Phishing-Attacken: Bedrohung der Unternehmen steigt rapide an

Studie von „CIO USA“: Attacken haben sich innerhalb von drei Monaten mehr als verdoppelt / Firmen können sich auf verschiedenen Wegen vor Passwort-Klau schützen: Anti-Spam-Lösungen, Verschlüsselung der Kommunikation, Authentizifierungsprogamme oder spezielle Software- Services

Nach Viren und Würmern im Internet droht nun neue Gefahr: Phishing, das Ausspähen von Passwörtern und anderen sensiblen Kundendaten durch gefälschte E-Mails und Internetseiten. Gerade für Unternehmen, die mit sensiblen Kundendaten arbeiten, sind Attacken von Passwort-Fischern ein gravierendes Problem. Dies berichtet das IT-Wirtschaftsmagazin „CIO“ in seinem aktuellen Heft (Ausgabe 5/2004, EVT 6. September). In den USA etwa, wie eine Studie der Schwesterpublikation „CIO USA“ ergab, ist die Zahl der Angriffe durch Täuschungsmanöver innerhalb weniger Wochen drastisch gestiegen: Waren es im März 2004 noch durchschnittlich 14,5 Angriffe täglich, so verzeichnen die US-Firmen im Mai schon 38,4 Attacken pro Tag. Auch in Deutschland ist Phishing bereits angekommen. So warnte jüngst VISA International gemeinsam mit dem Bundeskriminalamt (BKA) Kreditkarteninhaber vor unrechtmäßigen Anfragen zu persönlichen Daten, wie etwa Kartennummer, Verfallsdatum, Kartenprüfziffer oder Geheimzahl.

Aber Firmen können ihre Kunden und Mitarbeiter vor den Angriffen von Passwort-Fischern schützen. Eine wirkungsvolle Maßnahme ist laut „CIO“ die verschlüsselte Kommunikation. Beim Versenden einer Nachricht wird diese über Programme wie beispielsweise „Pretty Good Privacy“ (PGP) automatisch verschlüsselt und digital signiert. Eine weitere Möglichkeit sind speziell entwickelte Software-Services, wie das „Managed E-Mail Security Services“. Es überwacht den E-Mail- Verkehr und warnt unmittelbar, wenn eine Phishing-Attacke startet. Außerdem sorgen Filter dafür, dass diese E-Mails nicht weitergeleitet werden. Ein positiver Effekt des E-Mail-Monitorings: So können Details über Art und Ursprung eines Angriffs gesammelt werden, wodurch eine juristische Verfolgung des Absenders möglich wird, so „CIO“.

Zum Schutz vor Phishing-Mails können Unternehmen aber auch Authentifizierungsmöglichkeiten, beispielsweise Smart-Cards, einrichten. Über diese identifizieren sich die Nutzer mittels eines eigenen Kartenlesegerätes. Schließlich gibt es auch die Möglichkeit, spezielle Anti-Spam-Lösungen einzusetzen. Allerdings sind diese nicht uneingeschränkt empfehlenswert, meint „CIO“. Denn aus datenschutzrechtlichen Gründen ist ihr Gebrauch häufig juristisch anfechtbar. „Beim Einsatz von Spam-Filtern tauchen zahlreiche rechtliche Tücken auf“, bestätigt Ulrich Emmert, Rechtsanwalt und Lehrbeauftragter für Internet-Recht an der Fachhochschule Nürtingen. Vor allem beim Löschen der E-Mails sollten Unternehmen aufpassen, meint Emmert. Denn verdächtige Inhalte könnten auch privat sein – und diese ohne Einverständnis der Mitarbeiter zu löschen, ist nicht erlaubt. Ebenfalls umstritten sind die Rücksendung von E-Mails an ihre Absender und die „Quarantäne“, also eine Isolierung verdächtiger Mails.

Über CIO „CIO – IT-Strategie für Manager“ berichtet monatlich über wirtschaftliche und strategische Aspekte des Informationstechnik- Einsatzes in Unternehmen. Das Magazin wendet sich an Führungskräfte aller Branchen, die über den strategischen IT-Einsatz in ihren Unternehmen entscheiden. CIO erscheint seit Oktober 2001 im IDG Business Verlag, München, der zur IDG Communications Verlag AG gehört.

Für Rückfragen: Horst Ellermann, Chefredaktion „CIO“, Tel. 089/360 86-0, E-Mail: horst.ellermann@cio.de