Studie beleuchtet Indentitätsdiebstahl im Netz
Das Bundesinnenministerium hat eine 415 Seiten starke Studie zum Identitätsdiebstahl und Identitätsmissbrauch im Internet veröffentlicht. Die Untersuchung beleuchtet die technischen und rechtlichen Aspekte des Problems. Autoren sind Prof. Dr. Georg Borges, Prof. Dr. Jörg Schwenk, Prof. Dr. Carl-Friedrich Stuckenberg und Dr. Christoph Wegener.
Der “Diebstahl” und der anschließende Missbrauch der “entwendeten” Identitäten beschreibt ein relativ neues Kriminalitätsphänomen. Bis vor einigen Jahren wurde mittels des sogenannten “Phishing” vornehmlich das Abfischen von Online-Banking-Zugangsdaten beschrieben. Mittlerweile rückt die komplette digitale Identität des Nutzers in den Fokus der Internetkriminellen, beispielsweise die bei sozialen Netzwerken, E-Mail-Dienstleistern und Handelsplattformen verwendeten Identitäten.
Wesentliche Ergebnisse der Studie:
Angriffe mit dem Ziel eines Identitätsdiebstahls werden heute weit überwiegend über Schadprogramme (sogenannte “trojanische Pferde”) durchgeführt, die in der Lage sind, auch fortgeschrittene aktualisierte technische Abwehrmaßnahmen zu umgehen.
In den Mittelpunkt des Interesses der Internetkriminellen rückt zunehmend die komplette digitale Identität der Internetnutzer. Neben Online-Banking-Zugängen können zum Beispiel auch die bei E-Mail-Dienstleistern, Packstationen, Auktions- und Handelsplattformen sowie bei Social-Network-Plattformen verwendeten Identitäten betroffen sein.
Die Vorgehensweise der Täter hat sich in den letzten Jahren geändert: Schadprogramme gelangen heute vorwiegend durch Schwachstellen im Betriebssystem bzw. in Softwarepaketen auf die Nutzer-PCs. 2009 wurden die meisten Systeme durch den bloßen Besuch von Internetseiten (sog. “drive-by-infection”) und präparierte PDF-Dokumente angegriffen.
Als Gegenmaßnahmen werden Standardsicherheitsmaßnahmen vorgeschlagen (Virenschutzprogramme, Firewall sowie regelmäßige Updates des Betriebssystems und der Anwendungen). Für die Zukunft wird prognostiziert, dass Identitätsdiebstahl und -missbrauch noch nicht absehbare Formen annehmen werden, da neue Techniken und Plattformen immer neue Angriffsszenarien ermöglichen.
Die Studie ist noch bis zum 22. Juni 2010 kostenlos als PDF erhältlich.
Wem seine Identität abhanden gekommen ist, der muß das Leben noch mal ganz von vorne anfangen.
Da habe ich natürlich Glück, daß ich keine Identität im Netz besitze.
"wurden die meisten Systeme durch [...] präparierte PDF-Dokumente angegriffen.
[...]
Die Studie ist noch bis zum 22. Juni 2010 kostenlos als PDF erhältlich."
Netter Versuch!
"2009 wurden die meisten Systeme durch [..] und präparierte PDF-Dokumente angegriffen. [...] Studie ist noch bis zum 22. Juni 2010 kostenlos als PDF erhältlich."
Hmmm, lädst du jetzt das PDF oder bist du schon angegriffen worden? Wohl nichts für Paranoide ….
@Bam: Dumme, Gedanken, Zwei :)
I*n*dentitätsdiebstahl? Wer klaut da Einrückungen?
Aha – die Empfehlung sind also Programme, welche (laut eigener Aussage) auch nichts helfen. Wo ist da der Sinn?
Das ist doch eine von Steuergeldern finanzierte Studie, wieso ist die nur bis zum 22. Juni 2010 "kostenlos"?
Können die sich keine 5 MB Webspace leisten?
@1: You don't exist. Go away.
ist im PDF denn auch gleich ein Trojaner enthalten?
dagegen hilft nur der neue epa.
um uns und unsere kinder zu schützen muss sich zukünftig jeder der in dieses internetz möchte zuvor mit seiner digitalen id identifizieren!
@stachel:
Zum neuen PA als Problemlösung äußert sich die Studie recht verhalten. Soll heißen, die Autoren halten ihn keineswegs für ein Wundermittel gegen Identitätsdiebstahl, was er ja auch nicht ist.
Daß Viren, Trojaner und Co. deutlich aggressiver geworden sind ist mir auch schon aufgefallen.
Hatte ich früher etliche Jahre lang genau 0 (in Worten: NULL) Schadprogramme auf dem Rechner, weswegen ich mich schon gefragt hatte, ob mein Virenscanner vielleicht nur zu doof ist die zu finden ;), so findet sich seit ungefähr 2009 auch bei mir öfter mal was :(.
Ich vermute mal das liegt daran, daß früher die meissten Schadprogramme per Mail kamen – und ich bin ja doof, aber SO doof um verdächtige Mails aufzumachen dann doch nicht ;)… – das ansurfen verseuchter Webseiten kann man dagegen schwerlich vermeiden…
Sieht man den Seiten schließlich nicht an, daß da der Wurm drin ist… ebensowenig wie einem pdf…
Tja… und nu…?
Gar nicht mehr surfen kann ja auch nicht die Lösung sein…
@ Aurisa
Könnten Sie erklären, warum man verdächtige Mails nicht "aufmachen" sollte? Welche konkrete Gefahr droht Ihnen beim Lesen einer Mail?
@anonym:
Gab es da nicht mal ein Mailprogramm was ungefragt aktive Inhalte in der Mail ausführte bzw. wenn es im HTML-Modus war, Inhalte einfach mal aus dem Netz nach geladen hat?
bombjack
@ bombjack
Ich bin ja alles andere als technikversiert. Dennoch: Habe noch nie gehört, daß man Mails nicht öffnen und lesen darf, weil das schon ein Sicherheitsrisiko wäre. Wie sollten dann z. B. Behörden arbeiten, die täglich unzählig viele E-Mails von unbekannten Absendern erhalten. Alle ungelesen löschen?
Ich habe einen kleinen Fehler entdeckt. Auf Seite 39 wird geschrieben:
"Da TANs nach Verwendung ungültig werden, mussten die oben genannten Angriffstechniken leicht modifiziert werden:[...]Schadsoftware musste um eine Abbruchfunktionalität erweitert werden, die nach Eingabe der TAN die Verbindung zum Bankserver unterbricht"
Dies ist aber so nicht korrekt. Zumindest bei meiner Bank werden die Tans unmittelbar an die Transaktion gebunden, für die sie angefordert werden. Bricht man die Transaktion ab, ist die TAN trotzdem verbraucht.
Ich hoffe, dass die Studie keine weitere Fehler enthält, sie macht auf den ersten Blick zumindest einen guten eidruck.
Kleiner Nachtrag: Bei weiterem Durchlesen ist mir aufgefallen, dass noch zwischen den einzelnen TAN-Formen differenziert wird. Das Zitat ist somit doch richtig.
Jo das mit den HTML-Mails die den Rechner über das nachladen der Bilder infiziert war lange Zeit ein Problem. Die Lücke ist, meines Wissens nach, jedoch mittlerweile geschlossen.
@anonym: Daher werden bei Behörden auch Mailproxys zwischengeschaltet die die Mails auf Viren und andere Schadprogramme untersuchen.
Das ist für Otto Normalanwender nicht zu leisten. Konsequent ohne Windows ins Netz zu gehen, ist dagegen ein Leichtes.
Falk
Jeden kann es mit Identitätsdiebstahl bzw. Identitätsmissbrauch oder Cyber-Stalking treffen. Da braucht man keine Profile bei Pest-Communitys zu haben oder das der PC mit einem Virus oder Trojaner infiziert wird.
@ Klaas
Das glaube ich nicht. Es kann nur die treffen, die einen eigenen Computer benutzen, die ihren Namen im Netz placieren, die dort Bankgeschäfte machen usw. Denn Leute, die nicht im Netz sind oder die das Netz nur ganz sporadisch für private Zwecke nutzen und sich dort nicht offensiv namentlich darstellen, wie sollen die jemals betroffen sein?
Allein durch das TDG schwirren von deutschen Bürgern doch mehr persönliche Daten durch das Netz, als von allen anderen Bürgern anderer Länder. Da tut die Regioerung auch nichts gegen., bzw. macht keine Aufklärungsarbeit (die verunsicherten Websitebetreiber veröffentlichen aus Angst einfach mal alles von sich, obwohl sie dazu garnicht immer verpflichtet sind).
Aber mal wieder eine nette Studie, die wieviel Hundert Tausend Euro gekostet hat? Schön das für sowas immer Geld da ist. Ein kurzer Beitrag von "Kripo informiert" oder so reicht natürlich nicht aus, um alle Versorgungsposten in den Ämtern zu beschäftigen.
@Avarion:
… und schließlich weiß jeder: Wenn eine bekannte Lücke geschlossen wird, dann ist es für alle Zeiten ausgeschlossen, daß es da noch eine andere Lücke gibt, die möglicherweise nur Kriminellen bekannt ist, gell?
"Mails ungelesen löschen" ist auf jeden Fall die richtige Taktik. Man hält sich ja auch keine Waffe an den Kopf und drückt ab, nur weil der Hersteller sagt "so, diesmal habe ich aber wirklich alle Kugeln rausgenommen".
Zudem gibt es auch immer wieder Hersteller, die aus anderer Leute Fehlern nichts lernen. Namentlich Apple: Jahre nach dem Outlook-Express-Debakel habe ich mal OS X ausprobiert, und da die Anwendung "Mail". Und was macht das Ding? Lädt ungefragt alles aus dem Internet nach, was es gibt. "Facepalm" hieße das wohl auf Neudeutsch.
@Falk:
Ja, genau. "Hier war ich schon mal, hier passiert mir nichts." Das subjektive Empfinden ist schließlich maßgeblich für faktische Sicherheit. Und nichts fühlt sich so sicher an wie ein Ubuntu Breezy Badger, ungepatcht seit Oktober '05.
Die Gebetsmühlen-Tips aus der Studie passen schon: Schlimmstensfalls versemmelt sich ein DAU seinen Mac mit Symantec. Bestenfalls installiert sich ein DAU endlich Windows Essentials und die Welt wird – faktisch, nicht nur gefühlt – etwas sicherer.
Und daß es absolute Sicherheit nicht gibt, brauche ich wohl nicht extra zu erwähnen, oder?
@Bam: Hat mich spontan da dran erinnert: http://www.xkcd.com/749/