Mit qualifizierten elektronischen Signaturen gegen Phishing

Phishing per E-Mail ist symptomatisch für ein grundsätzliches Problem im Internet. Die Anonymität, die durch einige Kommunikationsformen (wie z.b. E-Mail) garantiert wird, erschwert es, die Identität und die Absichten eines Kommunikationspartners festzustellen. [...]

Fast alle Unternehmen sind sich einig, dass für sie der Betrug per Phishing-Mails – also das Abfischen von Passwörtern mittels böswilliger E-Mails – in den kommenden 12 Monaten die größte Cybergefahr darstellt. (c) Rogatnev - stock.adobe.com

Fast alle Unternehmen sind sich einig, dass für sie der Betrug per Phishing-Mails – also das Abfischen von Passwörtern mittels böswilliger E-Mails – in den kommenden 12 Monaten die größte Cybergefahr darstellt: „Stolze 96 Prozent der rund 600 Befragten in einer Studie des auf Sicherheitstrainings spezialisierten US-Anbieters KnowBe4 stimmten hierin überein“, schreibt Michael Kroker in Kroker’s Look @IT.

Wie in anderen Bereichen auch nutzen Hacker ausgefeilte Methoden, um das schwächste Glied der Sicherheitskette – den Menschen – anzugreifen; einer der gängigsten Angriffsvektoren für Phishing sind immer noch E-Mails. User klicken dabei auf einen manipulierten Link oder geben unwillentlich Zugangsdaten des Unternehmens preis. Solche Angriffe sind nicht neu und zudem weit verbreitet. Sie haben sich allerdings gerade in den letzten Jahren deutlich weiterentwickelt und verändert. Mit den teilweise dilettantisch anmutenden Angriffen der Vergangenheit haben sie nicht mehr viel gemein. Vielmehr sind sie genau auf bestimmte Branchen, Positionen, Zeiträume oder ein bestimmtes Verhalten zugeschnitten. Unternehmen beginnen erst damit, das darin liegende erweiterte Risikopotenzial zu erkennen.

Grundsätzliches Problem

Phishing per E-Mail ist symptomatisch für ein grundsätzliches Problem im Internet. Die Anonymität, die durch einige Kommunikationsformen (wie z.b. E-Mail) garantiert wird, erschwert es andrerseits, die Identität und die Absichten eines Kommunikationspartners festzustellen. Gerade im Bereich digitaler Transaktionen ist das problematisch, weil es deutlich schwieriger ist Betrüger als solche rechtzeitig zu entlarven. In zunehmendem Maße erlassen die EU und deren Mitgliedstaaten deshalb Rechtsvorschriften, um die verschiedenen qualifizierten Vertrauensdienste, wie sie beispielsweise von eIDAS (electronic IDentification, Authentication and trust Services) definiert werden, zu unterstützen. Aus dieser Verordnung ergibt sich unter anderem die Möglichkeit eine E-Mail zu signieren und dabei dasselbe Vertrauen zu garantieren, das eine handschriftliche Unterschrift leisten würde. Allerdings liegt es dann in der Verantwortung (und im Interesse) des Senders einer E-Mail oder einer anderen Form von digitaler Kommunikation, sich vertrauenswürdig zu präsentieren. Dazu dienen qualifizierte Zertifikate für elektronische Signaturen und Siegel.

Qualifizierte elektronische Signaturen und Siegel haben die gleiche Rechtswirksamkeit wie handschriftliche Unterschriften und setzen die Integrität und Herkunft des Dokuments voraus. Qualifizierte Zertifikate für elektronische Signaturen und Siegel stehen Einzelpersonen und Organisationen beispielsweise über eine Token-basierte Bereitstellung zur Verfügung. Jede Signaturidentität, unabhängig davon, ob es sich um eine Einzelperson oder eine juristische Person handelt, wird verifiziert und ein qualifiziertes Zertifikat ausgestellt, das auf einer qualifizierten Signaturerstellungseinheit (dem Token) gespeichert wird. Das schafft einen sicheren Vertrauensraum für den Austausch von sensiblen Daten und Dokumenten. Eine unabdingbare Voraussetzung und Schutzmaßnahme gerade in stark regulierten Branchen wie Banken, Versicherungen und Energiebörsen.

Sebastian Schulz ist Sales Engineer bei GlobalSign.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*