DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Bei­trags­reihe Sichere Iden­ti­täten — Teil 1

Sichere Iden­tität als Schlüs­sel­element für Ver­trauen im Netz

Ver­trauen ist die Grundlage für ver­läss­liche Bezie­hungen und Geschäfts­pro­zesse im digi­talen Zeit­alter. Es ist nur dann vor­handen, wenn Men­schen und Maschinen über Sichere Iden­ti­täten ver­fügen. Diese sorgen für die Gewissheit, dass ein Mensch auch wirklich der­jenige ist, für den er sich ausgibt, oder dass ein Gerät oder ein Produkt tat­sächlich echt und ver­trau­ens­würdig ist. Doch werden die Bedeutung digi­taler Iden­ti­täten häufig unter­schätzt und Methoden zum Iden­ti­täts­dieb­stahl und Iden­ti­täts­miss­brauch immer aus­ge­feilter.

Der Anrufer stellte sich als Mit­ar­beiter einer neu gegrün­deten Task Force der Unter­neh­mens­leitung vor. Im Auftrag der Geschäfts­führung wies er den Mit­ar­beiter der Finanz­buch­haltung an, für ein Geheim­projekt einen hohen Geld­betrag auf ein fremdes Konto zu über­wiesen. Alles sei sehr dringlich und absolut ver­traulich zu behandeln. Kurze Zeit später folgte eine Mail direkt von der Geschäfts­führung, in der die Trans­aktion bestätigt wurde. Die Angaben waren plau­sibel: Inhalt, Absender und Layout der Mail sahen authen­tisch aus. Deshalb zögerte der Mit­ar­beiter auch keinen Moment, den Betrag anzu­weisen. Die Falle der Internet-Kri­mi­nellen schnappte zu.

Denn in Wahrheit hatte ein Betrüger die Iden­tität des Vor­ge­setzten über­nommen und einen so genannten „Fake-President“-Angriff durch­ge­führt. Eine gründ­liche Infor­ma­ti­ons­re­cherche auf Unter­neh­mens­seite und Social Media-Pro­filen sowie in Zei­tungs­ar­tikeln genügte dafür. Dieses fiktive Bei­spiel von Iden­ti­täts­dieb­stahl ist in Deutschland bei­leibe kein Ein­zelfall. Dem Bun­desamt für Sicherheit in der Infor­ma­ti­ons­technik sind seit 2013 ca. 250 „Fake-President“-Betrugsfälle bekannt, der Gesamt­schaden wird auf 110 Mil­lionen Euro geschätzt. Die Dun­kel­ziffer liegt ver­mutlich deutlich höher.

Ein wei­teres pro­mi­nentes Bei­spiel für Iden­ti­täts­dieb­stahl ist der Datenklau bei einem der weltweit größten E-Mail-Pro­vider und Internet-Anbieter aus den USA. Dort wurden im Jahr 2013 per­sön­liche Daten von mehr als einer Mil­liarde Konten gestohlen. Und das Bun­desamt für Sicherheit in der Infor­ma­ti­ons­technik (BSI) hat allein von Juli 2015 bis Juni 2016 141.000 neue Schad­pro­gramme ana­ly­siert, die einen Bezug zum Iden­ti­täts­dieb­stahl auf­weisen.

Ich bin viele im Internet

All diese Zahlen und Vor­komm­nisse zeigen: Der Dieb­stahl von Iden­ti­täten ist zu einem der größten Risiken bei der Inter­net­nutzung geworden. Umso wich­tiger ist es, sich der eigenen digi­talen Iden­tität bewusst zu werden.

Was sind eigentlich Sichere Iden­ti­täten im digi­talen Zeit­alter? Der Begriff Iden­tität defi­niert eine Person als ein­malig und unver­wech­selbar. Dafür gibt es eine Vielzahl indi­vi­du­eller Attribute wie zum Bei­spiel Name und Geburts­datum sowie Gesichtsbild und Fin­ger­ab­druck.

In der digi­talen Welt haben Men­schen heute mehrere Iden­ti­täten mit unter­schied­lichen Merk­malen. Wir stehen mit unserem Namen, Adresse und Fotos in Social Media-Platt­formen, tätigen Online-Ein­käufe, nutzen andere Online-Dienst­leis­tungen mit Benut­zername und Passwort oder sind in Foren und Online-Spie­le­platt­formen mit Nick­names ver­zeichnet. Und auch die IP-Adresse des eigenen Com­puters, die auf jeder Web­seite hin­ter­lassen wird, ist Teil der digi­talen Iden­tität.

Eine Sichere Digitale Iden­tität bedeutet, dass diese nicht mani­pu­liert, gefälscht oder miss­braucht werden kann. Sie stellt sicher, dass jemand tat­sächlich der­jenige ist, für den er sich ausgibt. Mit einer Sicheren Iden­tität lässt sich eine E-Mail zwei­felsfrei ihrem Absender zuordnen, Fäl­schungen sind somit aus­ge­schlossen.

Aber nicht nur Per­sonen, sondern auch Objekte, Dienste oder Pro­zesse können Iden­ti­täten besitzen. So können sich Pro­duk­ti­ons­an­lagen bei­spiels­weise bei der Fern­wartung ein­deutig iden­ti­fi­zieren oder sich ein Ersatzteil einer Maschine als Ori­gi­nalteil aus­weisen. Sichere Iden­ti­täten sind damit die Grund­vor­aus­setzung für eine ver­trau­ens­volle private und geschäft­liche Nutzung des Internets.

Sichere Iden­tität in Gefahr

Jedoch sind die Angriffs­flächen für einen Iden­ti­täts­miss­brauch in den letzten Jahren größer geworden und werden noch weiter wachsen. Ver­ant­wortlich dafür sind die viel­fäl­tigen Mög­lich­keiten der Online-Kom­mu­ni­kation, der Sie­geszug des mobilen Internets sowie die zuneh­mende Inte­gration und Ver­netzung von Geräten und Maschinen.

Hier einige wichtige Methoden und Mittel, die für Iden­ti­täts­dieb­stahl und Iden­ti­täts­miss­brauch ein­ge­setzt werden:

  • Social Engi­neering zielt – wie das fiktive Bei­spiel am Anfang zeigt — auf die Mit­ar­beiter des Unter­nehmens ab. Durch geschickten Iden­ti­täts­miss­brauch – bei­spiels­weise eine fin­gierte Mail oder Tele­fon­anrufe von angeb­lichen Vor­ge­setzten – werden dabei Mit­ar­beiter eines Unter­nehmens über­redet, Zah­lungen an ein fremdes Konto zu tätigen oder sen­sible Infor­ma­tionen Aktu­elles Bei­spiel ist ein Auto­mo­bil­zu­lie­ferer aus dem MDAX, der im Herbst letzten Jahres auf diese Weise um 40 Mil­lionen Euro betrogen wurde.
  • Beim Phishing ver­leiten gefälschte Internet-Seiten, E-Mails und SMS den Anwender dazu, Pass­wörter, Kre­dit­kar­ten­in­for­ma­tionen oder per­sön­liche Daten für das Online-Banking preis­zu­geben. Bei­spiels­weise bauen Betrüger die Web­seiten von Finanz­in­sti­tuten nach oder ver­schicken im Namen der Bank gefälschte Mails, die zur Eingabe von PIN und TANs auf­fordern.
  • Schad­software ist ein wei­teres, oft genutztes Mittel zum Iden­ti­täts­dieb­stahl. Sie ver­steckt sich häufig in E-Mail-Anlagen oder auf infi­zierten Web­seiten. Wird der Anhang geöffnet oder die Web­seite auf­ge­rufen, lädt sich die Schad­software auto­ma­tisch auf den Com­puter her­unter und startet sie dort. Mit Schad­pro­grammen können per­sön­liche oder unter­neh­mens­wichtige Daten direkt auf dem Com­puter abge­griffen und für kri­mi­nelle Akti­vi­täten miss­braucht werden. Oftmals wartet die Schad­software, bis der Nutzer zum Bei­spiel eine Banking-Seite aufruft. Dann greift er in den Daten­strom ein und schiebt dem Anwender eine prä­pa­rierte Web­seite oder ein gefälschtes For­mular unter, um wichtige Zugangs- und Zah­lungs­in­for­ma­tionen aus­zu­spähen. In Unter­nehmen können die Steue­rungs­systeme von Pro­duk­ti­ons­kom­po­nenten mit Schad­software infi­ziert werden, es drohen Pro­duk­ti­ons­aus­fälle und Pro­dukte min­derer Qua­lität.
  • Mobile End­geräte wie Smart­phone und Tablets geraten mehr und mehr in den Fokus von Iden­ti­täts­dieb­stahl. Manche Apps senden Daten unver­schlüsselt an die Server von Unter­nehmen. So können Betrüger diese gezielt abfangen. Ein wei­teres Betrugs­mittel sind in Apps ver­steckte Schad­software, die von Mit­ar­beitern ver­se­hentlich her­un­ter­ge­laden wird. Diese nistet sich in Smart­phone und Tablets ein und wird erst später aktiv, um Daten abzu­greifen bezie­hungs­weise Anlagen und Systeme zu über­nehmen. Das kann zum Bei­spiel im Rahmen von Fern­war­tungs­an­wen­dungen geschehen.
  • Unsi­chere Netz­werke und Ver­bin­dungen laden zum Iden­ti­täts­dieb­stahl gera­dewegs ein. Zwei Stu­denten bekamen mit ihrem Rechner Mitte 2016 plötzlich Zugriff auf interne Abläufe eines Was­ser­werks mitten in Deutschland. Die Stu­denten mussten dafür keine Pass­wörter erraten oder gar hacken. Ein­fallstor war eine Software zur Fern­wartung, Kon­trolle und teils auch zur Fern­steuerung der Anlagen, die von den Betreibern instal­liert worden war und die einfach durch Eingabe einer nicht gesi­cherten Internet-Adresse genutzt werden

Fazit: Sichere Iden­ti­täten sind ein zen­traler Bau­stein des digi­talen Wandels. Per­sonen und Unter­nehmen sind gut beraten, sich um den Schutz digi­taler Iden­ti­täten zu kümmern.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Ulrich Hamann, Sichere Iden­tität Berlin-Bran­denburg e.V. (SIDBB)

Ulrich Hamann ist Vor­sit­zender der Geschäfts­führung der Bun­des­dru­ckerei. Hier schreibt er in seiner Funktion als Vor­sit­zender des Vereins Sichere Iden­tität Berlin-Bran­denburg e.V. (SIDBB).

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.