Phishing per E-Mail ist symptomatisch für ein grundsätzliches Problem im Internet. Die Anonymität, die durch einige Kommunikationsformen (wie z.b. E-Mail) garantiert wird, erschwert es, die Identität und die Absichten eines Kommunikationspartners festzustellen. [...]
Fast alle Unternehmen sind sich einig, dass für sie der Betrug per Phishing-Mails – also das Abfischen von Passwörtern mittels böswilliger E-Mails – in den kommenden 12 Monaten die größte Cybergefahr darstellt: „Stolze 96 Prozent der rund 600 Befragten in einer Studie des auf Sicherheitstrainings spezialisierten US-Anbieters KnowBe4 stimmten hierin überein“, schreibt Michael Kroker in Kroker’s Look @IT.
Wie in anderen Bereichen auch nutzen Hacker ausgefeilte Methoden, um das schwächste Glied der Sicherheitskette – den Menschen – anzugreifen; einer der gängigsten Angriffsvektoren für Phishing sind immer noch E-Mails. User klicken dabei auf einen manipulierten Link oder geben unwillentlich Zugangsdaten des Unternehmens preis. Solche Angriffe sind nicht neu und zudem weit verbreitet. Sie haben sich allerdings gerade in den letzten Jahren deutlich weiterentwickelt und verändert. Mit den teilweise dilettantisch anmutenden Angriffen der Vergangenheit haben sie nicht mehr viel gemein. Vielmehr sind sie genau auf bestimmte Branchen, Positionen, Zeiträume oder ein bestimmtes Verhalten zugeschnitten. Unternehmen beginnen erst damit, das darin liegende erweiterte Risikopotenzial zu erkennen.
Grundsätzliches Problem
Phishing per E-Mail ist symptomatisch für ein grundsätzliches Problem im Internet. Die Anonymität, die durch einige Kommunikationsformen (wie z.b. E-Mail) garantiert wird, erschwert es andrerseits, die Identität und die Absichten eines Kommunikationspartners festzustellen. Gerade im Bereich digitaler Transaktionen ist das problematisch, weil es deutlich schwieriger ist Betrüger als solche rechtzeitig zu entlarven. In zunehmendem Maße erlassen die EU und deren Mitgliedstaaten deshalb Rechtsvorschriften, um die verschiedenen qualifizierten Vertrauensdienste, wie sie beispielsweise von eIDAS (electronic IDentification, Authentication and trust Services) definiert werden, zu unterstützen. Aus dieser Verordnung ergibt sich unter anderem die Möglichkeit eine E-Mail zu signieren und dabei dasselbe Vertrauen zu garantieren, das eine handschriftliche Unterschrift leisten würde. Allerdings liegt es dann in der Verantwortung (und im Interesse) des Senders einer E-Mail oder einer anderen Form von digitaler Kommunikation, sich vertrauenswürdig zu präsentieren. Dazu dienen qualifizierte Zertifikate für elektronische Signaturen und Siegel.
Qualifizierte elektronische Signaturen und Siegel haben die gleiche Rechtswirksamkeit wie handschriftliche Unterschriften und setzen die Integrität und Herkunft des Dokuments voraus. Qualifizierte Zertifikate für elektronische Signaturen und Siegel stehen Einzelpersonen und Organisationen beispielsweise über eine Token-basierte Bereitstellung zur Verfügung. Jede Signaturidentität, unabhängig davon, ob es sich um eine Einzelperson oder eine juristische Person handelt, wird verifiziert und ein qualifiziertes Zertifikat ausgestellt, das auf einer qualifizierten Signaturerstellungseinheit (dem Token) gespeichert wird. Das schafft einen sicheren Vertrauensraum für den Austausch von sensiblen Daten und Dokumenten. Eine unabdingbare Voraussetzung und Schutzmaßnahme gerade in stark regulierten Branchen wie Banken, Versicherungen und Energiebörsen.
Sebastian Schulz ist Sales Engineer bei GlobalSign.
Be the first to comment