6-Punkte-Plan gegen Phishing
Das Internet Storm Center sieht in seinem Maßnahmenkatalog den Handlungsbedarf nicht beim Anwender, sondern bei den Unternehmen, die sicherheitsrelevante Dienste anbieten.
Das Internet Storm Center hat einen Maßnahmenkatalog vorgestellt, um gegen Phishing vorzugehen. Anders als andere sieht das ISC den Handlungsbedarf nicht beim Anwender, sondern bei den Unternehmen, die sicherheitsrelevante Dienste anbieten.
Als ersten Punkt nennt der Autor Johannes Ullrich das konsistente Auftreten nach außen. So sollten Unternehmen ihre E-Mails grundsätzlich immer mit der selben E-Mail-Adresse versenden. Des weiteren fordet Ullrich vorbeugende Maßnahmen, um aktiv auf Phishing-Kampagnen reagieren zu können. Beispielsweise könnten Firmen ihren E-Mail-Eingang nach verdächtigen Bounces durchsuchen oder die Log-Dateien ihrer Web-Server auf seltsame Referrer überwachen, um dann die Kunden auf eine Warnseite zu lenken.
Auch die schlechte Angewohnheit, Web-Seiten speziell auf einen Browser auszurichten und sogar zusätzliche Features wie JavaScript oder Active-X vorauszusetzen, kritisiert Ullrich. Seiner Ansicht nach sollten die Unternehmen Wert darauf legen, dass Anwender ihr System absichern und sie nicht dazu zwingen, sinnvolle Sicherungsmaßnahmen wie den Verzicht auf aktive Inhalte aufzugeben.
Siehe dazu auch:
- Der Maßnahmenkatalog (englisch) des Internet Storm Center (PDF)
- Neue Phishing-Attacke gegen Kunden der Postbank auf heise Security
- Fraunhofer-Institut testet Phishing-Schutz beim Online-Banking auf heise Security
