Autoren: Tobias Weidemann, Sven Eisenkrämer
Wenn Kriminelle versuchen, über gefälschte Internetseiten an Finanzdaten von Nutzern oder deren Arbeitgebern zu gelangen, spricht man von Phishing.
maho - Fotolia
Mehr als 246 Millionen Zugriffsversuche über Phishing-Webseiten hat Kaspersky Lab im vergangenen Jahr protokolliert und ausgewertet. Knapp 54 Prozent davon waren gefälschte Seiten für Finanzdienstleistungen, ein Anstieg von sechs Prozentpunkten gegenüber dem Vorjahr. Doch der aktuelle Kaspersky-Report "Financial Cyberthreats in 2017" hat noch mehr Erkenntnisse parat, die insbesondere IT-Verantwortliche in Unternehmen, Banken und bei Finanzdienstleistern aufhorchen lassen dürften.
Cyber-Angriffe steigen in allen drei Kategorien an
Phishing-Attacken auf Finanzdaten der Anwender erfolgen über betrügerische Nachrichten, mit denen Anwender auf nachgeahmte Internetseiten gelockt werden, die den legitimen Websites der Finanzbranche täuschend ähnlich sehen. Ziel ist das Abgreifen von Zugangsdaten für Online-Banking oder andere Formen des Geldtransfers.
Prozentual gesehen stiegen im Jahr 2017 die Angriffe in allen drei Kategorien des Financial Phishings. So nahmen beispielsweise die Attacken in Bezug auf Banken um 1,2 Prozentpunkte auf 27 Prozent zu, Angriffe auf Bezahlsysteme erhöhten sich sogar um 4,3 Prozentpunkte (16 Prozent) und die auf Online-Shops um 0,8 Prozentpunkte (11 Prozent). Damit bilden diese Kategorien erstmals die Top-Drei-Kategorien bei Phishing-Attacken generell.
Auch Mac-Nutzer können nicht sicher sein
Auch die Financial-Phishing-Angriffe auf Nutzer von Apple-Geräten nehmen weiter zu, zumal hierfür (anders als bei klassischen Viren und Trojanern) ja nicht zwingend das Betriebssystem selbst verantwortlich zeichnet. Bereits im Jahr 2016 zielten 31,4 Prozent der Phishing-Attacken auf Finanzdaten der Mac-User ab. Im vergangenen Jahr stieg der Anteil auf 55,6 Prozent.
Eine eher neue Entwicklung im Bereich des Phishings betrifft die aktuell beliebten Kryptowährungen, allen voran den Bitcoin. Hier vermerkt Kaspersky Lab einen rapiden Anstieg der Phishing- und Betrugsversuche. Das ist insbesondere dem Sachverhalt geschuldet, dass immer mehr Anwender mit geringem technischen Verständnis sich für die Thematik der Blockchain-basierten Währungen interessieren und an deren Erfolg teilhaben wollen.
Security-Awareness als Hauptproblem
Hauptproblem bei allen Phishing-Attacken ist und bleibt also der Nutzer, beziehungsweise seine fehlende Security-Awareness. Unternehmen können und sollen zwar ihre Mitarbeiter für Cybergefahren sensibilisieren. Doch im Kontakt mit Kunden ist dies schon schwieriger. Beispielsweise verlangt der Endkunde im Bankengeschäft zwar gefühlte Sicherheit, doch erwartet er vor allem eine unkomplizierte Bedienung beispielsweise eines Online-Banking-Systems.
Die unsichere Nutzername-Passwort-Anmeldung ist sicherheitstechnisch eigentlich vollkommen überholt, doch wird sie noch immer häufig zur Authentifizierung eines Nutzers verwendet – selbst im Bankenbereich. Abhilfe schafft zum Beispiel eine Mehrfaktor-Authentifizierung, bei der der Nutzer neben dem "Wissen" (wie Nutzername und Passwort) noch mindestens einen weiteren Faktor vorweisen muss, um sich zu legitimieren: "Besitz" (zum Beispiel in Form eines Hardware-Token oder des persönlichen Smartphones) oder "Sein" (Biometrische Überprüfung durch Fingerabdruck, etc.).
Intelligente Authentifizierungen sind auf dem Vormarsch
"Obwohl die Strategien für Multifaktor-Authentifizierung immer populärer werden, sind sie ein Kompromiss aus Benutzerfreundlichkeit und Sicherheit", schreibt David Vergara von VASCO Data Security in einem Fachbeitrag im Magazin "Digitale Welt". "Anders gesagt, wenn Authentifizierungslösungen nicht einfach und bequem sind, werden sie von den Usern nicht angenommen. Wenn die Lösungen allerdings nicht sicher sind, werden sie von Hackern ins Visier genommen und schaden den Nutzern."
Die Lösung liegt in smarten, also intelligenten Authentifizierungssystemen. "Sie kontextualisieren das Nutzerverhalten, indem sie Verhaltensmuster vergleichen, die von ausgeklügelten Algorithmen interpoliert werden", erklärt Vergara im Beitrag "Digitale Identität" aus der jüngsten Ausgabe 2/2018 der "Digitalen Welt". "Dazu gehören die kontinuierliche Echtzeit-Überwachung und Bewertung der Art und Weise, wie User mit ihren Computern und mobilen Geräten über Mausbewegungen, Tastenanschläge und Gesten interagieren." Es ist laut Vergara unmöglich, das System auszutricksen, da User und Hacker "forensisch überwacht" werden. So könne zum Beispiel, wenn mit dem Gerät eines Benutzers eine App an einem Ort geöffnet wird, der für Hackeraktivitäten bekannt ist (anstelle des Heimat- oder Bürostandorts des Users) der Zugang blockiert oder eine Step-Up-Authentifizierung vorgenommen werden.
Durch smarte Authentifizierung können Benutzerfreundlichkeit und Sicherheit gleichermaßen erreicht werden, schreibt Vergara. "Und das hält letztendlich eine produktive, sichere und langlebige Kundenbeziehung aufrecht."