Phishing

Die fiesen Köder der Passwort-Fischer

06.09.2004

Auch einige Anti-Spam-Lösungen sind geeignet, Phishing-Mails zu bekämpfen. Allerdings variieren Effektivität und Kosten-Nutzen-Aspekte, je nachdem, welche Technologie zum Einsatz kommt. Bei einer Filterung der E-Mails am Gateway kann der Filter über eine einheitliche Benutzeroberfläche zentral konfiguriert und gesteuert werden. So lässt es sich vermeiden, dass einzelne Mitarbeiter die unternehmensweite Sicherheitspolitik umgehen. Client-basierte Lösungen, die vom Anwender gepflegt werden, sind hingegen aufwändiger und setzen technisches Verständnis der Mitarbeiter voraus. Während der Einsatz zentraler Virenfilter als zulässige Schutzmaßnahme angesehen wird, die weder eine "unbefugte Verletzung des Fernmeldegeheimnisses" darstellt noch den Straftatbestand einer "ungesetzlichen Datenlöschung oder -unterdrückung" erfüllt, ist dies in juristischen Fachkreisen bei Spam-Filtern umstritten.

Spam-Filter sind rechtlich umstritten

"Beim Einsatz von Spam-Filtern tauchen zahlreiche rechtliche Tücken auf", erklärt Ulrich Emmert, Rechtsanwalt und Lehrbeauftragter für Internet-Recht an der Fachhochschule Nürtingen. Filtern, die ohne eine semantische Bewertung des Inhalts auskommen, sollte in jedem Fall der Vorzug gegeben werden. Die trainierbare Core-Technologie (Content Recognition Engine) des Karlsruher Softwareproduzenten Group Technologies beispielsweise nutzt unter anderem die charakteristischen Eigenschaften von Spam. Auf diese Weise lassen sich geschäftsrelevante E-Mails unabhängig von Wortlisten und Sprachen erkennen und Spam zuverlässig ausfiltern. Das ist juristisch unanfechtbar.

Aufpassen sollten Unternehmen allerdings beim Löschen von Mails. "Denn verdächtige Inhalte könnten auch privat sein", so Emmert. Das kommentarlose Löschen von E-Mails ohne Einverständnis der Mitarbeiter sollte also nach Ansicht des Rechtsexperten unbedingt unterbleiben. Umstritten ist ferner, ob das Weiterleiten von E-Mails abgelehnt und die Nachricht an den Absender zurückgeschickt werden darf. Auch eine zentrale Quarantäne, also eine Isolierung verdächtiger Mails, bereitet Rechtsprobleme. In der Regel entscheidet der Administrator, wie er mit der in Quarantäne gestellten Mail umgeht. Doch darf er aus datenschutzrechlichen Gründen nicht in die Mails hineinschauen. Spam-Filter stellen folglich, so das Resümee des Internet-Rechtlers Emmert, wirksame Abwehrmaßnahmen im Kampf gegen die Phisher zur Verfügung; in ihrer Handhabung sind allerdings die juristischen Tücken zu umschiffen.

Der Markt scheint für die Konfrontation mit den Anglern im Passwort-Teich gut gerüstet zu sein. Authentifizierungslösungen wie zum Beispiel Smart-Cards und Tokens vermitteln den Kunden von E-Commerce- und E-Banking-Angeboten viel Vertrauen in die Sicherheit. Für Unternehmen ist diese Lösung je nach Kundenzahl allerdings mit hohen Kosten verbunden. Denn es müssen Schlüssel und die entsprechende Desktop-Software bereitgestellt werden. Zudem verursacht der Einsatz von Zertifikaten möglicherweise weitere Kosten.

Anti-Phishing-Gruppen formieren sich

Eine der wirkungsvollsten Maßnahmen, die praktische und rechtliche Aspekte berücksichtigt, ist die verschlüsselte Kommunikation. Für eine sichere E-Mail-Kommunikation haben sich Standards wie S/MIME (Secure Multipupose Internet Mail Extensions) und PGP (Pretty Good Privacy) durchgesetzt. Beim Versenden einer Nachricht wird diese automatisch verschlüsselt und digital signiert. Veränderungen am Inhalt kann so wirkungsvoll vorgebeugt werden; auch das unentdeckte Fälschen von Absenderadressen lässt sich verhindern.

Um der wachsenden Zahl der Phishing-Angriffe zu begegnen, gibt es inzwischen übergreifende Initiativen von Herstellern. In den USA haben sich in der Anti-Phishing Working Group (APWG) über 200 Unternehmen zusammengeschlossen, um gemeinsam gegen Phishing vorzugehen. IBMIBM, AT & Wireless, Fidelity Investments, Siebel Systems und andere haben das "Trusted Electronic Communications Forum" (TECF) gegründet, das technische Standards zur Bekämpfung des Daten-Phishing entwickeln und verbreiten soll. Phishing hat sich nach Ansicht von Shawn Eldridge, dem Vorsitzenden des TECF, zu einer wahren Epidemie entwickelt. "Niemand ist immun", so Eldridge - abgesehen von den Totalverweigerern des OnlineGeschäfts. Alles zu IBM auf CIO.de

Tanja Möhler [redaktion@cio.de]

Zur Startseite