Was Mitte der 90er Jahre, als sich Hacker die Zugangsdaten von AOL-Teilnehmern erschlichen, noch verhältnismäßig harmlos begann, avancierte innerhalb eines Jahrzehnts zu einer organisierten Form internationaler Kriminalität. Ging es den "Phishern" - eine Wortkreation aus "Passwort" und "Fisher" - anfangs noch primär darum, vertrauliche Informationen über Newsgroups oder Online-Diskussionsforen zu ergattern, verlegten sich die Trickbetrüger nach der Jahrtausendwende auf den Massenversand gefälschter E-Mails oder URLs, um Anwender auf fingierte Sites namhafter Firmen zu lotsen und sie dort zur Preisgabe sensibler Daten wie Passwörtern, Zugangsinformationen oder Kreditkartennummern zu verleiten.

Wie rasch das Thema an Brisanz gewonnen hat, lässt sich an den Reports der von Industrie und Handel als Gegenoffensive ins Leben gerufenen Anti-Phishing Working Group (APWG) ablesen: Lag die Zahl der monatlichen Phishing-Attacken im Oktober 2004 noch bei weltweit 6957, wurden im März dieses Jahres bereits 18 480 derartige E-Mail-Kampagnen registriert. Allein im April errichteten die Ganoven 11 121 Phishing-Sites im globalen Datennetz - nahezu drei Prozent davon in Deutschland. Im April 2005 waren es noch überschaubare 2854 Sites.

Rasanter Anstieg der Attacken

Angaben von Sicherheitsexperten deuten auch darauf hin, dass das Geschäft mit den erschlichenen Daten floriert: Wurden laut Symantec im ersten Halbjahr 2005 täglich 5,7 Millionen Phishing-Mails verschickt, waren es in der zweiten Jahreshälfte bereits 7,92 Millionen. Im gleichen Zeitraum hat sich das Gesamtvolumen der als betrügerisch identifizierten Mails von 1,04 auf 1,5 Milliarden erhöht. Nach Analysen von Messagelabs beträgt der Anteil der Phishing-Attacken an allen von dem auf E-Mail-Security spezialisierten Anbieter als bösartig eingestuften E-Mails aktuell knapp 21 Prozent.

Das klassische Vorgehen

Erfolgreiche Attacken erfordern ein noch stärkeres Zutun des Opfers als viele andere E-Mail-basierende Bedrohungen. Das typische Vorgehen: Zunächst werden Kopien von Web-Seiten namhafter Firmen und Brands erstellt - angefangen von Finanzdienstleistern und Banken über Web-Auktionshäuser bis hin zu Online-Reisebüros. Über ähnlich professionell organisierte Mittel der Massenverbreitung verschicken die Phisher anschließend Hunderttausende von betrügerischen, jedoch offiziell anmutenden Mails mit einem Hyperlink, der den Empfänger auf eine Site führt, die der Homepage etwa seiner Bank täuschend ähnlich sieht. Dabei nutzen die Betrüger in der Regel Internet-Adressen, die sich nur geringfügig von denen der bekannten Firmen unterscheiden, oder sie fälschen die Browser-Adressleiste mit Javascript.

Glückt die Täuschung, was nach Einschätzung von Experten derzeit bei fünf Prozent der Phishing-Attacken der Fall ist, gibt der Kunde - etwa im Rahmen einer fiktiven Warenbestellung oder Online-Banking-Session - Passwort und Kreditkartendetails preis und beschert dem Datenangler damit potenziell fette Beute. Der daraus entstehende finanzielle Schaden geht mittlerweile in die Milliarden.

Seit einiger Zeit setzen die Phisher jedoch zunehmend Techniken ein, die sie von der Mitwirkung des Benutzers unabhängiger machen. Häufig werden beispielsweise via Spam Keylogger-Programme in Form von Trojanern verbreitet, die Sicherheitslücken im Betriebssystem nutzen und sich auf Festplatten einnisten. Dort zeichnen sie vom Nutzer unbemerkt Tastatureingaben, aufgerufene Internet-Adressen oder Passwörter auf und senden die geheimen Daten dann zur kriminellen Weiterverwertung an verborgene Datenzentren. Dem jüngsten APWG-Report zufolge ist die Zahl der URLs, hinter denen sich derartige Malware verbirgt, seit April 2005 von 260 auf 2683 gestiegen.

Pharming

Zur ernsten Bedrohung ist auch eine fortgeschrittene Phishing-Technik namens Pharming geworden. Ziel der Methode ist es, das Opfer trotz Eingabe der korrekten Internet-Adresse auf einer betrügerischen Site landen zu lassen. Bei einer Variante, dem so genannten Domain-Spoofing, wird die IP-Adresse einer Web-Seite über die Manipulation der Adressauflösung im Internet gefälscht. Hierzu werden die dafür zuständigen DNS-Server (Domain Name System) so verändert, dass über die URL-Namen nicht mehr die tatsächlichen, sondern die IP-Adressen der betrügerischen Web-Server ermittelt werden (DNS-Cache-Poisoning). Eine weitere Pharming-Variante verbreitet Schadprogramme, die die Host-Datei, die auf Windows-Rechnern ebenfalls URLs in IP-Adressen umwandeln kann, so verändern, dass der Anwender statt der gewünschten Seite stets eine gefälschte angezeigt bekommt.

Gezielte Angriffe

Als besonders tückisch stufen Sicherheitsexperten das immer häufigere "Spear Phishing" ein: Bei dieser Methode verschicken Angreifer fingierte E-Mails nicht mehr massenweise, sondern gezielt an eine bestimmte Gruppe von Empfängern - etwa die gesamte Belegschaft eines Unternehmens. Die gefälschten Nachrichten sehen dabei aus wie interne Mails. Ziel der Phisher ist es, die Mitarbeiter zur Herausgabe von Benutzernamen und Kennwörtern zu verleiten, um sich Zugriff auf das Firmennetz zu verschaffen. Nach Einschätzung von Internet Security Systems (ISS) werden derart gezielte Angriffe den via Massen-Mails verbreiteten Bedrohungen auf absehbare Zeit den Rang ablaufen.

Dem aktuellen APWG-Report zufolge sind derzeit 89 Prozent aller Phishing-Attacken auf die Bankenbranche gerichtet. Gerieten in der Vergangenheit vor allem amerikanische, britische oder australische Geldinstitute ins Fadenkreuz der Trickbetrüger, nehmen die Phisher nun immer häufiger auch deutsche Banken ins Visier. So traf es in der Vergangenheit unter anderem die Postbank und die Deutsche Bank, und einer aktuellen Warnung zufolge sind derzeit Phishing-Mails im Umlauf, die es auf das Ersparte von Sparkassenkunden abgesehen haben. Aber auch Nutzer von Online-Auktionshäusern wie Ebay oder Zahlungsdiensten wie Paypal gehören zu den Zielgruppen der Betrüger. Gefährdet ist im Prinzip jede gewerbliche Organisation, die Kundentransaktionen via Internet abwickelt.

Was tun?

Primäres Motiv für Phishing-Aktionen ist die finanzielle Bereicherung durch den Diebstahl vertraulicher Daten, Erpressung oder Betrug. Im Zuge zunehmend gezielter Attacken kann es künftig aber auch darum gehen, Unternehmen etwa aus Wettbewerbsgründen Schaden zuzufügen. Zu den potenziellen Konsequenzen einer Phishing-Attacke zählen demnach neben finanziellen Einbußen und der Verunsicherung der eigenen Kunden Imageschädigung, Produktivitätsverluste sowie mögliche Rechtsstreitigkeiten.

Anders als Viren oder herkömmliche Spam-Mails lassen sich Phishing-Mails nicht ohne weiteres unschädlich machen. "Phishing-Mails werden zwar ebenfalls via Spam verschickt, sie sind aber oft so gut getarnt, dass sie von Spam-Filtern nicht erkannt werden", beschreibt Olaf Lindner, Sicherheitsexperte bei Symantec, das schwer greifbare Übel.

Finanzdienstleister rüsten auf

Vor diesem Hintergrund arbeiten Banken an neuen Sicherheitslösungen, um das Vertrauen in das Online-Banking wieder-herzustellen. So versieht etwa die Postbank inzwischen ihre gesamte E-Mail-Kommunikation mit einer elektronischen Signatur, damit Kunden nachprüfen können, ob eine Nachricht tatsächlich von dem Geldinstitut stammt. Die BHF-Bank wiederum setzt exklusiv auf das HBCI-Verfahren (Home Banking Computer Interface) und stattet ihre Online-Banking-Kunden hierzu mit einer Chipkarte aus, die es ihnen ermöglicht, Transaktionen mittels elektronischer Unterschrift zu autorisieren. Ein Kartenleser mit eigenem Ziffernfeld für die Eingabe der Karten-PIN verhindert, dass eingetippte PINs von Keyloggern mitgelesen werden.

Aufklären und vorbeugen

Die wichtigste Schutzmaßnahme für Unternehmen besteht darin, ihre Belegschaft über die Gefahren des Online-Datenklaus aufzuklären und eindeutige Regeln im Umgang mit E-Mails zu definieren. Um den Schaden im Fall eines Missbrauchs der eigenen Web-Seite möglichst gering zu halten, sollten E-Commerce-Firmen zudem ihre Kunden darüber informieren, welche Daten sie auf welche Weise von ihnen erfragen.

Auf technischer Ebene ist die Überwachung mittels proaktiver und reaktiver Filter- und Schutzlösungen auf Ebene des Internet-Gateways unerlässlich, um verdächtige Aktivitäten zu erkennen und abzuwehren. Hilfreich sind zudem Techniken wie Browser-Toolbars oder die viel diskutierten Erweiterungen etwa des Internet Explorers, die Anwender warnen, wenn sie eine unseriöse Seite ansteuern.