht an der Fachhochschule Nürtingen. Filtern, die ohne eine semantische Bewertung des Inhalts auskommen, sollte in jedem Fall der Vorzug gegeben werden. Die trainierbare Core-Technologie (Content Recognition Engine) des Karlsruher Softwareproduzenten Group Technologies beispielsweise nutzt unter anderem die charakteristischen Eigenschaften von Spam. Auf diese Weise lassen sich geschäftsrelevante E-Mails unabhängig von Wortlisten und Sprachen erkennen und Spam zuverlässig ausfiltern. Das ist juristisch unanfechtbar.
Aufpassen sollten Unternehmen allerdings beim Löschen von Mails. "Denn verdächtige Inhalte könnten auch privat sein", so Emmert. Das kommentarlose Löschen von E-Mails ohne Einverständnis der Mitarbeiter sollte also nach Ansicht des Rechtsexperten unbedingt unterbleiben. Umstritten ist ferner, ob das Weiterleiten von E-Mails abgelehnt und die Nachricht an den Absender zurückgeschickt werden darf. Auch eine zentrale Quarantäne, also eine Isolierung verdächtiger Mails, bereitet Rechtsprobleme. In der Regel entscheidet der Administrator, wie er mit der in Quarantäne gestellten Mail umgeht. Doch darf er aus datenschutzrechlichen Gründen nicht in die Mails hineinschauen. Spam-Filter stellen folglich, so das Resümee des Internet-Rechtlers Emmert, wirksame Abwehrmaßnahmen im Kampf gegen die Phisher zur Verfügung; in ihrer Handhabung sind allerdings die juristischen Tücken zu umschiffen.
Der Markt scheint für die Konfrontation mit den Anglern im Passwort-Teich gut gerüstet zu sein. Authentifizierungslösungen wie zum Beispiel Smart-Cards und Tokens vermitteln den Kunden von E-Commerce- und E-Banking-Angeboten viel Vertrauen in die Sicherheit. Für Unternehmen ist diese Lösung je nach Kundenzahl allerdings mit hohen Kosten verbunden. Denn es müssen Schlüssel und die entsprechende Desktop-Software bereitgestellt werden. Zudem verursacht der Einsatz von Zertifikaten möglicherweise weitere Kosten.
Anti-Phishing-Gruppen formieren sich
Eine der wirkungsvollsten Maßnahmen, die praktische und rechtliche Aspekte berücksichtigt, ist die verschlüsselte Kommunikation. Für eine sichere E-Mail-Kommunikation haben sich Standards wie S/MIME (Secure Multipupose Internet Mail Extensions) und PGP (Pretty Good Privacy) durchgesetzt. Beim Versenden einer Nachricht wird diese automatisch verschlüsselt und digital signiert. Veränderungen am Inhalt kann so wirkungsvoll vorgebeugt werden; auch das unentdeckte Fälschen von Absenderadressen lässt sich verhindern.
Um der wachsenden Zahl der Phishing-Angriffe zu begegnen, gibt es inzwischen übergreifende Initiativen von Herstellern. In den USA haben sich in der Anti-Phishing Working Group (APWG) über 200 Unternehmen zusammengeschlossen, um gemeinsam gegen Phishing vorzugehen. IBM, AT & Wireless, Fidelity Investments, Siebel Systems und andere haben das "Trusted Electronic Communications Forum" (TECF) gegründet, das technische Standards zur Bekämpfung des Daten-Phishing entwickeln und verbreiten soll. Phishing hat sich nach Ansicht von Shawn Eldridge, dem Vorsitzenden des TECF, zu einer wahren Epidemie entwickelt. "Niemand ist immun", so Eldridge - abgesehen von den Totalverweigerern des OnlineGeschäfts.
Tanja Möhler [redaktion@cio.de]