Datenspione haben das Internet als Plattform für ihre Aktivitäten entdeckt. Ursprünglich als Bezeichnung für den Raub persönlicher Daten über das Telefon verwendet, steht "Phishing" inzwischen fast als Synonym für jede Art von Datenklau per E-Mail, auch wenn stetig neue Varianten wie aktuell das "Pharming" hinzukommen.
Innerhalb einer relativ kurzen Periode gewann das Thema deutlich an Brisanz: Lag im September 2003 die Zahl der identifizierten Phishing-E-Mails bei nur 279, stieg sie im Vergleichsmonat des Folgejahres auf zwei Millionen. Die Ergebnisse für das gesamte Jahr 2004 beliefen sich auf 18 Millionen Phishing-E-Mails, mit steigender Tendenz.
Doch nicht nur die Quantität hat zugenommen, sondern auch die kriminelle Energie, die hinter den Angriffen steckt. Phishing wird heute verstärkt von organisierten Banden und systematisch ausgeübt. Das typische Vorgehen: Zunächst werden Kopien von bestehenden Websites angesehener Unternehmen und Marken erstellt, angefangen von Finanzdienstleistern und Banken über Web-Auktionshäuser bis hin zu Online-Reisebüros. Über - ähnlich professionell organisierte - Mittel der Massenverbreitung werden anschließend Hunderttausende von Mails versendet, die den Empfänger auf die gefälschte Website locken sollen.
Profis am Werk
Die Hoffnung: Ein Teil dieser Mails wird Kunden oder potenzielle Interessenten dieser Unternehmen erreichen. Glückt der Angriff, geben die gutgläubigen Kunden anschließend ihre persönlichen Daten, Passwörter oder Kreditkartendetails preis, etwa bei einer fiktiven Warenbestellung. Wie bei Spam auch, ist bereits eine sehr niedrige Erfolgsquote von einem oder zwei Prozent ausreichend, damit sich für die Phisher die Mühe gelohnt hat - schließlich fallen für den massenhaften Versand ja praktisch keine Kosten an. Tatsächlich liegt die Trefferzahl zumeist sogar deutlich darüber: So schätzt die als Gegenoffensive von Industrie und Handel aufgestellte Anti-Phishing Working Group (APWG) die Erfolgsquote von Phishing-Attacken auf fünf Prozent.
Die direkten Verluste für Banken oder Kreditinstitute gehen mittlerweile in Milliardenhöhe. Da die Rechtslage zwischen Geschädigten und Unternehmen unklar ist, tragen die Endkunden jedoch den größeren Schaden selbst. Dieser wird von Gartner auf 50 Milliarden Euro geschätzt.
Nicht nur Banken betroffen
Am häufigsten wird der Finanzdienstleistungsmarkt von den Daten-Phishern heimgesucht: Über die letzten 18 Monate waren weltweit viele große Banken von Phishing-Vorfällen betroffen. In Deutschland ist erst kürzlich die Postbank erneut Zielscheibe einer Phishing-Attacke geworden.
Neueste Zielgruppen von Phishing-Attacken sind Nutzer von Zahlungsdiensten wie Paypal und E-Commerce-Plattformen wie Ebay. Kürzlich tauchte darüber hinaus eine gefälschte Seite zur Online-Bestellung von Flugtickets auf. Jede gewerbliche Organisation, die Kundentransaktionen über das Internet abwickelt, stellt ein potenzielles Ziel dar. Die Konsequenzen für die betroffenen Unternehmen reichen von Verunsicherung der Kunden und Imageschädigung über Produktivitätsverlust bis hin zu Rechtsstreitigkeiten.
Die von den Ganoven eingesetzte Technik wird zunehmend ausgefeilter. Die oftmals perfekt gefälschten Firmenanschreiben können in der täglichen Informationsflut nur schwer vom legalen elektronischen Schriftverkehr unterschieden werden. Noch vor wenigen Jahren war der technische Aufwand für die betrügerischen E-Mails minimal. Die Online-Spione gingen mit simpel aufgebauten Nachrichten und unrealistischen Geschäftsangeboten auf Kunden- und Datenfang. Nur wenige Versuche wurden unternommen, Kundenportale aufwändig zu klonen. Inzwischen sind Phisher jedoch dazu übergegangen, die Kontrolle über Netzwerke von Breitband-PCs zu übernehmen und diese als "Botnets" für das Hosting der gefälschten Websites zu nutzen. Dadurch bleibt nicht nur die wirkliche Identität der Websites länger verdeckt.
Aufgrund der Nutzung eines verteilten Netzwerks aus gekaperten Rechnern können auch großräumige Phishing-Attacken mit massenhafter Verbreitung ausgeführt werden. Auch die Taktik hat sich geändert. Bislang wurden die Empfänger dazu bewegt, einen Link in der Phishing-E-Mail anzuklicken, der auf die imitierte Website führt. In letzter Zeit kommen neue Techniken zum Einsatz, die weniger auf die Mitwirkung des Benutzers angewiesen sind.
Vorgehen immer aggressiver
So verbreiten Phisher in Massen-Mails Trojaner, Würmer und Spyware-Programme, die Sicherheitslücken im Betriebssystem nutzen und sich auf Festplatten einnisten. Dort zeichnen die unsichtbaren Spione Tastenabfolgen, aufgerufene Internet-Adressen oder Passwörter auf. Diese Daten werden dann zur "Weiterverwertung" an verborgene Datenzentren geschickt.
Mit einer Technik namens Pharming zeichnet sich zudem eine neue Bedrohung ab. Hierbei kommt das "Domain-Spoofing" zum Einsatz: Die Internet-Adresse einer Website wird auf raffinierte Weise gefälscht, indem die Adressauflösung im Internet manipuliert wird.
Die hierfür zuständigen DNS-Server (Domain Name System) werden mittels einer Methode namens "DNS-Cache-Poisoning" so manipuliert, dass über die URL-Namen nicht mehr die echten IP-Adressen ermittelt werden, sondern die IP-Adressen der betrügerischen Web-Server. Will ein Anwender also seine Online-Bank aufrufen, landet er beim Server eines Betrügers.
Manipulation durch Pharming
Eine andere Pharming-Variante verändert die Hosts-Datei, die auf Windows-Rechnern ebenfalls URLs in IP-Adressen umwandeln kann. Sie beinhaltet eine Tabelle mit den meistgenutzten IP-Adressen. Wird diese Datei überschrieben, bekommt der User automatisch bei jeder Anwahl einer gewünschten Seite eine gefälschte Seite gezeigt. Dazu muss allerdings zunächst ein Schadprogramm auf den Rechner des Users gelangen, um die Änderungen vorzunehmen.
Technische Lösungen filtern mehr als 90 Prozent aller Gefahren schon im Vorfeld aus. Verhalten sich die Mitarbeiter jedoch fahrlässig im Umgang mit der elektronischen Kommunikation, helfen Antivirenlösungen oder Firewalls nicht weiter.
Unternehmen sollten ihren Mitarbeitern deshalb klare Verhaltensregeln an die Hand geben. Um den Schaden möglichen Missbrauchs der eigenen Web-Seiten zu verringern, haben Firmen, die im E-Commerce aktiv sind, ihre Kunden über die Gefahren durch Phishing zu informieren. Dazu gehören Richtlinien, aus denen die Kunden erfahren, welche Auskünfte der Händler auf welche Weise von ihnen abfragen wird.
Für jeden Einzelnen besteht die wichtigste Schutzmaßnahme letztendlich darin, stets wachsam zu sein, wenn neue E-Mails im Posteingang landen. Unverlangt zugesandte E-Mail-Attachments sollten generell nicht geöffnet werden, da sie oftmals mit Schadprogrammen verseucht sind. Phishing-Mails erkennt man häufig an sprachlichen Mängeln und Formatfehlern. Die meisten enthalten zudem eine URL, und die Betreffzeilen beziehen sich in irgendeiner Weise auf das persönliche Konto.
Neben diesen Maßnahmen sind Techniken für das Erkennen und Abwehren von verdächtigen Aktivitäten unerlässlich. Der effektivste Ansatz ist dabei die proaktive Überwachung auf Internet-Gateway-Ebene. Nur an diesem Punkt, an dem der gesamte E-Mail-Verkehr gefiltert wird, ist es möglich, ungewöhnliche Traffic-Muster, verdächtige E-Mail-Herkunft, mögliche Sicherheitslücken und neue bösartige Programmcodes zu analysieren. Auf diese Weise können sich Unternehmen wirksam vor den ständig wechselnden Bedrohungsszenarien schützen.
Auch Pharming kann nur mit proaktiven Sicherheitssystemen aufgehalten werden, die Veränderungen an der IP-Adresse erkennen und verhindern. Daher empfiehlt sich eine Sicherheitslösung mit reaktiven und proaktiven Schutzsystemen.
Gegenmaßnahmen möglich
Betriebssysteme und Anwendungen müssen zudem regelmäßig mit den aktuellen Updates und Patches versehen sein, damit keine Schwachstellen ausgenutzt werden können. Unternehmen, die für diese Aufgabe keine internen Ressourcen freistellen, aber die Gefahr trotzdem gar nicht erst in ihr eigenes Netzwerk vordringen lassen möchten, sollten überlegen, einen externen Anbieter von Managed-E-Mail-Security-Services zu beauftragen. (ave)