Der Faktor Mensch als IT-Sicherheitsrisiko

In den USA wurden nach Schätzungen des Marktforschungsunternehmens Gartner http://www3.gartner.com/Init während der vergangenen zwölf Monate fast zwei Millionen Menschen Opfer der Pisher. Die daraus entstandenen Schäden belaufen sich auf rund 1,2 Milliarden Dollar (928 Millionen Euro). Mittlerweile sind auch europäische Anwender zunehmend Ziel der Pishing-Angriffe. Meistens erfolgen diese über gefälschte eMails von Banken und anderen Finanzinstituten, in denen die Kunden aufgefordert werden, in einer genau beschriebenen Art und Weise ihre Account-Daten zu aktualisieren oder neu einzugeben. Tatsächlich aber arbeiten die Pishing-Konzepte mit Umleitungen der Webzugriffe und gefälschten Webseiten, die nur dazu dienen, dem Anwender eine sichere und seriöse Umgebung vorzugaukeln, in der er seine Daten eingeben kann. Technisch lässt sich das leider nicht vollständig verhindern: „Ein Anwender bekommt eine eMail seiner Bank, in der er aufgefordert wird, sich bei der Bank anzumelden und seine Login-Daten zu bestätigen, weil die Kundendatenbank aufgrund eines System-Updates überprüft werden muss. Um sicher zu gehen, dass alles in Ordnung geht, soll er sich mit seinem gewohnten, nur ihm bekannten Login anmelden und seine Daten bestätigen. Der Login-Link wird gleich mit einem Link in der eMail angeboten“, schildert Mandato den typischen Pishing-Vorgang. Alles scheint richtig zu sein, nur ist die eMail nicht von der Bank verschickt worden und der Login-Link führt auf eine echt aussehende, aber dennoch gefälschte Seite. Es sei weder an Form und Inhalt zu erkennen, dass es sich um eine kriminelle eMail handelt, ergänzt Mandato, noch sei irgendeine Firewall oder ein Antiviren-Programm in der Lage, diese eMail als schädlich zu identifizieren: kein Virus, kein Wurm, kein Trojaner, kein Hinweis auf Spam. Es liegt beim Pishing-Angriff in den Fähigkeiten des Anwenders, den Angriff als solchen zu erkennen. „Keine Bank fordert ihre Kunden auf, sensible Daten per eMail zu versenden oder auf eine eMail hin auf einer nicht gesicherten Webpage einzugeben. Das muss man einfach wissen und berücksichtigen. Im Zweifelsfall lieber die Bank anrufen“, rät Mandato. Der Schaden durch Pishing, so befürchten er und andere Experten, hat eine ganz andere Qualität als die Schäden, die etwa durch Würmer verursacht werden. „Während wir bei der üblichen Virenprogrammierung eher so eine Art spielerische, anarchistische Kriminalität finden, ist Pishing eindeutig das Werkzeug von organisiertem Verbrechen. Der Schaden entsteht hier nicht durch Systemausfälle und Server-Abstürze, sondern schlicht und ergreifend durch direkten Raub: die Konten der ‚er-pishten’ Zugangscodes werden leer geräumt. Hier ist eine ständige Aufklärung erforderlich und ein kontrolliertes, bewusstes Verhalten der Anwender“, so Mandato.

• Über Medienbüro Sohn
• Weitere Meldungen
• Diesen Pressetext kommentieren
• Pressemitteilung veraltet?