20070708zb Avira TC TrustCenter Spear-Phishing
|
|
|
»manage
it«
als
|
Schutz vor Phishing Die Unterschrift des Vertrauens Lokaler Virenschutz und fälschungssichere Signaturen schützen auch vor der neuen Sicherheitsbedrohung Spear-Phishing.
as relativ neue Wort Phishing hat sich im vergangenen Jahr seinen festen Platz auf der Hitliste der Bedrohungen erkämpft. Nicht nur in Fachmedien wurde über gefährliche E-Mails berichtet, in denen vermeintliche Bank-Mitarbeiter ihren arglosen Opfern die PINs und TANs entlocken wollten. Diese Bedrohung kann jeden treffen, denn ein Bankkonto haben fast alle – und manchmal nicht nur eins. Und weil gleiches für E-Bay-Konten gilt, sind Cyber-Kriminelle auch unter diesem Namen unterwegs. Phishing-Angriffe nutzen gezielt das Vertrauen aus, das E-Mail-Empfänger in die Echtheit von Mails haben. Bei den gewöhnlichen Phishing-Mails à la »Wir benötigen dringend einige TAN-Nummern« ist es nur das Layout der Bank, das den arglosen Surfer auf das Glatteis führen soll. Da diese Masche jedoch durch das zunehmende Sicherheitsbewusstsein der Mail-Nutzer nicht mehr so erfolgreich ist, haben sich einige Cyberkriminelle auf noch individuellere Ansprachen spezialisiert. Spear-Phishing nennen Fachleute das neue Phänomen, das sich wachsender Beliebtheit erfreut. Dabei suchen sich Hacker und Phisher ihre Opfer sehr gezielt aus und starten konzentrierte Angriffe auf ausgesuchte Firmen, Institutionen oder Behörden. Sie informieren sich auf Firmenhomepages genau über Details, die einen Outsider als Insider erscheinen lassen. Neue Quellen für Betrüger Dabei machen es die Möglichkeiten des Web 2.0 den Bösewichten noch einfacher. Die zahlreichen Angebote der neuen Generation – private Plattformen wie MySpace, Blog-Hoster oder Business-Einträge bei OpenBC/Xing – sind ein gefundenes Fressen für Identitäts-Diebe. Von privaten Details bis zu beruflichen Erfolgen haben dort viele Internet-Surfer alles abgelegt, was eine erfundene Geschichte an Feinheiten braucht, um sie glaubwürdig erscheinen zu lassen. Wenn der Spear-Phisher weiß, mit wem man privat und beruflich verkehrt, ist es ein Leichtes, entsprechende Mails zu erstellen. Dabei gehen Kriminelle mit immer professionelleren Methoden vor. So wird es in Zukunft problemlos möglich sein, den Prozess des Spear-Phishings zu automatisieren. Lokale Verteidiger Mit den auf einzelne Firmen zugeschnittenen Mails kommen dann auch die entsprechenden Viren, Trojaner und Spionage-Pakete. Sie sind spezifisch an die Begebenheiten in einem deutschen Unternehmen angepasst. Das macht es für die großen, international agierenden Anti-Virensoftware-Hersteller nicht einfach, sie zu erkennen. Experten raten daher, bei der Mischung der Virenschutz-Software, auch einen lokalen Anbieter mit an Bord zu nehmen. Nur so könne man auch lokalen Bedrohungen effektiv begegnen. »Deutschland ist für ausländische Anbieter sicherlich ein wichtiger Markt, doch gerade bei räumlich begrenzten Angriffen, sind wir als lokaler Anbieter viel eher in der Lage, Bedrohungen schnell zu erkennen und abzuwehren«, erklärt Tjark Auerbach, Gründer und Geschäftsführer der Avira GmbH. Das deutsche Sicherheitsunternehmen betreibt ein weltweites Netzwerk an Virenlaboren, in denen Virenexperten rund um die Uhr Internetbedrohungen überwachen und Abwehrmechanismen entwickeln. »In unseren Avira Labs stellen wir zunehmend lokal auftretende Sicherheits-Attacken fest, besonders auch in Teilen Deutschlands wie Süddeutschland. Anhand unserer Locksysteme – den sogenannten Honey-Pots – können wir sie schnell identifizieren, analysieren und umgehend automatisch die Datenbankeinträge unserer Virenschutz-Lösungen bei unseren Kunden aktualisieren – meist mehrmals täglich.« »Der beste Schutz gegen solche Spear-Phising-Attacken sind gut aufgeklärte Computernutzer – ob daheim oder in Unternehmen und Behörden. Beispielsweise reicht meist schon der Griff zum Telefonhörer, um zu klären, ob der unternehmenseigene IT-Administrator tatsächlich eine Mail mit angehängter Software verschickt hat oder ob eine Mail wirklich vom guten Freund oder einem wichtigen Geschäftspartner kommt. Besser ist natürlich ein funktionierendes Signatursystem«, so Auerbach. Der beste Schutz – die elektronische Unterschrift Den derzeit besten Weg für Unternehmen, seine Kunden, Geschäftspartner und letztlich seinen eigenen Ruf vor Spear-Phishing-Angriffen zu schützen, bietet nach Angaben von Trustcentern die elektronische Unterschrift. »Spams tragen keine echte elektronische Unterschrift – und daran wird sich auch in Zukunft nichts ändern«, sagt Dr. Rolf Lindemann, Director Product Management von TC TrustCenter, einem der größten Trustcenter in Deutschland. Lindemann empfiehlt die Einrichtung einer digitalen Signatur-Lösung. Unternehmen, die ihre E-Mails mit einem digitalen Zertifikat signieren, geben den Empfängern die Gewissheit, dass sie tatsächlich vom angegebenen Absender versendet wurden. Abhängig von den spezifischen Ansprüchen und den bestehenden IT-Strukturen können sich Unternehmen für verschiedene Lösungsansätze entscheiden. Ein Beispiel ist das sogenannte Gruppen- beziehungsweise Teamzertifikat. Es wird für Teams eingesetzt, in denen mehrere Absender die gleiche E-Mail-Adresse wie beispielsweise support@online-bank.de nutzen. Dementsprechend nutzen alle Teammitglieder das gleiche Zertifikat, das bei ihnen auf den Rechnern hinterlegt ist oder zentral auf einem Gateway abgelegt sein kann. Eine weitere Möglichkeit ist das Gateway-Zertifikat: Es liegt zentral auf dem Unternehmens-Gateway und signiert alle ausgehenden E-Mails automatisch – einer ebenfalls gemeinschaftlich genutzten Adresse. Einzelzertifikate stellen eine individuellere Lösung dar: Sie können entweder einzeln beantragt oder bei größeren Unternehmen über eine PKI – kurz für Public Key Infrastructure – zur Verfügung gestellt werden. In diesem Fall erhält jeder Absender ein eigenes Zertifikat, mit dem er seine E-Mails unterzeichnen kann. Resümee »Einer der zentralen Warnhinweise lautet: ‚Öffnen Sie nur E-Mails, die vertrauenswürdig sind, beziehungsweise deren Absender Sie kennen’ – doch wann ist eine Mail vertrauenswürdig und ist es wirklich eine Mail von unserem Kollegen? In der Praxis sind solche Regeln nur gültig, wenn wir das Vertrauensinstrument ‚Unterschrift’ auf die elektronische Welt übertragen«, sagt Lindemann. Das funktioniert in Unternehmen nur eingebettet in eine groß angelegte Aufklärungskampagne. Jeder einzelne Mitarbeiter muss wissen, wie er elektronische Unterschriften erkennen, verifizieren und selber anlegen kann. Kunden und Lieferanten sollten in den Sicherheitsprozess eingebunden werden und im Vorfeld darüber informiert werden, dass sie zukünftig nur noch signierte E-Mails erhalten werden. Idealerweise stellen auch sie ihre Korrespondenz auf das sichere Signatur-Verfahren um und tragen die Idee weiter. Lästige Anrufe – »Haben Sie mir gerade eine Word-Datei mit einem Angebot geschickt?« – entfallen dann und Zeit und Nerven werden geschont. Mit einer Signatur greift der Spear-Phishing-Mechanismus nicht: Wenn Angreifer wissen, wie der IT-Verantwortliche heißt, in welchem Gebäudekomplex die EDV-Zentrale residiert und was es in der Kantine zu Mittag gab, lässt sich daraus eine nette Geschichte erfinden, die glaubwürdig klingt. Wenn die Signatur allerdings nicht passt, hilft auch die überzeugendste Mail dem Hacker nicht weiter. Dietmar Spehr ___________________________________________________________ Dietmar Spehr ist freier Journalist in München
|
Folgen Sie »manage it« auf Google+
|
