Netzwelt-Ticker Nach dem Dateneinbruch kommt die Phishing-Angst

Sicherheitsexperten befürchten nach dem E-Mail-Klau in einem US-Unternehmen neue Beutezüge von Internetbetrügern. Außerdem im Überblick: So gelang der RSA-Hack, harmlose Sony-Strafaktion von Anomymous, App-Entwickler müssen Datenschutzhose herunterlassen und die Zehn Internet-Gebote der IGF.

Verschlüsselte Internetverbindung: Schindluder mit persönlichen Daten
dapd

Verschlüsselte Internetverbindung: Schindluder mit persönlichen Daten


Nachdem Daten-Einbrecher vermutlich mehrere Millionen E-Mail-Adressen und andere persönliche Daten von den Servern eines amerikanischen Marketing-Unternehmens gestohlen haben, geht nun die Angst vor dem Spear-Phishing um: Sicherheitsexperten warnen, dass die Datendiebe mit ihrer Beute gezielt Jagd auf Internet-Nutzer machen, schreibt "Computerworld". Mit den in der Datenbank gespeicherten persönlichen Details könnten Online-Betrüger versuchen, bei ihren Opfern Vertrauen zu wecken. Eine angebliche E-Mail der Hausbank könnten die Betrüger mit persönlichen Details anreichern, bis sie wie eine echte E-Mail der Bank erscheint.

Sorgen machen müssen sich offenbar Hunderttausende Kunden von US-Unternehmen: Der Journalist Brian Krebs hat eine Liste aller Firmen veröffentlicht, deren Kundenanschriften Teil der gestohlenen Daten sein könnten. Darunter sind Schwergewichte wie Citibank, American Express und Visa. Kunden dieser Firmen müssen nun mit betrügerischen E-Mails rechnen, die auf sie maßgeschneidert sind, also korrekte Anreden und eigentlich nur der Bank bekannte Informationen verwenden.

Gegen diese miese Masche, das sogenannte Spear-Phishing (Speerfischen), hilft nur generelles Misstrauen gegenüber E-Mail-Mitteilungen. Eine Faustregel aus den neun Tipps gegen die Tricks der Datendiebe: Im Zweifel immer bei der Bank nachfragen - deren Nummer man entweder einem Papier-Brief der Bank, der Visitenkarte des Kundenberaters oder der als sicher markierten Website der Bank entnimmt - aber bestimmt nicht eben jener angeblichen E-Mail, denn selbst eine funktionierende Hotline könnten die Betrüger eingerichtet haben.

Graham Cluley vom Antivirus-Unternehmen Sophos warnt bei "Computerworld" außerdem vor dem Vergessen: "Das ist jetzt in den Medien, aber die E-Mail-Adressen könnten auch in sechs oder zwölf Monaten missbraucht werden, eine lange Zeit, nach der man den ganzen Vorfall vergessen hat."

Spear-Phishing-Beispiel: "Höchst gewiefter" Angriff auf RSA

Dass derart gezielte Online-Betrügereien so gefährlich sind, dass damit sogar ausgewiesene Experten hereingelegt werden können, beweist das Beispiel RSA. Der im März bekannt gewordene Angriff auf die renommierte Sicherheitsfirma wurde mit Spear-Phishing bewerkstelligt, wie das Unternehmen nun bekannt gab. Zwei kleine Angestelltengruppen wurden mit passgenauen E-Mails beschickt, Betreff: "Einstellungsplan 2011". Die Betrugs-Mail landete zwar im Spam-Ordner des E-Mail-Programms, zumindest ein RSA-Mitarbeiter öffnete trotzdem neugierig die Mail und die angehängte, mit einer bis dato unbekannten Sicherheitslücke des Flash-Players von Adobe präparierte Excel-Datei. Nun war ein RSA-Computer infiziert.

Wie geschickt der oder die Hacker weiter vorgingen, wie geschickt die über die Sicherheitslücke eingeschleuste Schad-Software sich im Firmennetz verbreitete, erkärt Uri Rivner lang und breit im Firmenblog. Dass dieser Angriff aber "besonders gewieft" war, wie RSA im März noch behauptete, will das Ars-Technica-Blog nicht gelten lassen: Dieser Angriff war ein 08/15-Hack, den die Sicherheitslösungen von RSA, immerhin das Spezialgebiet dieser Firma, eigentlich hätten verhindern müssen! "Dass RSA Opfer eines solchen Angriffs wurde," lästert Ars Technica, "ist reichlich ironisch." Und auch die Sicherheitsexperten von Security Week wissen: "Dieser RSA-Einbruch war weder der erste noch der letzte seiner Art."

Datenschutz in Apps: Jetzt muss Pandora auspacken

Verstoßen Smartphone-Apps, die massenhaft Nutzerdaten sammeln, gegen amerikanische Datenschutz-Bestimmungen? Dieser Frage geht eine Grand Jury nach - und zwingt immer mehr App-Hersteller zur Preisgabe ihres Umgangs mit Kundendaten. Sollte die Grand Jury systematische Verstöße feststellen, wird es zu Strafverfahren gegen die App-Entwickler kommen.

Jetzt hat es auch den Online-Musikdienst Pandora Media erwischt. In einer Meldung an die amerikanischen Börsenaufsichtsbehörde Securities and Exchange Commission (SEC) teilte Pandora Media mit, von der Grand Jury eine Vorladung zur Herausgabe von Dokumenten bekommen zu haben, welche die Datenverarbeitungsprozesse einiger populärer iPhone- und Android-Anwendungen erklären. Zwar glaube man bei Pandora nicht, ein "spezifisches Ziel der Untersuchung" zu sein, ähnliche Vorladungen hätten "industrieweit Herausgeber anderer Smartphone-Apps" bekommen.

Da das Verfahren und etwaige Kosten aber ein Risiko für Pandora-Investoren bedeuten könnten, habe das Unternehmen der SEC den Vorgang wie vorgeschrieben gemeldet.

Das alles deutet darauf hin, glaubt das "Wall Street Journal", dass es eng werden könnte für App-Entwickler: Die Voruntersuchung durch die Grand Jury könnte strafrechtliche Konsequenzen für viele Firmen haben. In einem hauseigenen Test unter 101 Apps hatte das "WSJ" 56 Programme gefunden, die IMEI-Nummern, mit denen man einzelne Handys eindeutig identifizieren kann, an andere (Werbe-) Firmen übermittelten, ohne dass der App-Kunde davon erfahre - oder dem zugestimmt hätte.

Anonymous-Strafaktion gegen Sony

Weil Sony juristisch so harsch gegen zwei Playstation-Hacker und mögliche Hack-Nutzer vorgeht, landete der Spielkonsolen-Hersteller im Fadenkreuz der Online-Guerilla Anonymous. Die veranstaltete gestern eine Strafaktion, die zum kurzfristigen Zusammenbruch mehrerer Playstation-Websites und des Playstation-Netzwerkes PSN führte. Am Dienstag war von dieser - je nach Standpunkt - digitalen Sitzblockade oder Web-Sabotage nichts mehr zu merken.

Von oberster Stelle: Die zehn Gebote des Internets

Wie steuert man das Internet, so dass es den meisten Menschen nützt und den wenigsten schadet? Eine Antwort auf diese Frage zu finden, ist die Aufgabe des Internet Governance Forums (IGF), dessen Internet Rights & Principles Coalition heute "Zehn Rechte und Prinzipien für das Internet" veröffentlicht hat - eine Menschenrechts-Charta für den Cyberspace: "Das Internet bietet der Ausübung von Menschenrechten beispiellose Möglichkeiten und spielt eine immer größere Rolle in unserem Alltag. Deswegen ist es unerlässlich, dass alle Akteure, seien sie aus dem öffentlichen oder privaten Sektor, die Menschenrechte im Internet ehren und schützen. Dazu muss das Internet so funktionieren und sich so entwickeln, dass Menschenrechte bestmöglich erfüllt werden."

Rechte und Prinzipien für das Internet
1. Universalität und Gleichheit
Alle Menschen sind frei und gleich an Würde und Rechten geboren. Diese müssen auch in der Online-Umgebung geachtet, geschützt und erfüllt werden.
2. Rechte und soziale Gerechtigkeit
Das Internet ist ein Raum für die Förderung, den Schutz und die Erfüllung der Menschenrechte sowie für die Weiterentwicklung der sozialen Gerechtigkeit. Jede Person hat die Pflicht die Menschenrechte aller anderen in der Online-Umgebung zu beachten.
3. Zugänglichkeit
Jede Person hat das gleiche Recht auf Zugang und Nutzung eines sicheren und offenen Internet.
4. Freiheit der Meinungsäußerung und der Vereinigung
Jede Person hat das Recht frei Informationen im Internet ohne Zensur oder andere Eingriffe zu suchen, zu empfangen und weiterzugeben. Jede Person hat weiters das Recht auf freie Vereinigung durch das und im Internet, sowohl für soziale als auch politische, kulturelle und andere Zwecke.
5. Recht auf Privatleben und Datenschutz
Jede Person hat das Recht auf Privatleben im Internet. Dies beinhaltet die Freiheit von Überwachung, das Recht auf die Verwendung einer Verschlüsselung und das Recht auf Anonymität im Internet. Jede Person hat auch das Recht auf Datenschutz, welches die Kontrolle über die Sammlung, Speicherung, Verarbeitung, Verfügung und Bekanntgabe persönlicher Daten einschließt.
6. Recht auf Leben, Freiheit und Sicherheit
Die Rechte auf Leben, Freiheit und Sicherheit müssen auch online geachtet, geschützt und erfüllt werden. Diese dürfen nicht verletzt oder zur Beeinträchtigung anderer Rechte in der Online-Umgebung verwendet werden.
7. Vielfalt
Die kulturelle und sprachliche Vielfalt im Internet muss gefördert und die technischen und politischen Innovationen zur Ermöglichung einer Vielzahl von Meinungsäußerungen ermutigt werden.
8. Gleichheit im Netz
Jede Person muss einen universellen und offenen Zugang zum Inhalt des Internet haben, der frei von diskriminierender Vorzugsbehandlung, Filterung oder Kontrolle des Datenverkehrs aufgrund kommerzieller, politischer oder anderer Gründe ist.
9. Standards und Regelung
Die Architektur des Internet, der Kommunikationssysteme, sowie der Dokumente und Dateiformate muss auf offenen Standards beruhen, die die vollständige Interoperabilität, den Einbezug und die gleichen Möglichkeiten für alle gewährleisten.
10. Governance
Menschenrechte und soziale Gerechtigkeit müssen die rechtliche bzw. normative Grundlage bilden, aufgrund welcher das Internet arbeitet und gesteuert wird. Dies soll in einer transparenten und multilateralen Weise geschehen, die auf den Prinzipien der Offenheit, der alle einschließenden Beteiligung und der Rechenschaftspflicht begründet ist.
Die zehn Gebote sollen Freiheit, Vielfalt, Gleichheit und Sicherheit garantieren. Sie bestimmen Grundlinien für Standards, Regelungen und Führung (Governance) im Netz und des Netzes. Denn letztlich sind es Menschen, die im Internet Freiheiten schaffen - und nehmen können.

Weitere Meldungen



zum Forum...
Sagen Sie Ihre Meinung!

© SPIEGEL ONLINE 2011
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.