CAST-Forum Internet-Kriminalität: Der Mensch bleibt das schwächste Glied

Wenn Sicherheitsexperten tagen, dann drohen düstere Szenarien. Wer sich vorwiegend mit Bedrohungen durch Schadsoftware, Phishing-Attacken und Kreditkartenbetrug auseinandersetzt, ist entsprechend sensibilisiert.

In Pocket speichern vorlesen Druckansicht 37 Kommentare lesen
Lesezeit: 5 Min.

Wenn Sicherheitsexperten tagen, dann drohen düstere Szenarien. Wer sich vorwiegend mit Bedrohungen durch Schadsoftware, Phishing-Attacken und Kreditkartenbetrug auseinandersetzt, ist entsprechend sensibilisiert. Der Benutzer mag keine Passwörter, der Sicherheitsexperte mag keine Benutzer.

Thorsten Holz, wissenschaftlicher Mitarbeiter an der Uni Mannheim, sammelt im Rahmen des Honeynet Project Schadsoftware, so genannte Malware. Mit beachtlichem Erfolg, denn binnen vier Monaten lockte ein einziger Rechner mit Nepenthes immerhin 50 Millionen Exemplare an. Ohne die Duplikate waren es immer noch 14.414 verschiedene Schadprogramme, die rund 1000 verschiedenen Botnets zuzuordnen sind. Die große Zahl der eingesammelten Schädlinge ruft nach einer automatischen Untersuchung, die von CWSandbox geleistet werden soll. Diese mit einem CAST Förderpreis 2006 ausgezeichnete Software testet die Probanden in einer virtuellen Umgebung und erstellt eine Analyse im XML-Format. In der aktuellen Betaversion kann man verdächtige Binaries auf den Server laden und erhält die Auswertung dann per E-Mail.

Erschreckend ist, dass selbst tagesaktuelle Antiviren-Software nur zwischen 78 und 90 Prozent der von Nepenthes eingesammelten Schadprogramme erkennt. Bei der Ernte des aktuellen Tages, immerhin 460 Exemplare, sieht es noch schlechter aus. Hier liegt die Erkennung bei nur 73 bis 84 Prozent. Entsprechend düster waren auch die Szenarien, die Michael Mehrhoff vom Bundesamt für Sicherheit in der Informationstechnik in seinem Vortrag über die gezielte Spionage mit Trojanischen Pferden präsentierte. Während das Internet vor sechs Jahren noch einem Goldfischteich geglichen habe, müsse man heute von einem Haifischbecken sprechen: Erkannte Schwachstellen nähmen zu, die Anzahl der Schadprogramme steige bei beschleunigtem Entwicklungstempo. Das kritische Zeitfenster zwischen der Entdeckung einer Schwachstelle und der Bereitstellung einer Gegenmaßnahme werde verstärkt ausgenutzt, die Opfer würden dabei gezielt angegriffen für Spionage, Sabotage und Erpressung.

Während früher nur aktive Inhalte, ausführbare Dateien und Makros verdächtig waren, sind heute alle Daten außer einfachem Text geeignet, Rechner zu infizieren. Insbesondere Dateien der Microsoft-Programme Word und Powerpoint würden laut Mehrhoff für die Verbreitung trojanischer Pferde eingesetzt. Antivirenprogramme und Firewalls seien als Schutz nicht mehr ausreichend. Ein gezielter Angriff eines Nachrichtendienstes sei praktisch nicht erkennbar, insbesondere weil das begleitende Social Engineering perfekt sei. Man müsse damit rechnen, die Spionagesoftware verdeckt aus einer vertrauten Quelle zu erhalten. Die Bedrohungslage ist laut Mehrhoff so ernst, dass man den technischen Fortschritt nicht mehr so nutzen könne, wie das bisher getan wurde. Zur Sensibilisierung von Entscheidungsträgern und der Vorstellung von wirksamen Sicherheitsmaßnahmen hat das BSI einen "Trojaner-Leitfaden" erstellt, der nach Prüfung im Innenministerium auf der Webseite des BSI veröffentlicht werden soll.

Sven Türpe vom Fraunhofer Institut für sichere Informationstechnologie beschäftigte sich mit der Frage, wie eine sichere Kommunikation zwischen Nutzer und Bank trotz unsicherem Endgerät und Benutzerfehlern zustande kommen kann. Theoretisch sind die Probleme durch SSL und HBCI/FinTS gelöst. Dieser Ansatz setzt aber voraus, dass der Anwender SSL-Zertifikate und Daten auf dem Display eines Kartenlesers jedesmal prüft. Indexierte TANs (iTAN) oder TAN-Generatoren sind laut Türpe bei Echtzeit-Angriffen mit Man-in-the-middle-Attacken unwirksam. Eine Übermittlung der TAN über einen getrennten Kanal, etwas als SMS auf ein vorher registriertes Handy dagegen macht Massenangriffe schwierig. Der Server berechnet eine nur kurzzeitig gültige TAN und überträgt sie zusammen mit den Transaktionsdaten an das Mobiltelefon des Benutzers, der dann die TAN auf dem PC wieder eingibt. Diese mTAN genannte Lösung setzt jedoch ein betriebsbereites Handy voraus und kann durch lange SMS-Laufzeiten gestört werden.

Auch der Kreditkartenbetrug macht den Anbietern zunehmend Sorgen. Bernd-Ludwig Müller, Risk & Security Manager bei ConCardis zieht das Fazit: "Solange es die Zahlungsmittel gibt, wird ein Mensch den anderen betrügen." Neben Einzeltätern sieht sich die Branche vor allem mit organisierter Kriminalität konfrontiert. Müller spricht von technisch hochgerüsteten und flexiblen Banden, die international tätig sind. Die Daten von Kreditkarten werden bei leichfertigen Anwendern, durch Skimming von Magnetstreifen, Kontoauszüge in Papiertonnen ("Dumpster Diving") und durch Berechnung mit Hilfe von Crack-Programmen wie Credit-Master oder Creditwizard sowie simplem Datenklau gewonnen. Kompromittierte Karteninformationen werden nicht nur am Bahnhof, sondern auch über ständig wechselnde Webseiten en gros verkauft. Der Missbrauch der Kreditkarten ist laut Müller relativ leicht von Händlern erkennbar. Typische Merkmale seien große atypische Bestellmengen, viele Bestellungen in sehr kurzer Zeit, zu atypischen Uhrzeiten, von Waren, die im Empfängerland eigentlich billiger sind. Wenn Waren- und Versandkosten keine Rolle spielen, oder wenn etwa eine Kreditkarte aus USA für eine Lieferung nach Singapur mit einer Absenderadresse eines Freemailers zusammen aufträten, dann müsse man von einem Missbrauch ausgehen. Die Geschädigten solcher Transaktionen seien vor allem die Händler, die sich von einem schnellen Geschäft locken lassen würden. Durch Rückbelastungen würden sie am Ende auf dem Schaden sitzen bleiben, während die ergaunerte Ware über Versteigerungsplattformen verkauft werde.

Alle Vortragende waren sich darüber einig, dass gutgläubige Menschen das schwächste Glied in der Sicherheitskette darstellen. Dies betrifft sowohl Händler, Phishing-Opfer als auch Finanzagenten, die Geld von ihrem Konto abheben und per Western Union versenden. Social Engineering bleibt die effektivste Angriffsstrategie. (vowe)