Das Fischen nach Passwörtern hört sich harmloser an, als es in der Realität ist. Denn Phishing steht am Anfang unterschiedlicher Delikte, die vom „einfachen“ Datendiebstahl über illegale Kontoabbuchungen bis hin zu Erpressungen von Lösegeld reichen. Den Cyberkriminellen dient das Phishing letztlich zum Diebstahl und Missbrauch von Identitätsdaten. Oftmals mit weitreichenden Folgen und hohen Kosten für die Opfer. „Dabei sind die Opfer sowohl große oder sogar größte Unternehmen als auch Einzelpersonen“, weist der langjährige Informationssicherheitsexperte Dr. Jörn Voßbein auf die sehr heterogene Gruppe von Betroffenen hin. Außerdem zeigt der Lagebericht des Bundesamtes für Sicherheit in der Informationstechnologie (BSI), dass die Täter sehr flexibel auf gesellschaftliche Entwicklungen reagieren. In den vergangenen Monaten versuchten Gangster mit Hinweis auf die Corona-Pandemie Gelder einzuwerben und gleichzeitig personenbezogene Daten abzugreifen. Nur ein Beispiel für die Gerissenheit und Skrupellosigkeit der Ganoven. In anderen Fällen wurden sensible Krankendaten erbeutetet. Phishing ist, das zeigt der BSI-Lagebericht, in den letzten Monaten durch den vermehrten Einsatz von HTTPS-Links noch bedrohlicher geworden. Was das bedeutet und wie man sich schützt, lesen Sie im Weiteren.
Der Identitätsdiebstahl stellt die rechtswidrige Aneignung von Zugangsdaten dar (also beispielsweise Benutzername und Passwort oder weiteren Authentifizierungsdaten wie TAN). Wenn diese Daten dann auch noch von Cyberkriminellen nach dem Diebstahl eingesetzt werden, handelt es sich um Identitätsmissbrauch. Wer ist besonders betroffen? Beim Thema Phishing stehen insbesondere Kunden von Onlineversandhändlern, aber auch von Banken und Bezahldienstleistern (PayPal) im Fokus. Ferner sind aber auch Mitarbeiter in Unternehmen betroffen, die mit Ihren Zugangsdaten z. T. auf hochvertrauliche Daten zugreifen können.
Neben Phishing kommen ebenfalls Schadprogramme für die illegale Datenaneignung und den folgenden Missbrauch von Identitätsdaten zum Einsatz. Das Schadprogramm Emotet bildet die Grundlage für die Erbeutung von Daten und die nachfolgenden Angriffe. Was ist so besonders am diesem Schadprogramm? Emotet liest die Kontaktbeziehungen und E-Mail-Inhalte aus den Postfächern infizierter Systeme aus. Diese Informationen verwenden die Angreifer im Anschluss daran zur weiteren Verbreitung des Schadprogramms. Der große Erfolg von Emotet beruht darauf, dass die E-Mails besonders authentisch wirken und so die Opfer erfolgreich zum Öffnen verleiten.
Der Einsatz von HTTPS-Links entwickelt sich in Phishing-Mails immer mehr zum Standard. Dies wohl auch deshalb, weil Links auf HTTP-Basis inzwischen von gängigen Browsern negativ gekennzeichnet werden. Hypertext Transfer Protocol Secure (HTTPS) steht für eine verschlüsselte sowie gegen Manipulation geschützte Datenübertragung und verstärkt insofern den Eindruck von Vertrauenswürdigkeit und Seriosität von Internetseiten, auch wenn es sich in dem Falle um Phishing-Seiten handelt. Mehr als jede zweite Phishing-Mail (60 Prozent) verwendete mittlerweile laut Verbraucherzentrale NRW einen Link auf HTTPS-Basis. Allerdings spielt die HTTPS-Basis nur Seriosität vor, denn die dafür notwendigen Zertifikate können kostenfrei im Internet bezogen werden.
Auch größere Unternehmen bleiben von Cyberattacken nicht verschont. Sicherheitsforscher entdeckten Ende 2019 mehrere ungesicherte Datenbanken eines Technologieunternehmens mit Kunden- und Supportinformationen, die aufgrund von Fehlkonfigurationen öffentlich im Internet verfügbar waren. Die große Menge von veröffentlichten privaten Krankenakten lässt ebenfalls alle Alarmglocken schrillen. Schließlich handelt es sich um hochsensible personenbezogene Daten, die in der Öffentlichkeit nichts zu suchen haben, für die Betroffenen schweren Schaden anrichten können und aus diesen Gründen einen besonders hohen Schutzbedarf haben.
„Die Vielfalt und Häufigkeit von Vorfällen, bei denen immer wieder sensible Daten unfreiwillig veröffentlicht werden, sind alarmierend“, erklärt Informationssicherheits-Fachmann Dr. Jörn Voßbein. Er und die Experten von UIMC raten zu einer nachhaltigen Informationssicherheits-Strategie. Diese beinhaltet sowohl eine technische Überprüfung der bisher eingesetzten Programme verbunden mit einem wiederkehrenden Update in Bezug auf Sicherheit. „Die Schulung und Sensibilisierung der eigenen Belegschaft für das Thema Daten- und Informationssicherheit ist die zweite Säule einer erfolgreichen IT-Sicherheitsstrategie und darf nicht unterschätzt werden, schließlich bedürfen die meisten Phishing-Attacken noch eine Aktion eines überrumpelten Mitarbeiters“, erläutert Dr. Voßbein. Alles mit dem Ziel, das Fischen nach Daten möglichst erfolglos zu machen und den Cyberkriminellen ihre Geschäfte zu vermiesen.
Der Identitätsdiebstahl stellt die rechtswidrige Aneignung von Zugangsdaten dar (also beispielsweise Benutzername und Passwort oder weiteren Authentifizierungsdaten wie TAN). Wenn diese Daten dann auch noch von Cyberkriminellen nach dem Diebstahl eingesetzt werden, handelt es sich um Identitätsmissbrauch. Wer ist besonders betroffen? Beim Thema Phishing stehen insbesondere Kunden von Onlineversandhändlern, aber auch von Banken und Bezahldienstleistern (PayPal) im Fokus. Ferner sind aber auch Mitarbeiter in Unternehmen betroffen, die mit Ihren Zugangsdaten z. T. auf hochvertrauliche Daten zugreifen können.
Neben Phishing kommen ebenfalls Schadprogramme für die illegale Datenaneignung und den folgenden Missbrauch von Identitätsdaten zum Einsatz. Das Schadprogramm Emotet bildet die Grundlage für die Erbeutung von Daten und die nachfolgenden Angriffe. Was ist so besonders am diesem Schadprogramm? Emotet liest die Kontaktbeziehungen und E-Mail-Inhalte aus den Postfächern infizierter Systeme aus. Diese Informationen verwenden die Angreifer im Anschluss daran zur weiteren Verbreitung des Schadprogramms. Der große Erfolg von Emotet beruht darauf, dass die E-Mails besonders authentisch wirken und so die Opfer erfolgreich zum Öffnen verleiten.
Der Einsatz von HTTPS-Links entwickelt sich in Phishing-Mails immer mehr zum Standard. Dies wohl auch deshalb, weil Links auf HTTP-Basis inzwischen von gängigen Browsern negativ gekennzeichnet werden. Hypertext Transfer Protocol Secure (HTTPS) steht für eine verschlüsselte sowie gegen Manipulation geschützte Datenübertragung und verstärkt insofern den Eindruck von Vertrauenswürdigkeit und Seriosität von Internetseiten, auch wenn es sich in dem Falle um Phishing-Seiten handelt. Mehr als jede zweite Phishing-Mail (60 Prozent) verwendete mittlerweile laut Verbraucherzentrale NRW einen Link auf HTTPS-Basis. Allerdings spielt die HTTPS-Basis nur Seriosität vor, denn die dafür notwendigen Zertifikate können kostenfrei im Internet bezogen werden.
Auch größere Unternehmen bleiben von Cyberattacken nicht verschont. Sicherheitsforscher entdeckten Ende 2019 mehrere ungesicherte Datenbanken eines Technologieunternehmens mit Kunden- und Supportinformationen, die aufgrund von Fehlkonfigurationen öffentlich im Internet verfügbar waren. Die große Menge von veröffentlichten privaten Krankenakten lässt ebenfalls alle Alarmglocken schrillen. Schließlich handelt es sich um hochsensible personenbezogene Daten, die in der Öffentlichkeit nichts zu suchen haben, für die Betroffenen schweren Schaden anrichten können und aus diesen Gründen einen besonders hohen Schutzbedarf haben.
„Die Vielfalt und Häufigkeit von Vorfällen, bei denen immer wieder sensible Daten unfreiwillig veröffentlicht werden, sind alarmierend“, erklärt Informationssicherheits-Fachmann Dr. Jörn Voßbein. Er und die Experten von UIMC raten zu einer nachhaltigen Informationssicherheits-Strategie. Diese beinhaltet sowohl eine technische Überprüfung der bisher eingesetzten Programme verbunden mit einem wiederkehrenden Update in Bezug auf Sicherheit. „Die Schulung und Sensibilisierung der eigenen Belegschaft für das Thema Daten- und Informationssicherheit ist die zweite Säule einer erfolgreichen IT-Sicherheitsstrategie und darf nicht unterschätzt werden, schließlich bedürfen die meisten Phishing-Attacken noch eine Aktion eines überrumpelten Mitarbeiters“, erläutert Dr. Voßbein. Alles mit dem Ziel, das Fischen nach Daten möglichst erfolglos zu machen und den Cyberkriminellen ihre Geschäfte zu vermiesen.
