Spoofing und Phishing

– So schützen Sie sich vor Daten- und Identitätsdiebstahl!

Im Zeitalter der Digitalisierung, auch gekennzeichnet durch die zunehmende Verwendung wertvoller Identitätsdaten, gilt es mehr denn je, sich effektiv vor sich effektiv vor dem Diebstahl und dem Missbrauch von Identitätsdaten zu schützen. In dem Kontext fallen häufig Begriffe wie „Spoofing“ und „Phishing“ – aber kaum jemand weiß genau, worum es sich dabei handelt. Wir erklären Ihnen, was es damit auf sich hat und wie Sie der Gefahr aus dem Netz die Stirn bieten können.

Phishing – Der Diebstahl vertraulicher Informationen

Phishing sagt vielen erstmal nichts, dabei hatte fast jeder schon damit zu tun. Mit großer Wahrscheinlichkeit haben Sie einmal E-Mails mit einem solchen oder ähnlichen Betreff in Ihrem Postfach gefunden:

  • „Dringend“ von Ihrer Bank
  • „Konto gesperrt“ von PayPal
  • „Zugriff nicht möglich“ von Amazon

In der E-Mail selbst werden die teils alarmierenden Probleme mit Ihrem Account weiter ausgeführt und direkt ein Lösungsweg mitgeliefert: Einfach dem Link in der E-Mail folgen, online die Zugangsdaten eingeben, kurz verifizieren und damit sei das Problem dann vermeintlich vom Tisch.

Aber: Hier sollten Sie dringend zwei Mal hinschauen, denn sind die Zugangsdaten einmal eingegeben, sind sie futsch – und damit auch der Zugriff zu auf wertvolle und wichtige Daten.

Was ist passiert? Hacker haben eine Fake-E-Mail erstellt, die in Design und Wording sehr den Original-E-Mails des entsprechenden Dienstleisters oder Onlineshops ähnelt. Ebenso ist die Website zur Eingabe ihrer Daten täuschend echt gestaltet. Tatsächlich wurden sie lediglich angelegt, um zu verführen, Benutzername und Kennwort preiszugeben. Der panikstiftende Inhalt und Tonfall der E-Mail bringt viele Nutzer dazu, nicht lange nachzudenken und schnell zu reagieren – und schon haben die Hacker ihr Ziel erreicht.

Das ist ein Beispiel für Phishing und einem erfolgreichen Identitätsdiebstahl. Phisher haben es auf Zugangsdaten und weitere Informationen wie Kreditkartennummern, Benutzerinformationen und ähnliches abgesehen, um diese zu sammeln und zu veräußern, oder sie in betrügerischer Absicht zu nutzen.

Digitale vs. reale Welt

Es verwundert manches Mal, wie unterschiedlich Situationen in der digitalen und in der realen Welt gehandhabt werden. Nehmen wir mal an, es käme jemand auf Sie zu, vermeintlich ein Mitarbeiter Ihrer Bank, beschriebe ein Schreckensszenario und bäte Sie um die Bankkarte inkl. Pin-Nummer, um das vorgegebene Problem zu lösen.

Würden Sie die Karte und den Pin aushändigen?

Sehr wahrscheinlich nicht – aus gutem Grund. Durch den persönlichen Kontakt und die ungewöhnliche Bitte wird die Vertrauensfrage gestellt, das Bauchgefühl rebelliert. 

Spoofing – Die Vorgabe falscher Identitäten

Erfolgreiches Phishing führt wiederum zu einer anderen Problematik, nämlich der falschen Identifikation gegenüber Dritten, auch Spoofing genannt. Spoofing basiert auf der Annahme, dass der Kommunikationspartner vertrauenswürdig ist, weil Indizien darauf hindeuten, beispielweise passende Credentials (Benutzername und Kennwort). Eine bekannte Telefonnummer ruft an, die die Angaben zur Identifikation und des Anliegens klingen vertraut. Die Absenderadresse ist korrekt und vertrauenswürdig.

Spoofer haben es sich zur Aufgabe gemacht, diese Indizien zu fälschen, oder sogar zu kopieren und für eigene Zwecke zu missbrauchen. Ohne weitere Prüfung erhalten Spoofer unberechtigt Informationen und Zugriff auf sensible Daten.

Die bekannteste Masche ist der sogenannte CEO Fraud, das Vorgaukeln falscher Tatsachen. Mitarbeiter von Finanz- oder finanznahen Abteilungen erhalten plötzlich E-Mails im Namen von Angestellten des höheren Managements. Diese Nachrichten sollen zunächst eine Vertrauensbasis schaffen. Irgendwann erfolgt dann die Aufforderung, vermeintlich dringende Finanztransaktionen durchzuführen, die der falsche CEO zwar als ungewöhnlich deklariert – unter den Umständen seien sie aber notwendig. Unternehmen haben auf diese Weise im vergangenen Jahr bereits 5 Milliarden Euro verloren.

Maßnahmen für mehr Datensicherheit

Mit einfachen Methoden und durch Einsatz simpler Technologien lassen sich die Risiken, die von Phishing und Spoofing ausgehen, minimieren:

  • Als Nutzer von digitalen Diensten sollte man immer auf Authentifizierungsmöglichkeiten achten, die über Benutzername und Kennwort hinausgehen, denn solche Credentials können, wie wir gesehen haben, verloren gehen. Der Einsatz weiterer Sicherheitsmerkmale hilft ungemein – Stichwort Multifaktorauthentifizierung oder ZeroTrust.

  • Unternehmen können Anwender in deren Bestreben um maximale Sicherheit durch entsprechende Prüfmechanismen unterstützen. Ist die Absenderadresse korrekt und vertrauenswürdig?  Müssen sich Anwender mit mehr als Benutzername/Kennwort anmelden?  Auch eine Integration in Authentifizierungs- und Autorisierungsprozeduren von Drittanbietern, die bereits ein hohes Maß an Sicherheit etabliert haben, ist denkbar.

Fazit

Der Verlust von Identitäts- und Zugangsinformationen kann für die Betroffenen weitreichende Folgen haben. Jedem ist es selbst überlassen, wie man mit den eigenen Identitäts- und Kontodaten umgeht. Aufgrund der großen Bedeutung solcher kritischen Informationen ist es allerdings ratsam, diese wie seinen sprichwörtlichen Augapfel zu hüten. Fragwürdige Anfragen sind abzulehnen oder zumindest zu hinterfragen. Credentials sollten nie ohne Anlass aufgrund einer überraschende Anfrage preisgegeben werden. Unternehmen sollten Anwender und Kunden zudem besser unterstützen – durch den Einsatz einfacher, aber effektiver Technologien, die Spoofing oder Identitätsmaskierung unterbinden.

Wir bei der TIMETOACT haben es uns zur Aufgabe gemacht, Anwender und Unternehmen zu unterstützen und so die maximale Sicherheitsstufe zu etablieren. Mehr Informationen finden sie hier.

Autor

Dirk Wahlefeld
Principal Consultant / Business AnalystTIMETOACT Software & Consulting GmbHKontakt