Kampf den ungleichen Zwillingen

Feature | 15. November 2004 von admin 0

Spam bedeutet nicht nur eine erhebliche Belästigung für IT-Anwender, sondern auch eine Belastung für Unternehmen und ihre Netzwerke. Werbemails in Verbindung mit Spoofing, bekannt auch als Phishing, können zu schwerwiegendem Daten- und Geldverlust führen. Die Verwendung von E-Mails als Köder für Passwörter und Finanzdaten im Meer der Internetanwender führte zu dem Wort “Phishing” als Analogie zu “Fishing” (Fischen). Bei dieser relativ neuen Form des Online-Betrugs werden gefälschte Websites verwendet, deren Ähnlichkeit mit etablierten, echten Adressen die Opfer veranlasst, vertrauliche finanzielle oder persönliche Informationen preiszugeben.
Von November 2003 bis Mai 2004 stieg die Anzahl der Phishing-Attacken um 4.000 Prozent. In den vergangenen acht Monaten haben sich Phishing-Attacken von gelegentlichen Störungen zu einer weltweiten Epidemie entwickelt, die gleichermaßen den Ruf von traditionellen Unternehmen und von Online-Anbieten schädigt. Gleichzeitig zerstören die Attacken das Vertrauen der Anwender in Internet und E-Commerce. Laut Teney Takahashi, einem Analysten der Radicati Group, wird die Anzahl originärer Phishing-Attacken weltweit weiterhin im Rekordtempo steigen – von 51 im Jahre 2004 auf 110 in 2005. Ohne geeignete Gegenmaßnahmen, so Takahashi, wird diese Zahl am Ende des Jahres 2008 auf 404 angewachsen sein.

Hauptziel Banken

In den vergangenen acht Monaten wurde eine starke Verlagerung der Phishing-Aktivitäten vom US-amerikanischen auf den internationalen Markt beobachtet. 70 Prozent der Phisher starten ihre Angriffe von Osteuropa und Südostasien aus. Banken sind mit 68 Prozent das Hauptziel, gefolgt von Kreditkartenunternehmen mit 17 Prozent, dem E-Commerce mit zwölf Prozent und anderen Organisationen wie Regierungen oder Internet Service Providern (ISPs) mit insgesamt drei Prozent. Unternehmen aus den Bereichen Finanzwesen und E-Commerce tragen somit die Hauptlast der Angriffe – rund 51 Mal pro Tag müssen sie sich gegen Phishing-Attacken zur Wehr setzen.
Eine aktuelle von TRUSTe in Auftrag gegebene Studie beziffert die Verluste aufgrund von Phishing in den USA mit 500 Millionen US$. 64 Prozent der Befragten sind nicht bereit zu akzeptieren, wenn Organisationen oder Unternehmen keine Abwehrmaßnahmen gegen diese Form des Betrugs ergreifen. 96 Prozent forderten neue Technologien zur Authentifizierung von E-Mail und Online-Sites. “Verbraucher sollten bei der Weitergabe sensibler Informationen immer vorsichtig sein, wenn sie die Online-Transaktion nicht selbst ausgelöst haben”, warnt Fran Maier, Geschäftsführerin von TRUSTe. “Diese einfache Verbraucherschutzmaßnahme muss durch eine breit angelegte Aufklärungskampagne verbreitet werden.”
Laut Maier sind Verbraucher nach ersten unangenehmen Erfahrungen mit Phishing gegenüber E-Mails und Websites bereits misstrauischer geworden. Sie verlangen nach Maßnahmen zur Beseitigung des Problems. Ferner steht in der Studie zu lesen, dass drei Viertel aller vernetzten Amerikaner einen Anstieg der Phishing-Versuche während der vergangenen Monate verzeichneten. Ein Drittel der Befragten gab sogar an, ein Mal pro Woche E-Mails mit betrügerischem Inhalt zu erhalten.
Gartner wiederum nennt mehrere verschiedene Arten von Online-Betrug, so etwa das Sammeln von Kreditkartennummern mittels Phishing, das Eröffnen neuer Kreditkarten- oder Girokonten mit Hilfe gestohlener Identitäten oder das Fälschen von Schecks und Überweisungen von Girokonten. Betrüger kombinieren Beobachtungen von Gartner zufolge zunehmend Online- und Offline-Techniken, um ihre Ziele zu erreichen. “Zum Beispiel phishen sie nach den IDs und Passwörtern von Online-Banking-Nutzern, loggen sich in die Bankkonten ein und entnehmen den dort hinterlegten Scheckformularen die Schecknummern und Unterschriften, die sich dann für Scheck-Betrügereien verwenden lassen”, erklärt Avivah Litan, Analyst bei Gartner.

Maßnahmen gegen Spam

Spam Filter Software Review berichtet, Unternehmen in den USA hätten im Jahr 2002 durch Werbemails einen Schaden in Höhe von neun Milliarden Dollar erlitten. Für das Jahr 2003 wurden 40 Prozent aller im Internet zirkulierenden E-Mails als Spam klassifiziert. Etwa 2.200 Spam-E-Mails fand der durchschnittliche Anwender in seinem Postkasten. Wegen einer Patentstreitigkeit unter ihren Mitgliedern gab es bei der Internet Engineering Task Force (IETF) keine Einigung über einen Vorschlag von Microsoft zur Bekämpfung von Spam mit Hilfe von Absender-IDs. Die IETF erarbeitet Internetstandards auf Konsensbasis – und löste eine entsprechende Arbeitsgruppe auf, nachdem nicht absehbar war, dass die Beteiligten zu einer Einigung kommen würden. Nach Aussage einiger Experten bestand Microsoft auf einer Lizenz für ihren Teil des Absender-ID-Programms. Da neue Internet-Protokolle für die Öffentlichkeit jedoch frei verfügbar sein sollen, hätte dies künftig Probleme nach sich gezogen. Das Absender-ID-Verfahren beruhte auf der Idee, dass Internetdienstleister eine Liste der eindeutigen numerischen Adressen ihrer Mail-Server hinterlegen. Die Empfänger-Software fragt zur Verifikation in einer Datenbank ab, ob eine Nachricht tatsächlich von einem dieser Server verarbeitet wurde.
Schon im November will die IETF eine neue Arbeitsgruppe bilden, die Standards für die digitale Unterschrift bei E-Mails erarbeitet. Diese Anti-Spam-Maßnahme wird von Yahoo favorisiert. Produkte wie von McAfee oder Silverpop sollen ungewollten E-Mailverkehr aufdecken und Schutz davor bieten. WebShield und die SpamKiller-Produkte von McAfee etwa bieten Programme für den Virenschutz, gegen das Scannen von Inhalten, gegen Phishing- und Spam-Schutz am Internet-Gateway. Die Software-Werkzeuge von Silverpop wiederum helfen das CAN-SPAM-Gesetz einzuhalten, etwa durch Audits, die es nicht zulassen, dass E-Mails ohne Adressen und Opt-out Links versendet werden. Das SafeSender-Feature stellt automatisiert sicher, dass dieses Gesetz bei allen E-Mails beachtet wird, die von einem Unternehmen gesendet werden. Doch einer aktuellen Umfrage zufolge hat rund die Hälfte der “Fortune 1000”-Unternehmen noch keine umfassenden internen Vorschriften zur Einhaltung von CAN-SPAM erlassen, erklärt Silverpop.
Das 2003 in den USA verabschiedete CAN-SPAM-Gesetz ist seit dem 1. Januar 2004 in Kraft. Es gebietet, dass jede ohne Aufforderung versendete kommerzielle E-Mail sowohl eine gültige Postanschrift als auch eine korrekte Senderadresse und Betreff-Zeile enthält. Doch das Gesetz findet derzeit nicht die erhoffte Beachtung, weniger als fünf Prozent aller betreffenden E-Mails in den vergangenen sechs Monaten erfüllen die Kriterien. Immerhin konnten jedoch bislang bereits einige Versender von Massen-E-Mails wegen Verstoßes gegen dieses Gesetz strafrechtlich verfolgt werden. Da sich aber nach wie vor nur wenige an das Gesetz halten, sind E-Mail-Empfänger gut beraten, sich verschiedener Werkzeuge zur Blockierung von Spam, darunter auch kommerzielle Filteranwendungen und -geräte, zu bedienen.

Wie schützen sich Unternehmen gegen Spam und Phishing?

Bei einem internationalen Treffen zur Strafverfolgung von Spam, das unlängst in London abgehalten wurde, bezeichnete John Vickers, Vorsitzender des UK Office of Fair Trading, Spam nicht nur einfach als störend oder aufdringlich. “Spam stört den geregelten E-Commerce und dient häufig Betrügereien und Computerviren als Vehikel. Zur Bekämpfung dieser Internetbetrüger oder Straftäter müssen auf internationaler Ebene Polizeibehörden, die Computer- und Kommunikationsindustrie und aufgeklärte Verbraucher zusammenwirken.”
Schon jetzt ergreifen viele Unternehmen eigene Maßnahmen zum Schutz gegen die ungleichen Zwillinge Spam und Pishing, von Gerichtsverfahren bis zu umfangreichen internen Regelungen. Beispielsweise haben die USBank, die Wells Fargo Bank, eBay, PayPal und die Citibank Anti-Phishing-Programme initiiert, die die Verbraucher über Phishing aufklären und/oder in bestimmten Bereichen der Firmen-Websites Kunden dabei helfen, sich vor den Betrügereien zu schützen. Microsoft und Amazon.com wiederum haben unlängst mehrere Klagen gegen Phisher und Spammer eingereicht, die nach Meinung der beiden Unternehmen deren Websites und Domain-Namen zu betrügerischen Zwecken verwendet hatten.
Nach Ansicht von Gregg Mastoras, Sicherheits-Analyst bei Sophos, geben speziell die Phishing-Attacken Anlass zur Sorge, dass das Internet aufgrund solcher kriminellen Aktivitäten kein sicherer Ort für Geschäfte sei. Mastoras: “Daher senden Unternehmen wie Amazon, deren gesamtes Geschäftsmodell auf dem Internet basiert, zwei Signale aus. Eines davon richtet sich an die Verbraucher, denen klargemacht werden soll, dass Geschäfte via Amazon sicher sind, da das Unternehmen entsprechende Sicherheitsvorkehrungen getroffen hat. Das andere Signal geht an die Adresse der Phisher: Ihr werdet rechtlich belangt, wenn ihr dieses Unternehmen angreift.” Derartige Maßnahmen von Seiten der Unternehmen selbst sind Mastoras Meinung nach ein wichtiger Bestandteil im Kampf gegen Phishing.

Anwender vor Kriminellen schützen

Der zweite wichtige Bestanteil ist eine bessere Gesetzgebung. Mastoras betont in diesem Zusammenhang, dass das US-Repräsentantenhaus gerade erst einstimmig ein Anti-Spyware-Gesetz verabschiedet hat, das Anwender vor Kriminellen schützen soll, die Informationen ausspionieren und stehlen wollen. Mit dem Internet Spyware Prevention Act stehen dem US-Justizministerium für die kommenden vier Jahre vierzig Millionen US-Dollar für die Verfolgung von Spyware und Phishing zur Verfügung. Der Etat soll unter anderem auch der Abschreckung dienen. “Der dritte Bestandteil ist die Technologie, die wirksam verbreitet und eingesetzt werden muss. Und schließlich ist auch die Aufklärung der Anwender von entscheidender Bedeutung”, schließt Mastoras.
In Großbritannien äußerte sich IT-Minister Mike O‘Brien auf einer Konferenz der Labour-Partei im Oktober zum Thema Phishing. O‘Brien erklärte, die britische Regierung sei sehr darauf bedacht, mit der Industrie, Anwendern und Schlüsselgruppen zusammen zu arbeiten, um Wege zur Lösung des Problems zu finden. “Unsere Arbeit kann effektiver werden”, so O‘Brien. “Wir überdenken, die Befugnisse unserer Kommission zu erweitern, insbesondere hinsichtlich der Ermittlungen und strafrechtlichen Verfolgung.” O‘Brien nannte die Vereinbarung über eine internationale Zusammenarbeit zwischen den USA, Großbritannien und Australien, das die parlamentarische Antispam-Gruppe im September präsentiert hatte, einen ersten positiven Schritt zu einer Zusammenarbeit.
Darüber hinaus trafen sich die stellvertretende Premierministerin von Kanada, Anne McLellan, und der amerikanische Bundesstaatsanwalt, John Ashcroft, am 22. Oktober auf einem Forum zur Entwicklung gemeinsamer Lösungen gegen grenzüberschreitende Verbrechen. Als Resultat wurde eine gemeinsame Einschätzung der Bedrohung durch Identitätsdiebstahl sowie ein Ratgeber zu Phishing veröffentlicht. Im weiteren Verlauf wollen die beiden Länder zusammenarbeiten, um die Öffentlichkeit verstärkt über die Gefahren durch Spam und Pishing aufzuklären, und die Zusammenarbeit ihrer Polizeibehörden verbessern.
Laut Dave Jevans, dem Vorsitzenden der Anti-Phishing-Arbeitsgruppe, haben auch verschiedene europäische Länder Anti-Spam-Gesetze verabschiedet. Die OECD veranstaltet darüber hinaus Konferenzen, auf denen Anti-Spam-Strategien erörtert werden. Jevans: “Meines Wissens nach gibt es in Europa keine speziellen Anti-Phishing-Gesetze. Normalerweise ist Phishing ein Verbrechen, das sich auf der Basis der Gesetzgebung für Identitätsdiebstahl, Bankbetrug, Kreditkartenbetrug oder Geldwäsche strafrechtlich verfolgen lässt.” Jevans betont, dass in Großbritannien die nationale Einheit zur Bekämpfung von Hightech-Verbrechen sehr erfolgreich arbeitet und auch eine Reihe von Phishing-Gangs verhaftet hat. Die Einheit kooperiert auch mit Behörden in anderen Ländern, etwa Russland, von denen sie spezielle Visa erhalten, um kurzfristig in das Land einreisen und Verhaftungen vornehmen zu können. Alles in allem sind also auch Justiz und Behörden im Kampf gegen Spam und Pishing nicht untätig.

Barbara Gengler

Tags:

Leave a Reply