ONLINE-DIENSTE Phishers Fritze
Offenbar muß man nur dreist genug sein. Da sitzt einer vor seinem Computer, hat sich gerade per Modem bei einem Online-Dienst eingewählt, durchstöbert das Angebot, und plötzlich erscheint auf seinem Bildschirm ein Textfenster. Darin entschuldigt sich ein gewisser Bill, angeblich ein Mitarbeiter der Abrechnungszentrale, für die Störung und behauptet, durch einen Computerfehler seien dummerweise alle relevanten Daten des Teilnehmers verschwunden. Damit die Mitgliedschaft beim Online-Dienst nicht gekündigt werden muß, möge man doch bitte sein Paßwort dem freundlichen Bill übermitteln.
Unter Internet-Freaks heißt das »Phishing«, eine Verballhornung der Worte Password und Fishing. Wer drauf reinfällt, ist selber schuld, denn nach einem schnellen Dankeschön wird »Bill« bei nächster Gelegenheit das Paßwort nutzen, abändern und auf Kosten des eigentlichen Kunden nach Herzenslust herumsurfen. Der wiederum hat genügend Grund, sich über seine eigene Unbedarftheit zu ärgern, denn bei den meisten Online-Diensten wird dem Kunden oft schon beim Einwählen mitgeteilt, daß ein echter Mitarbeiter des Dienstes niemals jemanden nach dem Paßwort fragen wird.
Daß man seine Paßwörter schützen sollte, weiß mittlerweile auch der letzte Laie. Zu verdanken ist das zwei 16jährigen Jungs aus Köln. Frech wie Phishers Fritze und weitaus eleganter als gewöhnliche Datendiebe haben Marcel Hennig und Aron Spohr Ende März gut 600 Paßworte von T-Online-Kunden geknackt - und damit den Medienriesen Telekom an einer empfindlichen Stelle getroffen.
T-Online ist in Deutschland der meistbenutzte Online-Dienst. Vor allem beim Homebanking hat der Telekom-Ableger einen gewaltigen Vorsprung vor der Konkurrenz. Gerade die elektronische Kontoführung galt als sicher - nun aber ist klar, daß nichts sicher ist, weder bei T-Online noch bei den anderen großen Services AOL oder Compuserve.
Die beiden Schüler sind keine Hacker, sie haben nicht einmal versucht, in den Rechner von T-Online einzudringen. Statt am Schloß herumzufummeln, ließen sich die beiden von den Kunden die Schlüssel aushändigen - ohne daß die es bemerkten.
Spohr und Hennig hatten ein kleines Programm geschrieben, die »T-Online Power Tools«. Solche Tools - Werkzeuge - peppen die Standardversion von Programmen auf, sie können beispielsweise die Verwaltung von E-Mails erleichtern oder bestimmte Funktionen automatisieren. Derlei Helferlein existieren für zahlreiche Programme. Sie werden kostenlos oder gegen eine geringe Gebühr vertrieben.
Die T-Online-Power-Tools waren frei im Internet abrufbar, zudem wurden sie auf CD-Roms gepreßt und Computerzeitschriften beigelegt. Wer das Programm nutzte, wurde gebeten, sich bei den Autoren elektronisch registrieren zu lassen - das ist ebenfalls üblich, weil auf diese Weise die Nutzer über Neuerungen oder entdeckte Fehler informiert werden können.
In den Tools war ein sogenanntes Trojanisches Pferd eingebaut, ein kleines Programmskript, das unbemerkt auf der Festplatte des Benutzers herumschnüffeln kann. Das Spionageprogramm der beiden 16jährigen las bei den Benutzern die verschlüsselt abgelegten Zugangsdaten für den Online-Dienst aus - wer so freundlich war, sich registrieren zu lassen, schickte, ohne es zu ahnen, seine geheimen Daten an Spohr und Hennig. Die hatten damit glücklicherweise nichts Böses vor, sondern marschierten zur Computerzeitschrift »c't«.
Die beiden Jungen profitierten bei ihrer Aktion vom fehlenden Sicherheitsbewußtsein ihrer Opfer. Aus Bequemlichkeit machen die meisten Computerbenutzer von der Möglichkeit Gebrauch, das Paßwort nicht jedesmal neu eingeben zu müssen, sondern es auf der Festplatte zu speichern. Dort wird es zwar verschlüsselt abgelegt und im Eingabefenster erscheinen statt Buchstaben nur kleine Sternchen - aber diese Sicherheit ist trügerisch.
Ein unter Windows verschlüsseltes Paßwort zu knacken ist ein Kinderspiel, auch ohne Programmierkenntnisse. Das frei verfügbare Programm »Revelation« beispielsweise ist auch von absoluten Computerlaien zu bedienen: Man fährt mit der Maus auf das Eingabefeld mit den Sternchen, und Millisekunden später wird das Paßwort im Klartext angezeigt. Revelation funktioniert bei der am meisten benutzten Zugangssoftware für T-Online genauso wie bei Compuserve.
Bei der AOL-Software ist das noch nicht einmal nötig. AOL speichert das Paßwort in einer Datei namens »main.idx« sogar im Klartext ab. Sein Paßwort auf die Festplatte zu legen ist so sicher, wie seinen Wohnungsschlüssel von außen an die Türe zu hängen.
Bei der T-Online-Attacke waren die Bankgeschäfte der Kunden nicht gefährdet, dafür bedürfte es eines weiteren Paßwortes, das aber in aller Regel nicht auf der Festplatte abgespeichert ist. Außerdem müssen Bankgeschäfte stets mit einer geheimen Ziffernkombination bestätigt werden, die nach jeder Nutzung verfällt. Bei der nächsten Überweisung ist dann eine neue Ziffer fällig. Wer allerdings, wie bei einigen Finanzprogrammen möglich, die Liste seiner Geheimzahlen auf der Festplatte verwahrt, handelt fahrlässig.
Bei der Zeitschrift »c't« ging vergangene Woche eine anonym zugesandte Software ein, ein »Selbstbaukasten für Trojanische Pferde«. Die Tierchen, die damit zusammengebastelt werden können, sind weitaus gefährlicher als das Programm der beiden Kölner.
Bösartige Hacker könnten dem Trojanischen Pferdchen beispielsweise einen »Keystroke Recorder« einbauen - damit werden sämtliche Tastatureingaben gespeichert, also auch etwa der geheime Zugang zum Homebanking.
Infizieren kann sich damit praktisch jeder, denn ein Trojanisches Pferd läßt sich faktisch in alles einbauen, was Computerfreaks so mögen: Spiele, Powertools oder Anwendungen, die gern raubkopiert werden, etwa teure Schreibprogramme. Fazit von »c't«-Chefredakteur Christian Persson: »Auch Paßwörter, die nirgendwo gespeichert werden, sind nicht mehr sicher.«
Schutz gegen solche Attacken könnte es nach Expertenmeinung nur dann geben, wenn sich die Anwender nicht mehr per Paßwort identifizieren, sondern bei jedem Netzzugang ihren Rechner mit einer intelligenten Chipkarte füttern müßten.
Bis dahin droht Gefahr vor allem den Benutzern von Finanzsoftware, die das Online-Banking bequemer macht. Dabei füllt man seine Überweisungen offline aus, erst wenn der ganze Schreibkram erledigt ist, startet das Programm die Verbindung etwa zu T-Online. Damit das Programm seinen Job schnell erledigen kann, haben viele Benutzer alle geheimen Daten auf dem Rechner abgelegt. Bei den meisten finden sich die Daten sogar an der gleichen Stelle der Festplatte - das Trojanische Pferd braucht also gar nicht lang zu schnüffeln.
Der Datendieb ist fortan nicht nur bestens über den Kontostand seines Opfers informiert. Er kann auch nach Lust und Laune Überweisungen tätigen und - im Extremfall - das Gehalt zu einem Konto auf den Cayman-Inseln umleiten.
Abgesehen von dem Aufwand, die umgeleiteten Gelder zurückzubekommen: Vor Gericht müßte das Opfer erst mal beweisen, daß es wirklich ein Opfer ist. Bislang nämlich glauben die Richter häufig den Beteuerungen, daß die Software einen Mißbrauch gar nicht zuläßt.
[Grafiktext]
Trojanische Datenfalle
[GrafiktextEnde]
[Grafiktext]
Trojanische Datenfalle
[GrafiktextEnde]
