Der Identitätsmissbrauch im Internet ist in Deutschland seit 2004 mittels Phishing im Online-Banking bekannt geworden. Allein hier wurden seitdem weltweit Schäden in Milliardenhöhe verursacht. Laut der Studie Identitätsdiebstahl und Identitätsmissbrauch im Internet - Rechtliche und technische Aspekte, die das Bundesinnenministerium im Auftrag des Bundesamtes für Sicherheit in der Informationssicherheit durchgeführt hat, werden die Angriffe sowohl in technischer Ausführung als auch in den Angriffszielen professioneller.
Mittlerweile rückt die komplette digitale Identität des Nutzers in den Fokus von Internetkriminellen. Sie missbrauchen soziale Netzwerke, E-Mail-Dienstleister und Handelsplattformen.
Allerdings fehlt bisher eine systematische Analyse der gesamten von den Tätern eingesetzten Angriffsmethoden. Aus diesem Grund können auch keine verlässlichen Prognosen zur weiteren Entwicklung dieser Kriminalitätsform abgegeben werden. Zudem fehlt es an einer umfassenden Untersuchung der straf- und zivilrechtlichen Bewertung der Angriffe und ihrer Folgen.
Die Studie definiert sechs gängige Angriffsmechanismen. Sie werden häufig zum Identitätsdiebstahl oder –missbrauch eingesetzt:
1. Spoofing: Der Begriff stammt aus dem Englischen und bezeichnet generell das Vortäuschen einer Tatsache. Frei übersetzt bedeutet es „manipulieren, reinlegen oder verschleiern“. Spoofing ist eines der bekanntesten Hilfsmittel bei Angriffen im Internet und kann in verschiedenen Varianten eingesetzt werden, wobei ein Angreifer Spoofing dabei im Wesentlichen dazu nutzt, dem Opfer eine technische Eigenschaft vorzutäuschen.
Internetkriminelle benutzen IP-Adressen
Als Informationen nutzen die Datendiebe die klassischen technischen Formen wie die IP-Adresse oder die ARP-Tabelle. Letztere dient dazu, mit Hilfe des Address Resolution Protokolls (ARP) im lokalen Netz eine Übersetzung zwischen den IP-Adressen und den zugehörigen Media Access Control-Adressen vorzunehmen. Die Internetkriminellen nutzen allerdings auch Informationen im Zusammenhang mit dem Domain Name System (DNS) oder auch Merkmale wie die äußere Erscheinungsform von Webseiten oder E-Mails.
2. Diebstahl von durch Wissen geschützten Identitätsdaten: Die einfachste Art der wissensbasierten Identifikation ist ein festes, unveränderliches Geheimnis. Dieses wird Passwort, Passphrase oder Persönliche Identifikationsnummer genannt. Damit kann der Besitz einer kompletten elektronischen Identität nachgewiesen werden. Alle nachfolgenden Aktionen sind dadurch bereits autorisiert.
Als Angriffsformen sind beispielsweise Keylogger, Sniffing (Passwörter, die im Klartext über ein Netzwerk übertragen und dort mit frei verfügbaren Tools mitgelesen werden können) oder Web Spoofing/ Phishing bekannt. Der von den deutschen Banken verwendete TAN-Mechanismus bot eine Zeit lang einen gewissen Schutz, doch konnten die Verfahren der Angreifer schnell angepasst werden.
3. Man-in-the-Middle-Angriffe gegen den Nachweis einer Identität durch Besitz: Hierbei ist der Besitz eines Hardware-Tokens Voraussetzung. Dabei führen nur noch Online-Angriffe in Echtzeit zum Erfolg. Das bedeutet, der Angreifer muss immer als sogenannter Man-in-the-Middle agieren.
Hardware-Token können als klassische Variante des One Time Passworts (OTP) oder in der Ausprägung als Chipkarten die Sicherheit von Authentifizierungs- und Autorisierungsvorgängen erhöhen. Sie bieten aber in den allermeisten Fällen keinen Schutz vor Man-in-the-Middle-Angriffen oder Manipulation der Transaktionen durch eine spezialisierte Malware.
One Time Passwörter (OTP) können zur Authentifizierung von Sitzungen (Sessions) oder zur Authentifizierung von Transaktionen wie beim Online-Banking eingesetzt werden. Dabei bieten die meisten OTP aber keinerlei Schutz gegen Man-in-the-Middle-Angriffe, bei denen der Angreifer sich in die Verbindung einklinkt, um die übertragenen Daten abzuhören oder sogar zu verändern.
Biometrie ist nicht sicher
4. Weitere Methoden zum Nachweis einer Identität: Zu diesen zählt unter anderem die Biometrie. Sie eignet sich in der Regel nicht, um eine Identität im Internet nachzuweisen. Der Grund: Sie müssen lokal auf Seite des Clients erfasst, und dann als Datensatz über das Internet transportiert werden.
Der Nachweis der Identität durch eine persönliche Eigenschaft wird so auf den Nachweis der Identität durch Wissen reduziert: Wenn ein Angreifer den biometrischen Datensatz abfangen kann, kann er ihn analog zu einem Passwort verwenden. Hierunter fallen alle statischen Biometriedaten wie Gesichtsbilder, Fingerabdrücke, Irisscans oder DNA-Scans.
5. Reine Man-in-the-Middle-Angriffe: Dazu zählen alle Aktionen des Angreifers in Echtzeit zwischen Client und Server. Es hat sich gezeigt, dass Angreifer Endanwender als das schwächste Glied in der Sicherheitskette von IT-Systemen ansehen. Aus diesem Grund sind verschiedene Angriffs-Varianten entworfen wurden, um das System des Endanwenders zu kompromittieren.
Heute stehen einem Angreifer diverse Möglichkeiten zur Verfügung, ein Client-System mit Schadcode zu infizieren. Er agiert als Man-in-the-Middle auf dem System und leitet private Daten des Opfers an den Angreifer weiter. Problematisch für die Nutzer ist hierbei, dass das eigentliche Endgerät des Nutzers nur sehr schwer gegen solche Angriffe zu schützen ist.
Man-in-the-Middle-Angriffe können im PC-System des Endanwenders auf verschiedenen Ebenen stattfinden. Auf Applikationsebene wird die Anwendung auf dem Client-System direkt angegriffen und beispielsweise die Logik von Sicherheitsprotokollen kompromittiert, die von Anwendungen des Systems genutzt werden.
Trojanische Pferde auf Betriebssystemebene stellen nach wie vor ein großes Sicherheitsrisiko für Endanwender dar und werden auf Grund ihrer großen Effizienz von der Untergrundszene ständig weiterentwickelt. Ein gern genutztes Einfallstor für Angreifer ist der Browser des Nutzers.
Antivirenprogramme bieten nur einen Basisschutz
6. Standard-Sicherheitsmaßnahmen: Standard-Schutzmaßnahmen wie ein Antivirenprogramm oder auch eine Personal-Firewall bieten nur einen Basisschutz gegen eine Vielzahl einfacher Malware-Varianten. Moderne Malwareformen und -verbreitungsmechanismen wie etwa die Variante des Web Exploit Toolkit können diese Standardschutzmaßnahmen aber leicht umgehen.
Selbst durch die Nutzung erweiterter Mechanismen wie etwa speziellen Browser-Add-Ons lässt sich kein vollständiger Schutz realisieren. Stattdessen leidet aber die Benutzerfreundlichkeit unter diesen Mechanismen. Teilweise sind moderne Webseiten (die zwingend auf Erweiterungen wie Javascript angewiesen sind) gar nicht mehr benutzbar.
Aktuelle Antivirenprogramme haben große Probleme in ihrer Reaktivität. Der Grund: Sie können in den allermeisten Fällen nur Malware finden, die bereits bekannt ist. Technische Maßnahmen lösen zudem nicht alle Sicherheitsprobleme, vielmehr ist eine umfassende Aufklärung der Anwender von großer Bedeutung, um diese besonders vor ausgefeilten modernen Social Engineering-Angriffen schützen zu können.
Neue Techniken führen zu neuen Angriffen
Insgesamt lässt sich feststellen: Die Vorgehensweise der Täter hat sich in den vergangenen Jahren verändert. Die Schadprogramme gelangen heute vorwiegend durch Schwachstellen im Betriebssystem auf die PCs der User. 2009 wurden die meisten Systeme durch den bloßen Besuch von Internetseiten und präparierte PDF-Dokumente angegriffen. Für die Zukunft prognostiziert die Untersuchung, dass Identitätsdiebstahl und –missbrauch nicht absehbare Formen annehmen werden. Der Grund: Neue Techniken und Plattformen werden immer neue Angriffsszenarien ermöglichen.
Hier steht die komplette Studie zum Download bereit.