Phishing Denn sie wissen, was sie tun

E-Mails dienen immer häufiger nur einem Zweck: dem Ausspähen sicherheitsrelevanter Passwörter. Mirko Manske, Hauptkommissar beim BKA, erklärt bei manager-magazin.de, welche Risiken im Internet lauern und wie Sie sich davor schützen können.

Hamburg - Die E-Mail ist eindeutig. "Aufgrund technischer Erfordernisse bitten wir Sie, uns noch einmal Ihre Zugangsdaten für Ihr Onlinekonto zu senden". Bei derartigen Meldungen im E-Mail-Postkasten sollten sofort die Alarmglocken schrillen. Keine Bank fragt per E-Mail die Passwörter ab. Und dennoch, gutgläubige Internetnutzer sollen schon auf derartige Aufforderungen geantwortet haben.

"Phishing oder das Passwort-abfischen wird man nicht völlig ausrotten können, das ist ähnlich wie bei der Rauschgiftkriminalität", sagt Mirko Manske, Kriminalhauptkommissar in der Abteilung Schwere und Organisierte Kriminalität (SO) beim Bundeskriminalamt (BKA). Der Beamte ist von Wiesbaden nach Hamburg gereist, um vor dem Hightech-Presseclubs zu erklären, wie es um die Internetkriminalität bestellt ist. Sein Arbeitsschwerpunkt: Phishing.

Circa 3500 Delikte sind im vergangenen Jahr in Deutschland in diesem Bereich gemeldet worden. Die alte Methode, E-Mails an vermeintliche Bankkunden zu schicken und nach den Passwörtern zu fragen, beobachte das BKA mittlerweile nur noch selten, berichtet er. Dennoch soll das keine Entwarnung sein, vielmehr sind die Methoden perfider geworden, professioneller die Attacken.

Trojaner suchen Passwörter

Das "neue" Phishing arbeitet mit Hilfe trojanischer Pferde. Eines der Hauptprobleme ist, dass die Nutzer von Computern teils gar nicht merken, dass sie ein Schadprogramm auf dem PC haben. Zwar setzen inzwischen rund 90 Prozent der Privatnutzer nach einer Erhebung des Bundesamts für Sicherheit in der Informationstechnik (BSI) Virenscanner ein.

Andererseits bestehe aber auch eine Tendenz, die Lösung der Probleme vor allem an Internetanbieter und die Hersteller von IT-Sicherheitslösungen delegieren zu wollen, stellte die Behörde in ihrem jüngsten Bericht zur IT-Sicherheit in Deutschland vor. So werden selbst grundlegende Warnhinweise häufig nicht berücksichtigt. Dem Einzug von Computerviren und Trojanern steht dann kaum noch etwas im Wege.

Die Folgen können gravierend sein. Trojaner können sich zum Beispiel beim Onlinebanking zwischen die Kommunikation mit der Bank schalten, ohne dass es der Nutzer merkt. Sie sind fähig, verschlüsselte Daten zu erkennen, sie an sogenannte Dropzones weiterzuschicken - Server auf denen die abgefischten Daten abgelegt werden - und schließlich eine verfälschte Nachricht sowohl an die Bank, als auch an den User zu senden.

Virengruß vom Konkurrenten

"Kyrill" lässt grüßen

So landet schon mal ein weitaus höherer Geldbetrag auf dem Konto einer völlig fremden Person, während dem Nutzer vorgegaukelt wird, dass alles nach Plan verlaufe. "Wenn ein derartiges Programm mit 'Man-in-the-Middle'-Funktionalitäten auf dem PC tätig ist, hat man so gut wie keine Chance, den Betrug zu bemerken", warnt Manske.

Schadprogramme stecken in der Regel in E-Mails und werden aktiv, sobald der Anhang geöffnet wird. Die Trojaner können aber auch über Downloadportale für Musik oder Filme, genauso wie über Chatplattformen verbreitet werden. Betreffen kann es jeden.

Es ist zum Beispiel noch gar nicht lange her, da warnte das BKA zum zweiten Mal vor gefälschten E-Mails, die unter dem Absender der Bundesbehörde verschickt wurden. Im Betreff stand "Onlinedurchsuchung", "Aktenzeichen" oder auch "Bericht". Wer den Anhang anklickte, machte Tür und Tor für einen Virus auf. Auch der Internethändler Amazon oder der Hersteller von Sicherheitssoftware Avira meldeten ähnliche Fälle. Unter der Adresse des IT-Hauses wurden Rechnungen für ein angeblich bestelltes Softwareupdate verschickt. Im Anhang befand sich jedoch ein Schädling.

Virenattacke vom Konkurrenten

Besonders beliebt, um Trojaner und Viren zu verbreiten, sind auch sogenannte Social-Engineering-Techniken, berichtet der Antivirenexperten Trend Micro. Dabei versprechen E-Mails im Betreff Informationen zum aktuellen Tagesgeschehen. Eines der ersten Viren, das in diesem Jahr über diesen Weg verbreitet wurde, versprach über den Sturm "Kyrill" zu berichten - und das zu einem Zeitpunkt als das Unwetter am schlimmsten wütete.

Nicht nur Privatpersonen sind Opfer von Viren-, Trojanern - und Phishing-Attacken, auch Firmen sind Ziel von Angriffen, sagt Manske. So sei das BKA bei Ermittlungen zufällig auf den Fall einer deutschen Speditionsfirma gestoßen. Als die Beamten das Unternehmen kontaktierten, hieß es jedoch, die Firma habe kein Problem.

Später stellte sich heraus, dass die Spedition gezielt von einem ausländischen Konkurrenten mit einem Trojaner attackiert worden war. Der Rivale hatte sich per Schädling Einblick in Kunden- und Geschäftsdaten verschafft und dann Kunden abgeworben.

Ziel dieses Angriffs war es, das Unternehmen zunächst zu schwächen, um es dann zu übernehmen, so der Beamte. Manche Firma könnte sogar in die Insolvenz rutschen, ohne dass die tatsächliche Ursache jemals herausgefunden wird.

Dabei können die Interneteinbrüche auch anders gelagert sein. Wird beispielsweise eine Spedition ausspioniert, ist es angesichts modernster Techniken wie GPS und RFID möglich, herauszufinden, wo sich ein bestimmter Lkw befindet, der hochwertige Luxusgüter transportiert. Solche Daten sind bei Kriminellen heiß begehrt.

Banken legen Hürden höher

Banken rüsten stetig auf

An die entsprechenden Schadprogramme heranzukommen beziehungsweise jemanden zu finden, der eines schreibt, sei für Insider kein wirkliches Problem. Einschlägige Anbieter seien über das Internet zu finden, befänden sich aber meist im Ausland. Machten derartige kriminelle Vorgehensweisen Schule, dann sei die Gesamtwirtschaft bedroht, warnt Manske.

Besonders mittelständische Unternehmen sind sich der Gefahr, in der sie sich befinden, wenn sie leichtfertig mit dem Computer und Internet umgingen, oft gar nicht bewusst. Noch vor einem Jahr bezeichnete Bundesinnenminister Wolfgang Schäuble die Sicherheitslage als "durchaus prekär".

Und auch jetzt auf dem kürzlich abgehaltenen IT-Sicherheitskongress in Bonn betonte er wieder: Angriffe von Computerviren, Trojanern und Spionagesoftware könnten in der zunehmend elektronisch vernetzten Gesellschaft in ihrer Wirkung "bis zum Stillstand des gesamten gesellschaftlichen Lebens reichen". Auch die aktuellste Kriminalitätsstatistik beruhigt kaum. Eindeutiger Trend: Die Internetkriminalität nimmt weiter zu  - im Allgemeinen und im Besonderen beim Phänomen Phishing.

In seiner jüngsten Umfrage stellte das BSI zudem fest, dass IT-Verantwortliche in der Wirtschaft das Thema IT-Sicherheit im vergangenen Jahr zwar als absolut vorrangig ansähen, die Budgets aber eine andere Sprache sprächen: Nur knapp ein Fünftel der befragten Unternehmen investierte demnach mehr als 7,5 Prozent des gesamten IT-Budgets in die IT-Sicherheit.

Ohne Zusammenarbeit keine Aufklärung

Sind auf der einen Seite technische Mängel zu beobachten, berichtet Manske auch davon, dass sich die Zusammenarbeit mit den Unternehmen oft als schwierig gestaltet. Die Firmen haben meist kein Interesse, dass etwas über einen virtuellen Einbruch bekannt wird. Nicht von ungefähr wirbt BKA-Chef Jörg Ziercke deshalb für Allianzen der Sicherheitsbehörden mit der Wirtschaft.

Anders verhält sich die Zusammenarbeit mit den Banken. Die Geldinstitute hätten ein Interesse daran, dass ihre Onlinebankingangebote weiterhin genutzt werden, meint Manske. So arbeiteten die Banken gut mit den Ermittlungsbehörden zusammen und gingen auch an die Öffentlichkeit, um ihre Kunden zu warnen.

Zudem entwickeln die Geldhäuser ihre Sicherheitssysteme immer weiter. So wurde zum Beispiel das iTan-Verfahren eingeführt, bei dem persönliche Codenummern, die dem Nutzer zugeordnet sind, in einer von der Bank festgelegten Reihenfolge abgefragt werden. Das System verspricht zwar keinen absoluten Schutz, immerhin legt es aber die Hürden höher.

Fahndung nach den Urhebern

Wo ist der Urheber?

Bisher kamen viele der Pishing-Opfer hierzulande mit einem blauen Auge davon. Der Schaden liegt in Deutschland im Durchschnitt pro Fall bei rund 2000 bis 3000 Euro. In den USA beziffern Experten den Gesamtschaden, der allein durch Phishing im Jahr 2006 entstand, auf 2,5 Milliarden Dollar.

Noch zeigen sich die Geldinstitute hierzulande eher kulant. Mittlerweile ändern die Unternehmen aber auch ihre Geschäftsbedingungen. Voraussetzung dafür, dass die Bank dann noch für etwaige Schäden in die Bresche springt, ist, dass die Kunden neueste Schutzeinrichtungen gegen PC-Eindringlinge installiert haben müssen.

Bei der Suche nach den Urhebern oder Auftraggebern der Trojaner und Viren stoßen die BKA-Beamten zum Teil an ihre Grenzen. Vor allem Bot-Netze - Netzwerke fremdgesteuerter Computer - machen den Ermittlern zu schaffen, die den Weg zur Ausgangsquelle verschleiern. Aber auch der Einsatz von sogenannten Finanzagenten kann die Untersuchungen schnell enden lassen.

Der Geldwäscher, der Finanzagent

Letztere sind Personen, die gezielt angeworben werden, um über eine Bargeldtransferfirma wie etwa Western Union oder Moneygram International, einen bestimmten Geldbetrag an einen anonymen Empfänger in Osteuropa zu überweisen. Das Geld erhalten die Agenten zuvor auf ihr Konto, es kann von Phishing-Opfern oder anderen Betrugsfällen stammen.

Spätestens wenn es darum geht, die Spur ins Ausland zu verfolgen, fangen die Schwierigkeiten an. Rechtshilfegesuche dauern oft zu lange, um die kurzlebigen Spuren im Internet nachzuvollziehen. Belangt werden kann dann nur noch der Finanzagent in Deutschland, der mit einer Klage wegen Geldwäsche rechnen muss.

Die Problematik könnte sich noch verschärfen. Manske befürchtet, dass demnächst Direktüberweisungen ins europäische Ausland deutlich einfacher werden. Der Grund: Ab kommendem Jahr soll nach dem Willen der EU damit begonnen werden, den grenzüberschreitenden Überweisungsverkehr zu vereinfachen und zu vereinheitlichen.

Kein Mittel gegen Bot-Netze?

Kein Mittel gegen Bot-Netze?

Generell stellen jedoch die Bot-Netze die Ermittlungsbehörden vor eine große Herausforderung. "Ich glaube, wir stehen bei den Entwicklungen im Bereich der Bot-Netze gerade erst am Anfang", meint der Kriminalhauptkommissar. Die Netzwerke werden bislang vor allem dazu genutzt, haufenweise Spammails zu verschicken oder bestimmte Webseiten zu attackieren.

Über 160.000 PCs können zu einem derartigen Netz gehören. Und die Zahl der fremdgesteuerten Rechner nimmt ständig zu. Laut dem Antivirenunternehmen Symantec wuchs die Zahl der ferngelenkten Rechner in der zweiten Jahreshälfte 2006 weltweit auf mehr als sechs Millionen PCs. Europaweit sind Deutschland und Frankreich die Hochburgen der Bot-Netze.

Den Hauptserver ausfindig zu machen - Manske spricht vom "Masterserver" -, der die infizierten Computer mit Informationen und Updates versorgt und die abgegriffenen persönlichen Informationen entgegennimmt, ist für das BKA teilweise sehr schwierig. Oft stehen diese Server in Osteuropa oder in Asien - weit weg vom Zugriff der deutschen Behörden.

Umstrittener "Bundestrojaner"

Ob heimliche Onlinedurchsuchungen - wie sie die Politik, aber auch BKA-Chef Ziercke fordert - dabei wirklich helfen? Manske hält sich während seines Vortrags zu diesem Thema lieber zurück. Doch es gibt durchaus Experten, die den Erfolg bezweifeln. Nicht nur, dass Datenschützer vor einem Kollateralschaden warnen, rechtliche Probleme bisher nicht geklärt sind, und dass eine ganze Riege von Hackern darauf warten dürfte, etwaige Schnüffelprogramme der Ermittler zu knacken. Allein, dass die Bot-Netze global arbeiten, dürfte gehörige Schwierigkeiten verursachen.

Wie soll man sich also schützen? Manske rät vor allem zu mehr Aufmerksamkeit, wenn man sich im Internet bewegt. Natürlich sollte jeder Internet-PC mit entsprechenden aktuellen Sicherheitsprogrammen sinnvoll ausgestattet sein, sagt er. Allerdings seien viele Trojaner schon so weit ausgerüstet, dass sie, sobald ein Nutzer ein neues Antivirenprogramm installiert, ebenfalls mit einem Update versorgt werden. Das Schadprogramm bleibt dann weiterhin unauffindbar.

Er könne nur hoffen, dass Privatpersonen, Unternehmen, Behören und Organisationen hochsensible Daten und IT-Abläufe vor Angriffen von außen absolut abschotten, sagt der Kriminalbeamte. Privat hat sich Manske einen alten Computer angeschafft, den er nur zum Onlinebanking nutzt. "Für alles andere wie E-Mails schreiben oder einfach nur im Netz surfen steht ein zweiter PC zur Verfügung."