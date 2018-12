Kriminelle haben bei einer Tochter der Hotellkette Marriott Adress- und Bezahldaten von rund 500 Millionen Kunden abgegriffen. Der Vorfall ereignete sich bereits im September, Marriott informierte die Öffentlichkeit aber erst Ende November. Das ist haarsträubend, denn die Daten sind ein idealer Pool für Phishing-Kampagnen.

Ein Kommentar von Patrick Koetter Patrick Koetter ist CEO der sys4 AG und Leiter der eco-Kompetenzgruppe "Anti-Abuse". Dort tauschen sich ISPs und andere Unternehmen über das Thema "Mißbrauch im Internet" aus. Sie lernen voneinander und etablieren gemeinsam Methoden, um sich und ihre Kunden besser zu schützen.

Und natürlich ging auch gleich das Bashing los – manche Kritiker unterstellen sich selbst gerne, solche Daten "garantiert unhackbar" abgesichert zu haben. Doch solche Argumente zeugen nicht nur von mangelnder Demut und selbstherrlicher Arroganz. Wer so argumentiert, verkennt auch, dass dahinterliegende Problem und verweigert sich der Realität.

Realität ist: $UNTERNEHMEN werden gehackt. $DATEN werden gestohlen. $PERSONEN werden geschädigt. Das ist nun in großem Maßstab passiert. Und es wird wieder passieren. Weil es immer einen geben wird, der nochmal besser hacken kann als Admins sichern können.

Schlimm ist aber, dass Marriott so agiert, als ob die Angelegenheit mit zwei Maßnahmen erledigt wäre: Mit der Einrichtung einer Info-Website (eigentlich nicht mehr als "das Buch zum Film") und einer E-Mail-Benachrichtigung an alle betroffenen Kunden.

Obendrein geht Marriott sowohl bei beiden Maßnahmen dilettantisch vor. Die Info-Website kündigt das Unternehmen unter der Domain info.starwoodhotels.com an, lenkt aber die Browseranfrage stillschweigend zu answers.kroll.com weiter. Man fragt sich: Ist das die richtige Website? Wurden die jetzt auch gehackt? Gerade jetzt, da das Vertrauen in Marriott erschüttert ist, haben sie nichts Besseres zu tun, als wild solche kuriosen Umleitungen einzurichten?

Werte wie Vertrauenswürdigkeit, Integrität, Berechenbarkeit lassen sich in der digitalen Welt durch klare Kommunikation und zum Beispiel HTTPS-Verbindungen vermitteln – und zwar auf eigenem Boden (lies: Domain) und nicht bei einem externen Dienstleister.

Wenig durchdachtes Massen-Mailing

Die Vorgehensweise beim Massen-Mailing – 500 Millionen Benachrichtigungen – erscheint ebenfalls wenig durchdacht. Mit der schieren Last können die meisten Plattformen noch gut umgehen. Problematisch sind die Auswirkungen solcher Mail-Mengen auf die Filter, die im Dienste der Empfänger Gut von Böse, Ham von Spam unterscheiden sollen. Diese bewerten derart massiven Mailversand eines einzelnen Absenders als Anomalie. Und das wirkt sich unmittelbar negativ auf die Reputation des Absenders aus. In diesem Fall werden sogar die Senderdomain und der Versender schlechter gestellt, denn Marriott nutzte für das Massen-Mailing einen Mail-Dienstleister.

Damit wird das eigentliche Problem sichtbar: Marriott behandelt den Vorfall als wäre er ein singuläres Ereignis. Website erstellen – Benachrichtigung versenden – gut ist. Tatsächlich löst der Vorfall in einem komplexen System wie dem Internet diverse weitere Ereignisse aus und die addressiert Marriott bisher gar nicht.

Das Massenmailing hätte Marriott gegenüber Mail-Dienstleistern ankündigen müssen. Das ist nicht passiert, Marriott brachte damit Anti-Spam-Filter der Maildienstleister in Verteidigungsstellung. Es ist nur der Vernetzung der Postmaster untereinander zu verdanken, dass die meisten Mails wohl dennoch zugestellt wurden. Sie entschlossen sich kurzerhand dazu, den Absender vorübergehend zu whitelisten, damit sein wichtiges Mailing nicht im Orkus landet.

Dennoch drückt das unangekündigte Mailing die digitale Reputation der Sender-Domain email-marriott.com. Das ist fatal, weil Marriott diese generell für die Kommunikation mit Kunden nutzt. Wundern Sie sich also nicht, wenn Sie als Marriott-Kunde keine Buchungsbestätigung für eine geplante Übernachtung erhalten. Diese versendet Marriott auch über die genannte Sender-Domain und um deren Ruf ist es aktuell nicht gut bestellt.

Phishing-Folgen absehbar

Damit nicht genug: Wer auch immer die Daten gestohlen hat, wird ihren Wert in Geld wandeln wollen!

Wir werden Phishing-Kampagnen und Aufforderungen zum Klicken auf faule Links erhalten: "Bestätigen Sie nach einem Sicherheitskritischen Vorfall ihr Kennwort, damit Sie bei der nun anstehenden Bereinigung der Datenbank nicht unabsichtlich gelöscht werden." Wenn eine solche Kampagne nur 0,1% aller Angeschriebenen dazu verleitet, ihr Kennwort auf diese Weise zu verraten, dann sind das immer noch 500.000 Opfer.

Die gestohlenen Daten sind vermutlich auch deshalb so wertvoll, weil man darunter Einträge von vielen Geschäftsreisenden erwarten kann. Das wiederum lässt an E-Mails denken, die vortäuschen, von einem Mitglied der Unternehmensführung zu stammen (CEO Fraud), um Mitarbeiter so zu manipulieren, dass sie Geld in dunkle Kanäle überweisen: "Bin bestohlen worden, bitte überweise schnell 5.000 Dollar...".

Fragwürdige Domain-Anmeldungen

Vermutlich werden nun bald Domains angemeldet, die den Namen "Marriot" oder "Starwoodhotels" enthalten, um die Glaubwürdigkeit von Phishing- oder CEO-Fraud-Kampagnen zu erhöhen. Deshalb sollte Marriott jetzt eine Liste aller Domains veröffentlichen, die der Konzern selbst registriert hat. Dann wären böse Marriott-Domains leichter erkennbar und Maildienstleister könnten ihre Filter optimieren, um betrügerische E-Mails leichter zu identifizieren. Diese kann man dann je nach Filterautomatik als Spam markieren. Und bei ausreichender Beweislast könnte man den Weitertransport gleich ganz verweigern.

Das sollten die für Domain-Anmeldungen zuständigen Registrare und Registries beobachten und besonders genau prüfen, wer solche Domains nutzen möchte. Verdächtige Domains sollten sie den Behörden melden, damit diese die erforderlichen Takedowns rechtzeitig anordnen können. Und sie sollten Blacklisten von Domains herausgeben, die nachweislich kriminell agieren.

DNS gegen Phishing

Die Betreiber von DNS-Servern, sollten Anfragen zu Marriott oder Starwoodhotels-Domains beobachten und diese mit den Blacklisten koppeln. Verdächtige Anfragen sollten sie mit Hilfe von "Response Policy Zones", das sind spezielle Namensbereiche in DNS-Servern, durch Umleitung der Anfrage auf Info-Websites erden. Dort würden diejenigen, die faulen Links folgen wollten, über den Grund der Umleitung und die Risiken informiert werden.

Manche Provider tun das heute schon. Das wird nicht immer positiv aufgenommen, denn manche Kunden fühlen sich dabei eher ausspioniert als geschützt. Zwar überwiegt die Zahl derer, die dankbar für den Schutz sind bei weitem. Doch es zeigt auch, dass noch "Luft nach oben ist". In einem Land wie Deutschland, das gleich zwei totalitäre Überwachungsstaaten aus seiner jüngeren Vergangenheit kennt, ist das dafür erforderliche Vertrauen aus verständlichen Gründen eine besondere Herausforderung.

Der aktuelle Incident zeigt, Abuse ist kein singuläres Event und die Maßnahmen von Marriott greifen zu kurz. Abuse im Internet ist ein vielschichtiges Problem, bei dem sich Teile des Systems wechselseitig beeinflussen. Marriott hat das anscheinend noch nicht begriffen. Von einem rein gewinnorientierten Unternehmen ist auch nicht zu erwarten, dass es sich seiner volkswirtschaftlichen Rolle und der damit einhergehenden Verantwortung stellen will. Abuse ist aber kein PAL – kein Problem anderer Leute. Diese Denke hatten wir bei Spam schon und sie hat nicht geholfen. (Patrick Ben Koetter) / (dz)