Sicherheitsexperte: «Diebe können mit den Daten einkaufen gehen»

Vom Diebstahl von 18 Millionen E-Mail-Adressen in Deutschland sind auch 38'000 E-Mail-Konten von Schweizern betroffen, wie die Koordinationsstelle zur Bekämpfung der Internetkriminalität (Kobik) am Dienstag mitteilte. Laut Kobik sind die meisten grossen Provider vom Datendiebstahl betroffen. Die Diebe nutzten die gekaperten Accounts zum Versand von Spam.

Marco Ruef ist IT-Sicherheitsexperte bei der Firma Scip AG. Im Interview erklärt er, wie die Betrüger an die Login-Daten gekommen sind und was sie im schlimmsten Fall damit anstellen könnten.

Es gibt verschiedene Thesen. Am naheliegendsten erscheint mir, dass die einzelnen Mail-Provider kompromittiert wurden. Eine Infektion mit Schadsoftware der jeweiligen Rechner wäre bei der hohen Anzahl Zielpersonen frühzeitig aufgefallen – ebenso das Abgreifen der Daten via Phishing.

Das Kunstwort Phishing setzt sich zusammen aus den Wörtern «Password» und «Fishing». Dabei wird durch Angreifer eine Website aufgeschaltet, die für ein Opfer täuschend echt aussieht. Darauf wird es zur Passworteingabe verleitet und diese Daten werden dann abgegriffen. Von da an kann der Angreifer die mitgelesenen Daten missbräuchlich verwenden.

Sie erreichen damit die Möglichkeiten, die der legitime Benutzer auch hat. Es wird also ein Login und eine Nutzung des entsprechenden Dienstes – egal ob nun E-Mail oder Online-Banking – möglich. Da viele Benutzer die gleichen Passwörter für unterschiedliche Dienste nutzen, kann ein fortgeschrittener Angreifer versuchen, diese Logins anderweitig einzusetzen.

Viele Dienste benutzen zur Identifikation des Teilnehmers dessen Mailadresse. Kann ein Angreifer die E-Mails mitlesen, kann er sich mit diesen Daten beim Dienst einloggen oder sie zurücksetzen. Zum Beispiel kann er in einem Online-Versandhaus die Postadresse des Empfängers ändern. Dies gilt für alle Dienste, die keinen zweiten Weg einer Authentisierung (z.B. SMS, Token oder Brief) benutzen. Online-Banking und Kreditkartendienste pflegen in der Regel zusätzliche Massnahmen dieser Art einzusetzen, um genau dieses Szenario zu verhindern.

Es gibt verschiedene Mechanismen, wie Phishing-Angriffe erkannt werden können. Zum Beispiel dann, wenn täuschend ähnliche Absenderadressen oder obskure Links verwendet werden. Die Summe dieser und weiterer Indizien macht es möglich, entsprechende Attacken zu erkennen. Firmen und Anbieter pflegen den Schwellwert für eine Erkennung relativ hoch anzusetzen, um nicht versehentlich legitime E-Mails zu blockieren. Der Betrieb geniesst vielerorts den höheren Stellenwert als die Sicherheit.

Der gesunde Menschenverstand ist das wirksamste Mittel gegen derlei Angriffe. Die Plausibilität eines E-Mails sollte immer geprüft werden: Kenne ich den Absender? Hat er einen guten Grund, mich anzuschreiben? Schreibt er in jenem Stil, den ich mir gewohnt bin? Werde ich zu einer Aktion aufgefordert, die mir sinnvoll erscheint? Sobald etwas verdächtig ist, sollte man im Zweifelsfall beim Absender nachfragen.

Es gilt, schnellstmöglich die Login-Daten der betroffenen Dienste zu ändern. So werden die ergaunerten Passwörter wertlos. Ein regelmässiges Ändern, die Wahl von möglichst komplexen und das Nutzen unterschiedlicher Passwörter helfen dabei, ein Maximum an Sicherheit erreichen zu können. Komplexe Passwörter lassen sich einfach generieren und merken, wenn man zum Beispiel die Anfangsbuchstaben dieses Satzes nimmt. Aus «Heute ist einmal wieder schönes Wetter!» wird «Hi1wsW!»

Phishing-Attacken per E-Mail basieren darauf, dass sich die Legitimität eines Schreibens und die Authentizität des Absenders nicht oder nur sehr schwer prüfen lassen. Es gibt verschiedene Mechanismen, die in dieser Hinsicht Abhilfe schaffen können. Zum Beispiel mit PGP/GnuPG signierte E-Mails. Aber diese Ansätze sind entweder schwerfällig oder nur spärlich verbreitet. Aus diesem Grund muss man mit den Schwächen leben, die das vor über 30 Jahren entwickelte Mailsystem mit sich bringt.