idw – Informationsdienst Wissenschaft
Nachrichten, Termine, Experten
Nachrichten, Termine, Experten
Hatten es „Phisher“ bislang am ehesten auf Zugangsdaten zum Online-Banking abgesehen, so rückt zunehmend die komplette digitale Identität der Nutzer in den Fokus von Internetkriminellen. Betroffen von Angriffen sind somit auch Identitäten in sozialen Netzwerken wie Facebook oder MeinVZ, bei E-Mail-Dienstleistern, auf Handels- und Auktionsplattformen wie Amazon oder Ebay und sogar an Packstationen. Das ist das zentrale Ergebnis einer aktuellen Studie, erstellt von den RUB-Wissenschaftlern Prof. Dr. Georg Borges, Prof. Dr. Jörg Schwenk und Dr. Christoph Wegener sowie von Prof. Dr. Carl-Friedrich Stuckenberg (Universität des Saarlandes).
Bochum, 10.6.2010
Nr. 185
Digitale Identitäten in Gefahr
Phishing & Co.: Vorsicht nicht nur beim Online-Banking
RUB-Forscher legen erste technische und rechtliche Studie vor
Hatten es „Phisher“ bislang am ehesten auf Zugangsdaten zum Online-Banking abgesehen, so rückt zunehmend die komplette digitale Identität der Nutzer in den Fokus von Internetkriminellen. Betroffen von Angriffen sind somit auch Identitäten in sozialen Netzwerken wie Facebook oder MeinVZ, bei E-Mail-Dienstleistern, auf Handels- und Auktionsplattformen wie Amazon oder Ebay und sogar an Packstationen. Das ist das zentrale Ergebnis einer aktuellen Studie, erstellt von den RUB-Wissenschaftlern Prof. Dr. Georg Borges, Prof. Dr. Jörg Schwenk und Dr. Christoph Wegener sowie von Prof. Dr. Carl-Friedrich Stuckenberg (Universität des Saarlandes), Erstellt wurde die Studie auf Initiative des Bundesinnenministeriums (BMI) und im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik. Es ist die erste systematische Untersuchung von Identitätsdiebstahl und -missbrauch unter technischen und rechtlichen Aspekten.
Studie zum Download
Die mehr als 400 Seiten umfassende Studie steht seit dem 8.6. für 14 Tage kostenlos zum Download auf den Internetseiten des BMI:
http://www.bmi.bund.de/cln_156/SharedDocs/Pressemitteilungen/DE/2010/mitMarginal...
Professionellere Angriffe
Der „Diebstahl“ und der anschließende Missbrauch digitaler Identitäten ist ein noch junges Kriminalitätsphänomen. Identitätsmissbrauch im Internet ist in Deutschland seit 2004 als Phishing im Online-Banking bekannt geworden. „Die Angriffe werden sowohl in der technischen Ausführung als auch in den Angriffszielen professioneller. Ein Ende dieser Entwicklung ist nicht abzusehen“, so die Autoren der Studie. Basierend auf der umfangreichen technischen und rechtlichen Analyse erstellen sie zudem Prognosen für die Zukunft und leiten konkrete Handlungsempfehlungen ab.
Geändertes Täterverhalten
So hat sich zum Beispiel die Vorgehensweise der Täter in den letzten Jahren geändert: Schadprogramme gelangen heute vorwiegend durch Schwachstellen im Betriebssystem bzw. in Softwarepaketen auf die Computer der Nutzer. 2009 wurden die meisten Systeme durch den bloßen Besuch von Internetseiten (sog. "drive-by-infection") und präparierte PDF-Dokumente angegriffen, die diese Schwachstellen ausnutzen. Die Schadprogramme (sog. „trojanische Pferde“) sind in der Lage, auch fortgeschrittene aktualisierte technische Abwehrmaßnahmen zu umgehen. Als Gegenmaßnahmen empfehlen die Autoren unter anderem Standardsicherheitsprogramme (Virenschutzprogramme, Firewall sowie regelmäßige Updates des Betriebssystems und der Anwendungen). Notwendig sei zudem eine umfassende Aufklärung der Internetnutzer.
Risiken und Haftung für Nutzer und Anbieter
Durch Identitätsmissbrauch entstehen erhebliche Risiken für Dienstanbieter im Internet und ihre Nutzer. Die Nutzer haften insbesondere bei unsorgfältiger Aufbewahrung von Passwörtern, PIN etc. oder bei unzureichender Sicherung ihrer PC. Die Autoren schlagen daher vor, die Anforderungen an Nutzer durch einheitliche Verhaltensempfehlungen zu klären und insbesondere im Datenschutzrecht die Pflichten der Dienstanbieter genauer zu bestimmen.
Schwierigkeiten der Strafverfolgung
Identitätsdiebstahl und Identitätsmissbrauch sind umfassend strafbar, so das Fazit der Studie. Allerdings fehlt es an hinreichenden Ermittlungsmöglichkeiten über Staatsgrenzen hinweg. Da die Täter oft aus dem Ausland operieren, fordern die Wissenschaftler eine Intensivierung der internationalen Zusammenarbeit von Strafverfolgungsbehörden.
Pharming, Spoofing, Sniffing
Für die Zukunft prognostizieren die Forscher, dass Identitätsdiebstahl und -missbrauch noch nicht absehbare Formen annehmen werden, da neue Techniken und Plattformen immer neue Angriffsszenarien ermöglichen. Die vorliegende Studie versucht anhand öffentlich zugänglicher Quellen, erstmals einen vollständigen Überblick über den heutigen Stand der Dinge zu geben: Sie erfasst alle von Tätern eingesetzten Angriffsmethoden – etwa Phishing, Pharming (Umleitung der Nutzer auf gefälschte Webseiten), Spoofing (Verschleierung der eigenen Identität in Netzwerken) oder Sniffing (Einsatz von Spionagesoftware). Identitätsdiebstahl und -missbrauch wurden bisher nur in einzelnen Aspekten untersucht. Die Studie erscheint in Kürze auch als Buch im Springer-Verlag.
Weitere Informationen
Prof. Dr. Jörg Schwenk, Fakultät für Elektrotechnik und Informationstechnik der RUB, Lehrstuhl für Netz- und Datensicherheit, Tel. 0234/32-26692, E-Mail: joerg.schwenk@rub.de
Prof. Dr. Georg Borges, Juristische Fakultät, Lehrstuhl für Wirtschaftsrecht, insb. IT-Recht, Tel 0234/32-26775; E-Mail: georg.borges@rub.de
Redaktion: Jens Wylkop
Merkmale dieser Pressemitteilung:
Informationstechnik, Politik, Recht
überregional
Forschungsergebnisse, Wissenschaftliche Publikationen
Deutsch
Sie können Suchbegriffe mit und, oder und / oder nicht verknüpfen, z. B. Philo nicht logie.
Verknüpfungen können Sie mit Klammern voneinander trennen, z. B. (Philo nicht logie) oder (Psycho und logie).
Zusammenhängende Worte werden als Wortgruppe gesucht, wenn Sie sie in Anführungsstriche setzen, z. B. „Bundesrepublik Deutschland“.
Die Erweiterte Suche können Sie auch nutzen, ohne Suchbegriffe einzugeben. Sie orientiert sich dann an den Kriterien, die Sie ausgewählt haben (z. B. nach dem Land oder dem Sachgebiet).
Haben Sie in einer Kategorie kein Kriterium ausgewählt, wird die gesamte Kategorie durchsucht (z.B. alle Sachgebiete oder alle Länder).
