Phisher haben sich auch in Deutschland zu einer echten Bedrohung entwickelt. Die Liste der Unternehmen, deren Kunden Phishing-Mails erhielten, wird immer länger. Zu den prominentesten Opfern solcher Attacken zählen Firmen wie die Deutsche Bank, Postbank, Stadtsparkasse oder Deutsche Telekom.

Um sich und ihre Kunden vor derartigen Angriffen zu schützen, empfiehlt Johannes Ullrich vom Internet Storm Center (ISC) des System-Administration-, Networking- and Security-Institute (SANS) Unternehmen, einige Regeln zu befolgen.

Zunächst einmal sollten sie sich in einem einheitlichen Erscheinungsbild präsentieren. "Für den Verbraucher ist der erste und manchmal einzige Weg, die Vertrauenswürdigkeit einer Web-Seite oder einer E-Mail zu beurteilen, der optische Eindruck." Eindeutige visuelle Elemente und klare Bezeich- nungen sind wichtig, weil an ihnen der Kunde "sein" Unternehmen erkennt. Das gelte auch für E-Mails, weshalb das Unternehmen dafür die Absende-Domain verwenden sollte wie für den Web-Auftritt. Wer elektronische Post von einem Dienstleister versenden lässt, der soll Ullrich zufolge darauf bestehen, eine einheitliche und dem Kunden vertraute Absenderadresse zu verwenden: "Geschieht das nicht, sind Verbraucher nicht in der Lage, zwischen gefälschten und echten E-Mails zu unterscheiden."

Zusätzlich rät Ullrich, als unzustellbar zurückkommende E-Mails zu überwachen und auszuwerten. Ähnlich wie Spammer benutzen auch Phisher Adresslisten für ihre Massenaussendungen, die immer wieder auch ungültige Kennungen enthalten. Wenn ein Unternehmen wie beschrieben eine einheitliche Absendeadresse verwendet, dann lassen sich die Irrläufer, wenn sie als unzustellbar zurück zum Unternehmen geschickt werden, abfangen und analysieren. Das bietet sich als eine Art Warnsystem an, um neue Phishing-Attacken rechtzeitig zu bemerken.

Kenntnis der Tricks kann den Schaden begrenzen

Zusätzlich sollten Unternehmen genau überwachen, von woher Besucher auf ihre Web-Seiten verwiesen worden sind. Typischerweise leiten Phisher nämlich ihre Opfer an die Originalseite zurück, nachdem sie ihnen ihre Daten abgeluchst haben. Auf diese Weise soll die Schurkerei versteckt werden. Der Web-Browser übertragt die Adresse des Referrers jedoch an den Ziel-Server, wenn er auf diesen umgelenkt wird. Ullrich empfiehlt daher, den Web-Server so zu konfigurieren, dass diese Daten erfasst und abgespeichert werden, damit man sie später auswerten kann. Bei vielen Web-Servern gehört dies sowieso zur Grundeinstellung.

Der Schutz des geistigen Eigentums hilft nebenbei auch gegen Phishing. Typischerweise versuchen Phisher, das Look and Feel einer Originalseite so gut wie möglich nachzuahmen. Dazu besuchen sie die zu fälschende Web-Seite in der Regel erst einmal und kopieren einfach Elemente aus dem Internet-Auftritt. Über das verschlüsselte Einbetten von IP-Adressen, Zeitstempeln oder Wasserzeichen in die Elemente der Web-Seite könnten Unternehmen feststellen, ob und von wem Inhalte kopiert werden. Welches Verfahren letztlich am besten geeignet sei, hänge von der Web-Infrastruktur des jeweiligen Unternehmens ab.

Entdeckt man eine Seite, die das eigene Web-Angebot nachahmt, so geht es darum, den möglichen Schaden zu begrenzen. Dazu gehört für Ullrich, einen Warnmechanismus zu installieren, der von diesem Server kommende Besucher der eigenen Web-Seite auf einen Hinweis umlenkt, dass sie möglicherweise einem Phisher auf den Leim gegangen sind. Dabei macht man sich die bereits erwähnte Tatsache zunutze, dass die Angreifer ihre Opfer gerne auf die Originalseite zurückschicken, nachdem ihr Angriff stattgefunden hat.

Unternehmen müssen die Kunden umfassend informieren

Unbedingt erforderlich ist schließlich ein klar zu erkennender Link mit Kontaktstellen, an die sich Kunden wenden können, wenn sie einem Phisher ins Netz gegangen sind. Untermehmen müssten ihre Kunden umfassend informieren und über die drohenden Gefahren aufklären. "Wenn über die Web-Seite kritische finanzielle oder persönliche Informationen abgerufen werden können, dann sollte unbedingt auch über starke Authentifizierungsverfahren, beispielsweise in Form von Hardware-Tokens, nachgedacht werden." (ave)