Wer fällt noch auf Phishing herein?

Jeder halbwegs informierte Internetnutzer wird heute sicher nicht mehr auf simple Phishing-Mails hereinfallen und seine PINs und TANs an gefälschte Webseiten übergeben. Doch die Internetbetrüger sind trickreicher geworden. Es gibt für nahezu jede Opferzielgruppe einen passenden Angriff.

Viele schöne neue Namen gibt es für die Angriffsmethoden – Pharming, Spear-Phishing oder Whaling. Diese Begriffsvielfalt verstellt leicht den Blick auf das Wesentliche: Die Taktiken haben sich verändert, das Ziel ist das gleiche – an das Geld der Opfer zu gelangen.

Aktuelle Zahlen belegen, dass keinesfalls Entwarnung angesagt ist.

Das VeriSign Fraud Barometer vom März 2010 zeigt, dass in den letzten zwölf Monaten 15 Prozent der deutschen Internetnutzer Opfer eines Onlinebetrugs geworden sind. Das Ergebnis der Umfrage gibt auch Hinweise darauf, dass Betrüger in Deutschland immer mehr auf den Online-Diebstahl von Daten abzielen, mit denen sie sich auch finanziell bereichern können. So stieg die durchschnittliche Schadenssumme der Opfer von Online-Identitätsbetrug in den letzten zwölf Monaten von 179 € auf 183 € pro Person.

Dieses Ergebnis passt dazu, dass Käufer in Deutschland unvorsichtiger geworden sind, wenn sie vertrauliche Informationen im Internet übermitteln. 77 Prozent der Befragten gaben an, dass sie bei Transaktionen oder der Weitergabe persönlicher Informationen auf sichere Authentifizierung und erkennbare Sicherheitsprüfmerkmale wie beispielsweise Sicherheitssiegel  achten. Gegenüber der letzten Umfrage in 2009 ist dies ein Rückgang von vier Prozent.

Der kriminelle Untergrund wächst

Ein Großteil der Angriffe richtet sich auch heute noch gegen Bankkunden. Zwar konnte die Einführung von iTANs die Schadensfälle, die durch einfache Phishing-Mails verursacht werden, begrenzen, aber dafür rücken jetzt neue Gefahren wie Malware in den Mittelpunkt, die sich die Internetnutzer als Drive-by-Download einfangen können. Auch der kriminelle Untergrund nimmt an Bedeutung zu. Es existiert ein florierender Markt auf dem Kartennummern, Zero-Day-Exploits und eine wachsende Zahl von Dienstleistungen für einfache Angriffe angeboten werden. Wer in dieser kriminellen Branche aktiv sein will, braucht selbst kaum noch technisches Wissen. Die Online-Betrüger mieten sich Dienste von Spam-Versendern und maßgeschneiderte Hacking-Tools von Botnet-Betreibern. Auch vermeintlich unwichtige Zugangsdaten zu sozialen Netzwerken sind für die Hacker Gold wert, wenn die arglosen User die gleichen Zugangsdaten auch für ihre Online-Shopping-Konten verwenden.

Fehlendes Vertrauen ist schädlich für das Geschäft

Angesichts der aktuellen Bedrohungssituation, ist eine wirksame Strategie zur Erhöhung der Online-Sicherheit für jedes Unternehmen unerlässlich. Das gilt für die Großen genauso wie für die Kleinen. Zwar gibt es keine Sicherheitsstrategie, die für alle passt, aber auch kleine und mittelständische Unternehmen sollten sich stärker als bisher um Fragen der Sicherheit kümmern, die ihren Mitteln und Anforderungen gerecht werden.

Mittelständische Unternehmen haben vielleicht nicht die gleichen Möglichkeiten wie große Unternehmen, aber die Herausforderungen sind ähnlich. Sie müssen ihr geistiges Eigentum und persönliche Daten schützen, die Kunden ihnen anvertrauen. Für Online-Händler zum Beispiel ist das Vertrauen der Kunden entscheidend. Sie wollen sicher sein, dass ihre Kreditkartendaten und persönlichen Daten beim Online-Kauf in sicheren Händen sind und auch bleiben.

Schöne neue Namen für Angriffsmethoden

Phishing: Diebstahl von Zugangsdaten (Kreditkartennummer, Bankverbindung, Benutzername / Passwort), wurde ursprünglich als Begriff für Social-Engineering-Techniken verwendet, wird mittlerweile aber weiter gefasst

-Pharming: Ein Phishing-Angriff, in dem der Domainname kompromittiert wird, das bedeutet, dass Nutzer auf eine gefälschte Webseite umgeleitet werden

-Spear Phishing: Eine Phishing-Attacke, die gegen ein eng gewähltes Ziel, wie beispielsweise eine bestimmte Person oder Gruppe, gerichtet ist

-Whaling: Eine Phishing-Attacke gegen ein Ziel mit besonders hohem Wert, z.B. ein CEO eines großen Unternehmens

Kein Geld für Sicherheit?

Auch wenn ein kleinerer Onlinehändler sicherlich nicht so bekannt ist wie eine große Marke, so ist dennoch der Ruf im Markt sehr wichtig. Mittelständische Unternehmen verlassen sich stark auf Stammkunden. Um weiter zu wachsen, ist es wichtig, sich einen treuen Kundenstamm aufzubauen. Diese Stammkunden werden sich immer wieder für die Produkte oder Dienstleistungen des Unternehmens entscheiden. Aber kleine und mittelständische Unternehmen müssen sich das Vertrauen der Kunden verdienen, um erfolgreich zu sein. Das gilt besonders in schwierigen wirtschaftlichen Zeiten, in denen Verbraucher nervös sind und die Konkurrenz nur einen Klick entfernt ist.

Was also sollte ein mittelständisches Unternehmen tun? Ein beliebter Einwand ist, dass es in der unsicheren wirtschaftlichen Situation keine Budgets für mehr Sicherheit gibt. Das ist allerdings nicht die Realität, denn die Budgets werden zwar stärker überprüft, aber die Sicherheitsprojekte laufen weiter. Es muss häufiger der Vorstand überzeugt werden, dass die Projekte einen ROI und unmittelbaren Nutzen für das Unternehmen liefern. Deshalb sind jetzt besonders Investitionen gefragt, die nicht nur die Kunden und ihre digitale Identität schützen, sondern auch Vertrauen und Loyalität zum Unternehmen fördern. Wenn Kunden sich beim Online-Einkauf sicher fühlen, sind sie eher bereit, mehr zu bezahlen und ihre persönlichen Informationen preiszugeben. 

Sichtbare Sicherheitsmerkmale auf der Webseite lohnen sich

Eine Umfrage von YouGov hat gezeigt, dass Unternehmen, die Online-Sicherheitsmerkmale einsetzen, eher weiterempfohlen werden. Mit Sicherheitsmaßnahmen können kleine und mittelständische Unternehmen folglich von Empfehlungen profitieren und mehr Geschäft an sich ziehen. Eine Möglichkeit dies zu erreichen, ist zum Beispiel die Einführung von Extended Validation (EV) Zertifikaten. Diese Zertifikate erlauben es dem Internetnutzer, auf einfache und zuverlässige Weise zu überprüfen, ob eine Website echt ist und ein sicheres Umfeld für einen Online-Kauf bietet. Die „grüne Adressleiste“ zeigt, dass das Unternehmen, dem die Website gehört, als juristische Person überprüft wurde. Extended Validation verpflichtet die Zertifizierungsstelle dazu, eine Reihe von Angaben vom Antragsteller anzufordern und zu überprüfen. Überprüft werden zum Beispiel der Eintrag ins Handelsregister, die Adresse bzw. die Adresse des registrierten Bevollmächtigten des Unternehmens. Existiert das Unternehmen schon länger als drei Jahre wird die Existenz überprüft, zum Beispiel per Gutachten eines Rechtsanwalts oder durch Prüfung, ob die Organisation ein ordnungsgemäßes, aktives Konto besitzt.

Verwechselung ausgeschlossen: Kaum eine deutsche Bank leistet sich noch ein Internetbanking-Login ohne EV SSL 

Extended Validation Zertifikate wurden eingeführt, damit Online-Kunden eine Web-Site eindeutig identifizieren können. Entgegen einer ab und zu vorgebrachten Behauptung garantieren Extended Validation Zertifikate nicht, dass ein Online-Shop eine sichere Webseite hat oder dass der Kauf reibungslos abgewickelt wird. Aber Extended Validation Zertifikate bieten die Gewähr dafür, dass die Identität des Händlers in Übereinstimmung mit einer Reihe von Kriterien überprüft wurde, die das CA/Browser-Forum entwickelt hat. Diese Kriterien wurden entwickelt, um die Rechenschaftspflicht zu gewährleisten – in zivilrechtlicher oder gegebenenfalls auch strafrechtlicher Sicht.

Das Validierungsverfahren macht den Unterschied

Domain Validation (DV): Antragsteller wird nur anhand einer Mailadresse überprüft, zeigt lediglich an, dass die Website gesichert ist

-Organization Validation (OV): Überprüfung der Identität des Antragstellers über ein rechtsgültiges Dokument, Identität wird im Zertifikat angegeben

-Extended Validation (EV): Überprüfung der Identität des Antragstellers durch die Zertifizierungsstelle, Identität und Zertifizierungsstelle wird in „grüner Adressleiste“ angezeigt. Extended Validation SSL ist mehr als eine Verschlüsselungstechnik.

Extended Validation Zertifikate verwenden wie traditionelle digitale Zertifikate das seit Jahren bewährte SSL-Sicherheitsprotokoll. In einem Browser, der EV SSL unterstützt, sieht der Internetnutzer aber sehr deutlich an der „grünen Adressleiste“, dass eine sichere Verbindung zur Webseite besteht. Als weiteres wesentliches Merkmal von EV SSL wird die ausgebende Registrierungsstelle des Zertifikats prominent für den Benutzer angezeigt. Der Grund ist wieder die Rechenschaftspflicht. Sollte ein Zertifikatanbieter konsequent fahrlässig handeln, so wird die Marke beschädigt und die Verbraucher werden Websites, die diese Zertifikate nutzen, nicht mehr vertrauen und Unternehmen werden diese nicht mehr einsetzen.

Extended Validation Zertifikate haben eine große Wirkung auf das Nutzerverhalten. Es gibt eine Reihe von Beispielen, dass sich nach einem Wechsel auf EV SSL Zertifikate der Anteil der abgebrochenen Kaufvorgänge reduziert hat. Andere beobachteten eine Umsatzsteigerung im zweistelligen Prozentbereich. Unternehmen können anhand ihres Jahresumsatzes leicht abschätzen, ob sich der Aufpreis für ein EV SSL Zertifikat gegenüber niedrigeren Validierungsstandards wie Domain Validation (DV) und Organization Validation (OV) rechnet. Extended Validation ist teurer als ein das DV-Zertifikat, weil es genauere Prüfungen des beantragenden Unternehmens erfordert.

Dafür zeigt es dem Internetnutzer aber unmissverständlich, dass der Webseitenbetreiber einen hohen Sicherheitsstandard als Maßstab hat.

Die Zertifikate werden durch eine Reihe von Certificate Authorities (CA) wie zum Beispiel Comodo, Entrust oder VeriSign ausgestellt. Website-Besitzer können sie direkt bei diesen CAs erwerben. Das bietet sich an, wenn Unternehmen die Verwaltung und Installation der Zertifikate aus Sicherheitsgründen nicht außer Haus geben wollen und zudem das technische Know-how im Unternehmen haben. Für den Erwerb einzelner Zertifikate wenden sich Unternehmen besser an Anbieter von Sicherheitslösungen und Internetdiensten wie zum Beispiel Domain-Registrare, Web-Hosting-Provider und Reseller von Sicherheitsprodukten.

Diese berechnen in der Regel weniger pro Zertifikat und unterstützen das Unternehmen außerdem mit Beratung. Darüber hinaus bieten sie technische Service-Dienstleistungen wie Neuinstallation und Umzug von SSL-Zertifikaten auf Unternehmensserver. Auch bei Problemen helfen diese Anbieter weiter zum Beispiel bei der SSL-Fehlerbeseitigung in HTML-Seiten, Skripten und Programmen.

(Autor: Christian Heutger ist Geschäftsführer der PSW GROUP. Er besitzt mehr als 11 Jahre Erfahrung in der Branche für SSL-Zertifikate unter anderem seit seiner Zeit als Technical Consultant IT-Security bei der heutigen TÜV Rheinland help AG.  Sein Wissen über IT-Sicherheit vermittelt er auch heute noch weiter als Lehrbeauftragter für den DV-Bereich am Fachbereich Wirtschaft der Hochschule Fulda und im Rahmen seiner nebenberuflichen Tätigkeit als Informatiklehrer am Marianum Fulda.)