Vorsicht vor Datendieben
Datendiebstahl und der Handel mit vertraulichen Daten häufen sich heutzutage und werden zum einträglichen Geschäft. Das Bewusstsein für die Gefährdung ist bei vielen Nutzern aber noch schwach ausgeprägt.
Soziale Netzwerke wie Facebook, Bebo und LinkedIn werden sich auch im Jahr 2009 diversen Phishing-Attacken ausgesetzt sehen, mit denen Kriminelle private Daten zu Mitgliedern und deren Verhalten auskundschaften wollen. Davor warnt der Sicherheitsdienstleister MessageLabs in seiner aktuellen Aussendung.
Sonntag Abend in "matrix"
Mehr zum Thema Datendiebstahl hören Sie im Ö1-Magazin "matrix" am Sonntag, den 30.11.2008 ab 22.30 Uhr.
Die Schattenwirtschaft des Internets werde in Zukunft aber noch größere Professionalität an den Tag legen, um sich fundierte Daten für gezielte und persönliche Spam-Kampagnen zu verschaffen. Es sei davon auszugehen, so MessageLabs, dass Spam-Mails im Jahr 2009 ihre Adressaten zunehmend mit deren richtigen Namen ansprechen werden und Spam-Verteiler gezielt auf ausgewählte Zielgruppen ausgerichtet sind.
Ein 276-Millionen-Dollar-Markt
Der Handel mit Daten, so berichtete Candid Wüest, Threat Researcher bei der Software-Firma Symantec in Zürich ebenfalls diese Woche, sei zu einem Riesengeschäft geworden. Die Schattenwirtschaft des Datenhandels habe innerhalb eines Jahres Waren und Services im Gesamtwert von 276 Millionen US-Dollar angeboten, heißt es im "Underground Economy Report" von Symantec.
Am häufigsten wurden Kreditkarteninformationen und Kontonummern bzw. -zugangsdaten in einschlägigen Chats und Foren offeriert. Der potenzielle Schadenswert aller gesichteten Daten beträgt rund sieben Milliarden Dollar.
Studie: Schattenwirtschaft im Internet blüht
Gestohlene Kreditkartennummern, Bankkontodaten, Sozialversicherungsnummern und andere personenbezogene Daten sind dabei einerseits begehrte Handelsware, die sich direkt zu Geld machen lässt, andererseits Grundlage für neue Betrügereien und Phishing-Attacken. Da die Datendiebe laufend ihre Nicknames und Server wechseln, sind sie schwer zu schnappen. Umso wichtiger wird es deshalb, das Geschäft mit den Daten an der Wurzel zu stoppen, nämlich bei der leichten Verfügbarkeit von Daten.
Peinliche Datenpannen
Die Meldungen den vergangenen Monate haben jedoch gezeigt, dass das Bewusstsein für die Datensicherheit und den Datenschutz zu diversen Behörden und Institutionen offenbar noch nicht durchgedrungen ist. Da wurden CDs und USB-Sticks mit Namen, Kontonummer, Namen von Angehörigen, Sozialversicherungsnummern, Krankheiten, konsultierten Ärzten von Millionen Bürgern auf dem Postweg oder auf dem Parkplatz "verloren", wurden Daten bei externen Dienstleistern "unvorteilhaft verlegt", Notebooks in Autos gelagert, in die dann leider eingebrochen wurde, und vieles mehr. Besonders hervorgetan hat sich dabei Großbritannien, doch auch in Österreich, Deutschland und den USA kommt derlei vor - und was an die Öffentlichkeit dringt, ist vermutlich nur die Spitze des Eisbergs.
Leichtfertiger Umgang mit Passwörtern
Mittlerweile wüssten die meisten Computernutzer zwar, dass man sein Passwort nicht auf den Monitor kleben sollte, sagt Stefan Schumacher aus Magdeburg, der mit seiner Firma Kaishakunin IT-Sicherheitsberatung anbietet. In vielen Firmen sei es aber immer noch üblich, dass viele Nutzer ein gemeinsames Passwort hätten und man dann auch nicht mehr nachvollziehen könne, wer was auf dem Rechner getan hat. Bei der Bundeswehr, erinnert er sich, habe man für den Laptop der Kompanieführung aus Sicherheitsgründen jeden Monat das Passwort erneuern müssen. Das hieß dann aber "hauptmann1", "hauptmann2", "hauptmann3" bis "hauptmann12", und dann wieder von vorne.
Oft würden die Mitarbeiter meinen, dass es ja kein Problem sei, wenn ihr Passwort leicht herauszufinden ist oder der Rechner gar eingeschaltet bleibt, wenn sie aus dem Büro gehen, so Schumacher. Meist seien sie der Meinung, dass auf ihrem Rechner keine heiklen Daten zu finden seien. "Sie bedenken dabei aber nicht, dass jemand, der in ihren Rechner reinkommt, ganz einfach auf das gesamte Firmennetzwerk zugreifen kann."
"Social Engineering" nutzt Schwachstelle Mensch
Fehlendes Sicherheitsbewusstsein erlebt auch Sharon Conheady immer wieder, die im Auftrag der Consultingfirma Ernst & Young Social Engineering bei Banken und Finanzinstitutionen betreibt, um deren Sicherheitskontrollen zu testen. Oft muss sie es bloß schaffen, ins Gebäude hineinzukommen, um an Daten zu gelangen: "Ich war kürzlich bei einer Versicherung und habe dort endlose Listen mit Versicherungsnummern, Namen und Adressen von Kunden gesehen. Die Liste lag im Eingangsfach eines Mitarbeiters, der gerade nicht da war. Ich habe mich an seinen Tisch gesetzt, meinen Laptop angesteckt, mich umgeschaut und die Liste entdeckt."
Beim Social Engineering werden vor allem die menschlichen Schwachstellen der Sicherheitskontrollen ausgenützt, etwa dass es Mitarbeitern peinlich wäre zu fragen, was diese wildfremde Person am Schreibtisch eines Kollegen macht. Oft gehe sie einfach hinter jemand anderem am Portier vorbei, ohne registriert zu werden, oder gelange durch einen offenen Hintereingang, den Raucher für eine Zigarettenpause im Freien nützen, in ein an sich abgesichertes Firmengebäude, so Conheady.
Zugang leicht zu verschaffen
Sehr wirkungsvoll sei auch, sich als Leiharbeiterin, Servicemitarbeiterin einer Druckerfirma oder Jobbewerberin auszugeben, um unbehelligt in einer Firma herumspazieren und herumschnüffeln zu können. Bisher sei es ihr immer gelungen, zumindest in ein Gebäude hineinzugehen, meist konnte sie dann auch noch irgendwelche Dokumente mitgehen lassen, ihren Laptop ans Firmennetzwerk anstecken und Daten absaugen oder einen Keylogger installieren.
Das große Problem beim "echten" Datendiebstahl ist: Sind Daten einmal "draußen", können sie endlos kopiert und weitergegeben werden, und die Betroffenen Personen wissen nicht einmal, dass ihre Daten in falsche Hände geraten sind. Die Konsequenzen eines Datenmissbrauchs haben sie trotzdem zu tragen.
(matrix/Sonja Bettel)