Aktueller Hintergrund zu Phishing-Angriffen auf den EU-Emissionshandel:
Angreifer haben einen groß angelegten internationalen Phishing-Angriff auf Kontodaten des EU-Emissionshandels durchgeführt. Hierzu wurden E-Mails augenscheinlich für die Empfänger im Namen der jeweiligen Emissionshandelsstellen versendet. Dem Empfänger wurde in der E-Mail nahe gelegt, sich zum Schutz vor angeblichen Hacker-Angriffen neu beim System zu registrieren. Dazu wurde ihm ein Link mitgeteilt, der angeblich zur Webseite des EU-Emissionshandels führt. Der Link führt jedoch zu einer Phishing-Seite der Angreifer und nicht, wie der Empfänger dieser E-Mail glauben soll, auf die Seite des Emissionshandels. Die Seiten der Angreifer spähen Kontodaten aus, indem alle Eingaben des Login-Formulars für den Anwender nicht ersichtlich im Hintergrund aufgezeichnet werden.
Mit Hilfe der illegal erworbenen Kontodaten konnten die Angreifer die Identität der ausgespähten Unternehmen einnehmen und anschließend die zugehörigen Emissionen auf dem Markt verkaufen. Die Attacke scheint nach aktuellen Angaben einen erheblichen finanziellen Schaden verursacht zu haben. Laut dem Bundesumweltamt haben in Deutschland 7 von 2000 Unternehmen ihre Daten über die Phishing-Seite eingegeben. Die Betrüger konnten sich auf diese Weise 3 Millionen EUR aneignen. Aus diesem Grund haben am 2. Februar 2010 Emissionshandelsstellen in Belgien, Bulgarien, Dänemark, Griechenland, Italien, Rumänien, Spanien und Ungarn als Folge der Angriffe ihren Online-Betrieb geschlossen haben.
Das aktuelle Ereignis zeigt, dass sich im Internet noch keine angemessene Sicherheitskultur entwickelt hat. Einerseits sind die Systeme technisch nicht ausreichend abgesichert, andererseits fehlt es den Anwendern an der nötigen Sensibilität im Umgang mit dem Internet und entsprechenden sicherheitskritischen Diensten. Was sollte sich also auf Seiten der Anwender und Anbieter ändern?
Tipps für Sie als Anwender:
Das Institut für Internet-Sicherheit ist bemüht Anwender für das Medium Internet zu sensibilisieren. Neben dynamischen Awareness-Schulungen ist ein Buch zu diesem Zweck entstanden.
- Vertrauen Sie niemals blind den Inhalten einer E-Mail, die vermeintlich von einem Betreiber eines Webdienstes gesendet wurden!
- Klicken Sie nie auf Links in E-Mails, die zu sicherheitskritischen Webseiten führen! Seriöse Betreiber von sicherheitskritischen Diensten (z.B. Banken) schreiben keine E-Mails für sicherheitskritische Vorgänge.
- Benutzen Sie grundsätzlich keine Links auf Webseiten die zu sicherheitskritischen Diensten führen! Geben Sie stattdessen die Internetadresse in Ihrem Browser selber ein!
- Kontrollieren Sie das Zertifikat und die Verschlüsselung der Webseite des sicherheitskritischen Dienstes bevor Sie sich anmelden.
- Sensible Account-Daten werden nicht zu anderen Zwecken abgefragt, also geben Sie sie nur im gewohnten Kontext unter Einhaltung der vorherigen Regeln an.
- Nutzen Sie in Ihrem E-Mail-Client die nicht die HTML-Ansicht, sondern die Ansichtsart „Reiner Text“
- Erlauben Sie bereits in Ihrem E-Mail-Client kein JavaScript, da über die Skriptsprache bereits Angriffe auf Ihre Konten durchgeführt werden können.
Tipps für Sie als Betreiber:
Eine einfache Authentifizierung bei einer Webanwendung über Benutzername und Passwort ist eine einfache, schnelle und komfortable Lösung, sowohl für die Betreiber, wie auch für die Anwender eines Systems. Allerdings muss der Betreiber des Dienstes abwägen, ob der Komfort einer einfachen Authentifizierung nicht einem erheblichen Sicherheitsrisiko gegenübersteht, welches durch die Verwendung von starken Authentifizierungsverfahren minimiert werden könnte. Eine starke Authentifizierung kann bspw. über den Einsatz von Zertifikaten realisiert werden. Denkbar wäre in der Zukunft der Einsatz des neuen elektronischen Personalausweises als Authentifizierungsmedium.
Die Abwägung zwischen Sicherheit und Komfort scheint aus Sicht der IT-Sicherheit bei dem System des EU-Emissionshandels nicht optimal durchgeführt worden zu sein. Der EU-Emissionshandel hätte durch den Einsatz starker Authentifizierungsmechanismen und entsprechend geschulter Anwender den erheblichen Schaden verhindern können. Der zusätzliche Aufwand zur Umsetzung und Verwendung eines solchen Mechanismus wären in Relation zu den Schäden wesentlich geringer ausgefallen.
Unternehmen sollten sich bei nicht vorhandener eigener Expertise externe Hilfe holen, um ihre Sicherheit gemäß ihrer eigenen Risikoabschätzung überprüfen zu können. Viele Unternehmen bieten hierfür geeignete Angebote. Auch das Institut für Internet-Sicherheit bietet Beratung und die sicherheitstechnische Überprüfung von Webangeboten an. Informationen dazu erhalten Sie unter:
www.internet-sicherheit.de.
Wenn Sie weitere Hilfestellungen oder Handlungsempfehlungen benötigen, besuchen Sie die Website vom Marktplatz IT-Sicherheit:
www.it-sicherheit.de