E-Commerce
Der Online-Handel steht vor einer Vertrauenskrise

E-Commerce

Ich kann es immer noch nicht glauben. Laut einer Mitteilung der E-Mail-Sicherheitsfirma MessageLabs kann man jetzt betrogen werden, wenn man eine E-Mail nur öffnet. Vergessen Sie die Sicherheitsregel “keine seltsamen Attachments öffnen” – ein gefährliches Script kann schon dadurch aktiviert werden, dass man klickt, um eine E-Mail zu öffnen.

Zum Glück wurde dieser Trick bisher nur in Brasilien genutzt, und es gibt bereits eine Lösung – aber es ist ein weiterer Sargnagel für die E-Mail, wie wir sie kennen. So funktioniert es: Der Betrüger schickt eine unschuldig aussehende E-Mail, die Sie öffnen; das aktiviert ein winziges bisschen Code, das sich fröhlich aufmacht, die Details der Web-Adresse Ihrer Bank zu überschreiben.

Wenn Sie sich ein wenig später in Ihre Online-Bank einloggen, werden Sie zu einer gefälschten Website umgelenkt, und Ihr Bank-Passwort wird von dem Betrüger brav eingesammelt.

“Können wir angesichts dieser Tatsachen noch der E-Mail vertrauen, die wir erhalten?”

Das ist nur eine neue Version der sogenannten Phishing-Tricks, die dadurch funktionieren, dass sie den User glauben machen, er nutze seine eigene Bank oder ein anderes echtes Online-Business, wenn genau das nicht der Fall ist. Und außerdem können Betrüger inzwischen einen Virus auf Ihren PC schicken, um die E-Mail-Adressen einzusammeln, die dann genutzt werden, um Ihnen E-Mails zurückzusenden, die aussehen, als kämen sie von Leuten, die Sie kennen. Können wir angesichts dieser Tatsachen noch der E-Mail vertrauen, die wir erhalten?

Der in Brasilien aufgetauchte Trick kann gestoppt werden, wenn man den Scripting-Host von Windows deaktiviert. Traurigerweise müssen Anti-Virus-Experten aber darauf hinweisen, dass neue Betrügereien normalerweise in einer Region ausprobiert und ausgefeilt werden, bevor sie weltweit gestartet werden. Seien Sie nicht überrascht, wenn ein neuer, verbesserter “brasilianischer” Trick in den nächsten Wochen weltweit berüchtigt wird.

Was kann man also tun? Die Realität ist, dass E-Mail einer der verletzlichsten Teile jedes privaten oder Unternehmens-Computersystems ist. Wir tolerieren diese Schwäche, weil die Leistungsfähigkeit und die niedrigen Kosten dieses Kommunikationswerkzeuges konkurrenzlos sind.

Die Unternehmen müssen die Risiken einschätzen, bevor sie entscheiden, wie viel Geld sie dafür ausgeben wollen, Kriminelle und Abenteurer fernzuhalten, genauso, wie sie die Wahrscheinlichkeit prüfen, ob in ihre Gebäude eingebrochen werden kann.

Alles in allem verstehen die Unternehmen dieses Problem und haben es gut im Griff. Am häufigsten werden kleine Firmen und einzelne User, die Patches und Fixes nur mit Verspätung installieren oder sich der Gefahr nicht bewusst sind, Ziel der Betrüger. Wer seine Scheunentore nicht rechtzeitig verriegelt, gibt Betrügern jeden Tag eine Multimillionen-Euro-Chance.

“Indirekt wird das gesamte Online-Geschäft beschädigt.”

Aber es trifft nicht nur die Kleinen. Indirekt wird das gesamte Online-Geschäft beschädigt. Wie stark werden Online-Banken als Ergebnis der Nachricht unter dem brasilianischen Trick leiden? Das kann man unmöglich quantifizieren, es ist aber klar, dass die Anbieter von Online-Services mehr tun müssen, um potentiellen Opfern zu helfen. Und die Service-Anbieter müssen ihr öffentliches Image schützen – das wurde diesen Monat wieder beschädigt, als ein Bankkunde die BBC informierte, dass er ohne Passwort Zugriff auf den Kontostand anderer Leute hatte. So etwas macht natürlich Schlagzeilen.

Leider ist E-Mail das Opfer des eigenen Erfolges. Sie ist so billig und allgegenwärtig, dass um sie herum eine ganze Kriminalitätsindustrie entstanden ist.

Aber die gegenwärtige Einstellung der Banken – man baut einfach in die chicen Online-Angebote noch einen kleinen Hinweis auf die E-Mail-Sicherheit ein – muss sich ändern. Sie sollten gemeinsam eine 24-StundenSicherheits-Helpline einrichten, die User berät, und sie sollten variable Passwörter einführen, die auf Hardware-Elementen aufbauen – die beste Verteidigung gegen Phishing. Das würde allerdings erfordern, dass sie zugeben, dass es ein Problem gibt – und darauf sind Banken nicht besonders scharf.

Die Alternative wäre, dass Microsoft einiges mehr tun sollte, um seine Software angriffssicher zu machen, bevor sie vom Kunden überhaupt aus der Schachtel genommen wird. Aber das ist bekanntlich eine ganz andere Geschichte.