Die neuen Waffen der Phisher

Inhaltsverzeichnis

Manchmal reicht schon eine einzige E-Mail, um Millionen zu erbeuten. Erfahren musste das der US-Verlag Condé Nast: Im vergangenen November erhielt dessen Buchhaltung eine E-Mail, mit der vermeintlich die Druckerei Quad/Graphics über ihre neue Bankverbindung informierte – inklusive angehängtem Formular für den Bankeinzug. Ein Mitarbeiter des Verlags unterschrieb das Dokument, faxte es an die in der Mail angegebene Nummer und änderte die im System gespeicherte Bankverbindung. Unbemerkt blieb, dass dieses neue Konto auf den Namen "Quad Graph" lautete – ein kleiner, aber bedeutender Unterschied zum eigentlichen Firmennamen. Erst als sich Ende Dezember die echte Druckerei über die ausbleibenden Gelder beschwerte, fiel der Schwindel auf – zu diesem Zeitpunkt waren vom Konto des Verlags schon acht Millionen Dollar gesaugt worden. Zum Glück für den Verlag hatte der Betrüger vom Zielkonto kaum Geld abgehoben. Mithilfe der Behörden ließ Condé Nast das Guthaben einfrieren, nun beschäftigen sich die Gerichte mit dem Fall.

Oft aber geht es den Kriminellen gar nicht um Bankdaten, sondern um Betriebsgeheimnisse – auch Patentrechte, Forschungsergebnisse oder Marketingpläne lassen sich im Internet vortrefflich zu Geld machen. Der Finanzdienstleister Ocean Tomo schätzt den Anteil des geistigen Eigentums am Wert der 500 größten börsennotierten US-Unternehmen auf über 80 Prozent. 1975 lag der Wert noch bei 17 Prozent. Scott Aken, Vizepräsident für Cyber-Operationen beim Sicherheitsberater SAIC, nennt geistiges Eigentum die "neue Währung der Cyberkriminalität". "Viele Organisationen geben enorme Summen aus, um die weniger kritischen Teile ihres Netzwerks zu schützen", sagt er. "Die Kronjuwelen jedoch, ihr intellektuelles Kapital, liegen offen herum."

Es sei erstaunlich, wie blauäugig gerade Mittelständler mit dem Thema Informationssicherheit umgingen, sagt Michael George, Referent für den Schutz vor Wirtschaftsspionage beim Bayerischen Landesamt für Verfassungsschutz. "Viele sagen: Mal ehrlich, Herr George, mit uns verschwendet doch kein Hacker seine Zeit, wir sind doch total uninteressant", erzählt der Experte. Eine naive Fehlannahme – fast alle Informationen würden im Internet einen Käufer finden. "Große Konzerne leisten sich eigene Abteilungen für Informationssicherheit. Mittelständler haben dafür meist kein Geld. Das wissen die Angreifer." Besonders gefährdet seien forschungsstarke Firmen, etwa im Bereich Umwelttechnik oder bei erneuerbaren Energien.

Gegen geschicktes Social Engineering hilft Aufklärung nur begrenzt weiter, wie Studien gezeigt haben: Während einer Schulung an der US-Militärakademie West Point warnten Ausbilder die Offiziersanwärter explizit vor Links und Anhängen in E-Mails. Wissenschaftler überprüften anschließend den Erfolg der Schulung. Dazu verschickten sie gefälschte Mails an die Kadetten, in denen sie sich als Offizier ausgaben und baten, einen Link anzuklicken, weil es ein Problem mit den Noten gebe. Die Forscher rechneten damit, dass drei Viertel der Aufforderung folgen würden. Tatsächlich waren es aber mehr als 90 Prozent. Folgestudien erhärteten die Ergebnisse: Regelmäßig öffneten rund die Hälfte aller Kadetten Anhänge von E-Mails, fast ebenso viele gaben auf Anfrage über eine Webseite ihre Sozialversicherungsnummer ein – obwohl die Begründung jeweils recht fadenscheinig war.

Besonders, wenn Schlüsselwörter wie "dringend", der Name einer vertrauenswürdigen Organisation sowie aktuelle Ereignisse in einer Mail vorkommen, setzt bei vielen Nutzern offenbar der Verstand aus. Diese Faktoren haben amerikanische Universitäten in einer aktuellen Studie mit dem Titel "Why Do People Get Phished?" dingfest gemacht. Vollkommene Sicherheit gebe es für Unternehmen nicht, sagt Anup Ghosh, Gründer der Sicherheitsfirma Invincea: "Wenn eine Firma 1000 Angestellten sagt, dass sie keine Anhänge von E-Mails öffnen dürfen, wird es immer noch jemanden geben, der es trotzdem macht.

Das ist kein Problem, das man mit Training allein in den Griff bekommen kann." Ebenso blauäugig gehen viele Mitarbeiter mit Hardware um. Das zeigte das US-Heimatschutzministerium, als es in diesem Jahr CDs und USB-Sticks auf Parkplätzen von Regierungsbehörden verteilte. 60 Prozent aller Datenträger landeten in einem Bürocomputer. Trugen USB-Stick oder CD ein offizielles Logo, wurden gar 90 Prozent installiert. "Es gibt kein Gerät auf der Welt, das Menschen davor schützt, sich wie Idioten zu verhalten", sagt Mark Rasch, Direktor Cybersicherheit bei der Computer Sciences Corp., einem weltweit tätigen Technologie-Dienstleister aus den USA.

Doch wie können sich Unternehmen gegen die neue Bedrohung schützen? Bildeten früher Firewall und herkömmliches Antivirenprogramm eine wirksame Verteidigung, so müssen Unternehmen nun Schutzringe auch innerhalb des eigenen Netzwerks aufbauen. Dafür müsse eine Firma zunächst die wichtigsten Betriebsgeheimnisse identifizieren, sagt Verfassungsschützer George. Das sind Informationen, die bei einem Verlust den Bestand des Unternehmens gefährden können – etwa die Konstruktionspläne für eine neue Maschine. "Erfahrungsgemäß sind das rund fünf Prozent der Firmendaten", sagt George. "Doch nur wenige Betriebe wissen, welche das sind, geschweige denn, wo sie gespeichert sind."

Um diese Unterlagen zu schützen, kann eine Firma sie etwa auf einem virtuellen Server lagern, der vom Rest des Netzwerks abgeschottet ist. Nur ausgewählte Mitarbeiter erhalten darauf Zugriff – und auch das nur mit persönlichen Passwörtern. Eine Verschlüsselung der Dateien erhöht den Schutz zusätzlich. "Wenn ein Hacker dann einen Rechner infiziert, wird er die wirklich wertvollen Daten nicht mehr finden – der Angriff läuft ins Leere", sagt George.

Unter der Bezeichnung "Data Loss Prevention" verkaufen Sicherheitsfirmen zudem Lösungen, die Änderungen an vertraulichen Daten protokollieren – und rechtzeitig Alarm schlagen. Symantec hat gar eine Software entwickelt, die nach einem ganz anderen Prinzip arbeitet als konventionelle Antivirenprogramme, die meist nur nach den Signaturen bekannter Schädlinge Ausschau halten. Die "Insight" genannte Technologie basiert nun auf Reputation: Sie untersucht unbekannte Dateien auf ihr Alter und ihre Verbreitung. "Je mehr Anwender eine Datei über einen langen Zeitraum nutzen, desto wahrschein-licher ist es, dass es sich um eine gutartige Datei handelt", sagt Thomas Hemker, Sicherheitsstratege bei Symantec. "Im Gegensatz dazu stuft Insight neue und wenig verbreitete Dateien als verdächtig ein – und nimmt sie gesondert unter die Lupe." So steigt die Wahrscheinlichkeit, auch seltene, per Social Engineering verbreitete Schadprogramme zu entdecken.

Den besten Schutz jedoch liefert immer noch ein gutes Passwort. Wer für unterschiedliche Profile verschiedene Zugangscodes wählt, die sich nicht auf Anhieb erraten lassen, und sie zudem häufig wechselt, hat eine der größten Sicherheitslücken gestopft. Eine Binsenweisheit, der allerdings kaum jemand folgt: Die Hackergruppe Anonymous, die für den Angriff auf HBGary verantwortlich war, verkündete im Nachhinein, dass Manager die gleichen Passwörter für E-Mail-Konten, Facebook- und Twitterprofile sowie den Unternehmensserver verwendet hatten. Ein geknacktes Profil reichte aus, damit sich die Hacker überall einloggen konnten.

Gefährdet sind insbesondere Mobilgeräte: Daniel Amitay, Entwickler von iPhone-Apps, veröffentlichte im April eine Auflistung der häufigsten Passwörter, die Nutzer seiner App "Big Brother Camera Security" gewählt hatten. Fast zehn Prozent der rund 200000 Codes entfielen auf die Zahlenfolgen "1234", "0000" oder "2580" – die Mittelreihe des Nummernblocks. "Würde ein Dieb nur die zehn häufigsten Codes ausprobieren, könnte er eines von sieben iPhones entsperren", weiß Amitay. Manchmal lässt sich Sicherheit auf einfachem Wege herstellen – und wenn es nur ein neues Passwort ist. (bsc)