Identitätsklau nimmt zu ? und jetzt?
Datenschutzkongress in Berlin: Phishing, Pharming und Trojaner bedrohen Unternehmen

ID-Klau: Absolute Sicherheit gibt es nicht

Identitätsklau nimmt zu ? und jetzt?

“Man kann einiges tun, aber eine absolute Sicherheit gibt es nicht”, betont Christoph Fischer, Geschäftsführer der BFK edv-consulting GmbH auf dem 8. Datenschutzkongress 2007 Anfang Mai in Berlin.

Ein bis zwei Milliarden geklaute Identitäten pro Jahr – das heißt: Etwa zehn Zugangsdaten pro Opfer, so Fischer.

Beliebt sind Phishing-Attacken und Trojanische Pferde, die über E-Mail-Attachments, Filesharing, Instant-Messaging oder auswechselbare Speichermedien ins System eindringen. Log-Ins zum Online-Banking und zum Extranet des Arbeitgebers, zu E-Mail, E-Bay, E-Commerce, zu E-Payment und diversen Communities sind dann einfach weg.

Und dies geschieht mit steigender Tendenz. Vor ein paar Tagen erst warnten das Bundeskriminalamt und das LKA Rheinland-Pfalz vor einer E-Mail samt Trojaner-Attachment, die in ihrem Namen verschickt wurden. Vorgegeben wird dort, man habe aufgrund einer Online-Durchsuchung den Inhalt des Rechners als Beweismittel sichergestellt.

Schlaue Gauner: Erhackte Identitäten zum Schnäppchenpreis

Identitätsklau nimmt zu ? und jetzt?

Fischer zieht in seinem Vortrag “Identitätsdiebstahl durch trojanische Pferde” eine negative Bilanz, zumal die Betrüger immer dreister werden und Hackertools offen im Internet verkaufen.

Hersteller von Sicherheitssoftware und Datenschützer bestätigen diesen Trend. So stellt der Bundesdatenschutzbeauftragte Peter Schaar in seinem Ende April vorgelegten 21. Tätigkeitsbericht einen deutlichen Anstieg des Identitätsdiebstahls fest.

“Sowohl öffentliche Stellen als auch Unternehmen müssen dafür sorgen, dass die Nutzer die Echtheit ihres Online-Angebots überprüfen können”, fordert Schaar in seinem Bericht.

Nach dem aktuellen Sicherheitsreport von Symantec handeln Cyber-Kriminelle mit gestohlenen Identitäten und bieten Passwörter, PINs und Kreditkartendaten über “Underground Economy Server” zum Kauf an. Kreditkartendaten sollen demnach weniger als 10 US-Dollar kosten.

Digitale Doppelgänger treten aktiv auf, räumen Konten ab, stehlen Unternehmensdaten. Ein aktuelles Beispiel zur Geldwäsche bei E-Bay: Identitätsdiebe ersteigern angebotene Ware und bezahlen vom gekaperten Konto des Bestohlenen – allerdings viel zu viel, um etwas später um eine Rückzahlung zu bitten. Wenn es klappt, ist das gestohlene Geld gewaschen.

Mobile Computing hilft Kriminellen – durchgängige Security-Konzepte sind nötig

Identitätsklau nimmt zu ? und jetzt?

Privatpersonen und Unternehmen müssen Gegenmaßnahmen entwickeln. Der Verlust von Notebooks und PDAs, die Nutzung von USB-Sticks und anderen mobilen Datenträgern in Unternehmen und zu Hause erleichtern den Dieben ihr Handwerk.

Wer seine Zugangsdaten, PINs und TANs ahnungslos in gefälschte Websites eingibt, merkt meistens viel zu spät, dass er Opfer einer Phishing- oder Pharming-Attacke geworden ist. Die automatische Umleitung zu gefälschten Webseiten, die genauso aussehen wie die Originalseiten, ist schwer zu erkennen. Prüfen sollte man daher unbedingt, ob die eingegebene Website in der Adressleiste des Browsers richtig geschrieben erscheint. Ob der Betreiber der Website bei der Abfrage persönlicher Daten das “HyperText Transfer Protocol Secure”, kurz https, verwendet und ob der Browser das Sicherheitsschloss anzeigt. Auch sollte man von vornherein einen anerkannten Provider wählen, der Pharming-Websites filtert.

Antiviren-Programme bieten nur einen begrenzten Schutz, da die Betrüger immer einen Schritt voraus sind und Trojanische Pferde die automatische Update-Funktion gern ausschalten. “Daher sind automatische Updates wichtiger denn je”, so Fischer gegenüber IT im Unternehmen. “Wichtig ist auch die Systempflege (patching), und zwar nicht nur von Windows, sondern von allen Applikationen. Unternehmen können mit Webcontent-Filtern und Privatanwender mit Zusatzfunktionen im Browser den Zugang zu ‘bösen’ Seiten blockieren. Das alles verringert das Risiko, aber absolute Sicherheit gibt es nicht!”

Vor allem sollte ein Unternehmen nicht nur einzelne Insellösungen absichern. “Wichtig sind ein durchgängiges Sicherheitskonzept und ein Sicherheits-Management, das auch Kontrolle beinhaltet”, so Ronny Frankenstein, Berater bei der Hi Solution AG aus Berlin.”Man sollte damit ermitteln, ob ein Angreifer durch neue Übertragungswege in das Firmennetz hineinkommt und stichprobenhaft IT-Systeme extern checken lassen”, so Frankenstein gegenüber IT im Unternehmen.

Wichtig sei auch eine Kombination von technischen und organisatorischen Maßnahmen. Weitere Sicherheitstipps für Unternehmen hat zum Beispiel Symantec veröffentlicht

Wer schützt vor Bundestrojanern?

Identitätsklau nimmt zu ? und jetzt?

Nicht nur professionelle Betrüger interessieren sich für die Daten von Internet-Nutzern. Mit dem so genannten Bundestrojaner plant die Bundesregierung einen Zugriff auf die heimische Festplatte – “nun sind auch Sicherheitssysteme aus Deutschland befleckt”, betont Fischer vor dem 190köpfigen Auditorium des Datenschutzkongresses in Berlin. Es sei nun nicht mehr einzuschätzen, ob die verwendeten Systeme eine heimliche Online-Durchsuchung ermöglichen. Das Bundesamt für Sicherheit in der Informationstechnik müsse nun Handreichungen verteilen (www.bsi-fuer-buerger.de) gegen Sicherheitslecks und Trojanische Pferde – alles Maßnahmen, die das Innenministerium durchsetzen wolle, so Fischer.

Auch im Zusammenhang mit E-Government wird die Sicherheit digitaler Identitäten in Zukunft eine noch größere Rolle spielen: Bis 2010 soll innerhalb der EU die Kommunikation zwischen Bürgern, Unternehmen und Behörden digital ablaufen. Gefragt sind hier Identitäts-Management-Systeme. An einem europäischen “eID Interoperability Framework” wird derzeit gearbeitet. IT im Unternehmen wird in der kommenden Woche über den Stand der Entwicklung berichten.