Sicherheitsexperte

09. April 2014 12:59; Akt: 09.04.2014 12:59 Print

«Diebe können mit den Daten einkaufen gehen»

Cyber-Kriminelle haben 18 Millionen E-Mail-Konten geknackt, 38'000 davon in der Schweiz. IT-Sicherheitsexperte Marc Ruef erklärt, was die Hacker mit den Daten anstellen könnten.

storybild

Laut IT-Sicherheitsexperte Marc Ruef ist gesunder Menschenverstand der beste Schutz gegen Phishing-Attacken.

Zum Thema
Fehler gesehen?

Vom Diebstahl von 18 Millionen E-Mail-Adressen in Deutschland sind auch 38'000 E-Mail-Konten von Schweizern betroffen, wie die Koordinationsstelle zur Bekämpfung der Internetkriminalität (Kobik) am Dienstag mitteilte. Laut Kobik sind die meisten grossen Provider vom Datendiebstahl betroffen. Die Diebe nutzten die gekaperten Accounts zum Versand von Spam.

Marco Ruef ist IT-Sicherheitsexperte bei der Firma Scip AG. Im Interview erklärt er, wie die Betrüger an die Login-Daten gekommen sind und was sie im schlimmsten Fall damit anstellen könnten.

Herr Ruef, wie sind die Cyber-Kriminellen Ihrer Meinung nach an die Login-Daten gekommen?
Es gibt verschiedene Thesen. Am naheliegendsten erscheint mir, dass die einzelnen Mail-Provider kompromittiert wurden. Eine Infektion mit Schadsoftware der jeweiligen Rechner wäre bei der hohen Anzahl Zielpersonen frühzeitig aufgefallen – ebenso das Abgreifen der Daten via Phishing.

Trotzdem nennt die Koordinationsstelle zur Bekämpfung der Internetkriminalität (Kobik) das Phishing als eine mögliche Methode. Wie funktioniert ein solcher Angriff?
Das Kunstwort Phishing setzt sich zusammen aus den Wörtern «Password» und «Fishing». Dabei wird durch Angreifer eine Website aufgeschaltet, die für ein Opfer täuschend echt aussieht. Darauf wird es zur Passworteingabe verleitet und diese Daten werden dann abgegriffen. Von da an kann der Angreifer die mitgelesenen Daten missbräuchlich verwenden.

Was können Cyber-Kriminelle mit den ergaunerten Daten anstellen?
Sie erreichen damit die Möglichkeiten, die der legitime Benutzer auch hat. Es wird also ein Login und eine Nutzung des entsprechenden Dienstes – egal ob nun E-Mail oder Online-Banking – möglich. Da viele Benutzer die gleichen Passwörter für unterschiedliche Dienste nutzen, kann ein fortgeschrittener Angreifer versuchen, diese Logins anderweitig einzusetzen.

Was ist dabei das Worst-Case-Szenario?
Viele Dienste benutzen zur Identifikation des Teilnehmers dessen Mailadresse. Kann ein Angreifer die E-Mails mitlesen, kann er sich mit diesen Daten beim Dienst einloggen oder sie zurücksetzen. Zum Beispiel kann er in einem Online-Versandhaus die Postadresse des Empfängers ändern. Dies gilt für alle Dienste, die keinen zweiten Weg einer Authentisierung (z.B. SMS, Token oder Brief) benutzen. Online-Banking und Kreditkartendienste pflegen in der Regel zusätzliche Massnahmen dieser Art einzusetzen, um genau dieses Szenario zu verhindern.

Zurück zum Phishing: Können E-Mail-Anbieter solche trügerischen Mails nicht abfangen?
Es gibt verschiedene Mechanismen, wie Phishing-Angriffe erkannt werden können. Zum Beispiel dann, wenn täuschend ähnliche Absenderadressen oder obskure Links verwendet werden. Die Summe dieser und weiterer Indizien macht es möglich, entsprechende Attacken zu erkennen. Firmen und Anbieter pflegen den Schwellwert für eine Erkennung relativ hoch anzusetzen, um nicht versehentlich legitime E-Mails zu blockieren. Der Betrieb geniesst vielerorts den höheren Stellenwert als die Sicherheit.

Wie kann man als Benutzer einen Phishing-Versuch feststellen?
Der gesunde Menschenverstand ist das wirksamste Mittel gegen derlei Angriffe. Die Plausibilität eines E-Mails sollte immer geprüft werden: Kenne ich den Absender? Hat er einen guten Grund, mich anzuschreiben? Schreibt er in jenem Stil, den ich mir gewohnt bin? Werde ich zu einer Aktion aufgefordert, die mir sinnvoll erscheint? Sobald etwas verdächtig ist, sollte man im Zweifelsfall beim Absender nachfragen.

Was kann man tun, wenn man Opfer einer Phishing-Attacke geworden ist?
Es gilt, schnellstmöglich die Login-Daten der betroffenen Dienste zu ändern. So werden die ergaunerten Passwörter wertlos. Ein regelmässiges Ändern, die Wahl von möglichst komplexen und das Nutzen unterschiedlicher Passwörter helfen dabei, ein Maximum an Sicherheit erreichen zu können. Komplexe Passwörter lassen sich einfach generieren und merken, wenn man zum Beispiel die Anfangsbuchstaben dieses Satzes nimmt. Aus «Heute ist einmal wieder schönes Wetter!» wird «Hi1wsW!»

Können solche Attacken überhaupt verhindert werden?
Phishing-Attacken per E-Mail basieren darauf, dass sich die Legitimität eines Schreibens und die Authentizität des Absenders nicht oder nur sehr schwer prüfen lassen. Es gibt verschiedene Mechanismen, die in dieser Hinsicht Abhilfe schaffen können. Zum Beispiel mit PGP/GnuPG signierte E-Mails. Aber diese Ansätze sind entweder schwerfällig oder nur spärlich verbreitet. Aus diesem Grund muss man mit den Schwächen leben, die das vor über 30 Jahren entwickelte Mailsystem mit sich bringt.

(tob)

Kommentarfunktion geschlossen
Die Kommentarfunktion für diese Story wurde automatisch deaktiviert. Der Grund ist die hohe Zahl eingehender Meinungsbeiträge zu aktuellen Themen. Uns ist wichtig, diese möglichst schnell zu sichten und freizuschalten. Wir bitten um Verständnis.

Die beliebtesten Leser-Kommentare

  • D H am 09.04.2014 14:06 via via Mobile Report Diesen Beitrag melden

    Fg

    Super und wie erfährt man nun ob man betroffen ist?

    einklappen einklappen
  • meier am 09.04.2014 13:50 Report Diesen Beitrag melden

    Hilfe

    Kann mir jemand sagen ob auch gewisse GoogleMail-Konten betroffen sind?

    einklappen einklappen
  • Noren am 09.04.2014 14:30 Report Diesen Beitrag melden

    Wenn ich euch wäre, ...

    ... würde ich mich mehr um den Heartbleed Bug sorgen machen.

    einklappen einklappen

Die neusten Leser-Kommentare

  • Reto am 09.04.2014 14:31 Report Diesen Beitrag melden

    Provider wohl weniger

    Das die Provider kompromittiert ist eher unwarscheinlich bei der vielzahl verschiedener Betroffenen Provider in der Liste. Wohl eher über Phishing, Malware, unsichere WLAN oder aus Daten von bekannten Einbrüchen (Adobe, Apple, Target, Michaels, Neiman Marcus, usw).

  • Noren am 09.04.2014 14:30 Report Diesen Beitrag melden

    Wenn ich euch wäre, ...

    ... würde ich mich mehr um den Heartbleed Bug sorgen machen.

    • Damian holzer am 09.04.2014 15:15 Report Diesen Beitrag melden

      Re:Wenn ich euch wäre, ...

      Genau! Heartbleed!

    einklappen einklappen
  • D H am 09.04.2014 14:06 via via Mobile Report Diesen Beitrag melden

    Fg

    Super und wie erfährt man nun ob man betroffen ist?

    • Reto am 09.04.2014 14:23 Report Diesen Beitrag melden

      Ganz einfach

      Bei einer .ch Domain hast am Di Nachmittag ein E-Mail von der Kobik erhalten. Ansonsten beim deutschen BSI den Test machen.

    • Beat B. am 09.04.2014 14:32 Report Diesen Beitrag melden

      BSI-Sicherheitstest

      Es gibt bspw. eine Seite beim BSI - einfach Suchmaschine nutzen oder einen guten Artikel im Spiegel Online

    einklappen einklappen
  • meier am 09.04.2014 13:50 Report Diesen Beitrag melden

    Hilfe

    Kann mir jemand sagen ob auch gewisse GoogleMail-Konten betroffen sind?

    • Reto am 09.04.2014 14:24 Report Diesen Beitrag melden

      Ist genz einfach,

      einfach den Test beim deutschen BSI machen.

    • Beat. B. am 09.04.2014 14:30 Report Diesen Beitrag melden

      Ja, auch Google

      Yep, Google ist auch betroffen

    einklappen einklappen