Foto: Fractal Pictures - shutterstock.com
Die Anzahl der polizeilich erfassten Hackerangriffe steigt von Jahr zu Jahr, doch im Kontext der Coronakrise sind die Fälle nahezu explodiert (PDF-Download). IT-Sicherheitsforscher stellten fest: Allein im Juli 2020 gab es in Deutschland mehr als 100.000 Hackerangriffe - und das bei Privatpersonen sowie über alle Unternehmensgrößen hinweg.
Vor allem die Finanzbranche ist für Internetbetrüger ein beliebtes Ziel. Hier erhoffen sie sich nicht nur an die Ersparnisse der Privatkunden, sondern mit viel Glück sogar an die Reserven großer Unternehmen oder Organisationen zu gelangen. Um ihre Privat- und Geschäftskunden vor Angriffen dieser Art schützen zu können, haben Finanz- und Kreditinstitute in den vergangenen Jahren bereits einige Sicherheitsmaßnahmen ergriffen. Damit ist es aber noch lange nicht getan. Was es jetzt braucht, sind Lösungen, die robust gegen neue Betrugsmethoden sind. Biometrische Authentifizierungslösungen, die mit kryptografischen Methoden kombiniert und nicht mehr zentral auf Servern gespeichert werden, könnten hierfür der passende Schlüssel sein.
Lesetipp: Was ist Kryptografie?
Die Maschen der Internetbetrüger
Vom Stehlen der Passwörter von Servern über Credential Stuffing bis hin zum (Spear) Phishing: Wenn es darum geht ans Ziel zu gelangen sind Internetbetrüger äußerst kreativ. Bei der Wahl der eingesetzten Methode kommt es vor allem darauf an, wer ihr Opfer ist und ob sie versuchen, an viele kleine Häppchen zu gelangen oder doch eher direkt an den dicksten Fisch. Bei der erstgenannten Methode, dem Diebstahl von Passwörtern von Servern, geht es darum, sich Zugriff auf eine möglichst große Menge von Anmeldedaten zu verschaffen.
Diese werden anschließend auch des Öfteren im Darkweb zum Kauf angeboten. So können die Hacker auf einer ganzen Reihe von Websites Login-Versuche durchführen, um im Namen der Opfer an Geld zu gelangen - und zwar vollkommen automatisiert. Das Ausmaß dieser Vorgehensweise ist enorm: Wie Forbes berichtet, ist es dem Team von The Digital Shadows Photon Research gelungen, mehr als 15 Millionen gestohlene Login-Informationen im Darkweb ausfindig zu machen. Insgesamt wurden schon mehr als zwei Milliarden Passwörter von Servern gestohlen.
- Botnetze
Ein Netzwerk von Rechnern die mit Schadsoftware infiziert wurden, kann von Cyberkriminellen gesteuert werden, ohne dass deren User etwas davon mitbekommen. Im Cyber-Untergrund können (Pseudo-)Hacker Zugang zu bereits infizierten Rechnern – oft auch im Verbund – erwerben. Ab etwa 100 Dollar pro Monat ist die Infrastruktur eines Botnetzes „mietbar“, ein komplettes, fertiges System kostet circa 7000 Dollar. - Browser Exploit Packs
In Kombination mit einem Botnetz-Framework erlauben BEPs ihren Käufern, Ransomware oder Malware in großem Stil zu verbreiten. Wie jede fortgeschrittene Malware verfügen auch BEPs über integrierte Module zur Verschleierung, Optimierung und Administration der kriminellen Aktivitäten. Ein komplettes BEP-Package kostet im Untergrund zwischen 3000 und 7000 Dollar. - Phishing-Toolkits
Kriminelle Hacker, die eine bestimmte Gruppe oder einfach ganz normale Nutzer attackieren möchten, können im CaaS-Umfeld fertig eingerichtete SMTP-Server, Scam-Webseiten oder hochqualitative Mailing-Listen erwerben – und zwar zum kleinen Preis: Zwischen 15 Dollar und 40 Dollar werden dafür fällig. Populär ist auch die Kombination mit „waffenfähigen Dokumenten“ – also Dateien, die auf den ersten Blick wie Word-Dokumente oder Powerpoint-Präsentationen aussehen, aber Schadcode beinhalten, der bekannte und unbekannte Schwachstellen in Office ausnutzt, um Malware auf dem Rechner der Nutzer zu installieren. Dabei kann es sich um Ransomware oder Remote Access Toolkits handeln – je nachdem welche Zwecke die Computerverbrecher verfolgen. Die Kosten für so einen Office-Exploit liegen zwischen 2000 und 5000 Dollar. - Ransomware
Zu den derzeit beliebtesten Hacking-Tools im Cyber-Untergrund gehört die Familie der Erpressungs-Malware. Diese Art der Schadsoftware kann in sehr verschiedenen Komplexitätsstufen entwickelt werden und verheerende Folgekosten verursachen. Untersuchungen von Trend Micro zufolge ist ein anpassbares Crypto-Locker-File schon ab circa 50 Dollar zu bekommen. Allerdings streichen viele Ransomware-Provider in der Regel eine zusätzliche "Provision" ein, deren Höhe sich am verursachten Schaden orientiert - in der Regel liegt diese bei circa zehn Prozent.
Aufgrund dieser prinzipiellen Schwächen von Passwörtern haben viele Anbieter die Passwörter durch Einmal-Passwörter ergänzt. Leider sind auch diese kombinierten Systeme in das Visier der Betrüger geraten. Hierfür setzen diese auf Phishing-Angriffe und leiten den unwissenden Nutzer über eine täuschend echt aussehende Phishing-Website zur eigentlichen Website weiter. Dabei werden sowohl Passwörter als auch Einmal-Passwörter vom Angreifer mitgelesen und können trotz doppelter Sicherheitsmaßnahmen verwendet und weiterverkauft werden.
Um derartige Angriffe zu erschweren, haben viele Dienste weitere inkrementelle Verbesserungen vorgenommen: sie speichern zusätzliche Merkmale eines jeden Nutzers. Dazu gehört der verwendete Browser, die Sprache oder auch die Tipp-Geschwindigkeit. Durch die Prüfung dieser für jede (Web-)Applikation einsehbaren Merkmale soll beim nächsten Login sichergestellt werden, dass es sich tatsächlich um den Nutzer handelt, dessen Daten zum Einsatz kommen.
Bei etwaigen Unregelmäßigkeiten schlägt das System Alarm. Je nachdem, ob nur ein anderer Browser verwendet wird oder ob beispielsweise eine Kreditkarte plötzlich in einem Land am anderen Ende der Welt auftaucht, bewertet die sogenannte "Risk Based Authentication" das jeweilige Risiko und sendet entweder eine Warn-SMS an die hinterlegte Handynummer oder sperrt die Karte aus Sicherheitsgründen komplett.
Doch auch diese Kombination aus Passwort, Einmal-Passwort und Erfassung weiterer Gerätemerkmale sind längst nicht mehr unantastbar. Im April 2019 berichtete Kaspersky beispielsweise von einem Untergrund-Marktplatz, der sich auf eine besonders heimtückische Form des Identitätsdiebstahls spezialisiert hat. Angeboten werden digitale Identitäten, welche jene Charakteristika beinhalten, die Google, Amazon und Co. zur Erkennung der Nutzer zusätzlich abfragen und die dadurch ebenso nutzlos werden wie herkömmliche Passwörter.
Lesetipp: Anti-Phishing - Die besten Tools und Services
Authentifizierung - ein Balanceakt
Um ihre Kunden - und natürlich auch sich selbst - vor dem Zugriff unbefugter Dritter zu bewahren, hat die Finanzindustrie bereits zahlreiche Sicherheitsmaßnahmen eingeführt und setzt große Teile des IT-Budgets für die Aufrechterhaltung dieser ein. Egal ob TAN-Lesegerät, Einmal-Passwort oder Risk Based Authentication: Jede dieser Lösungen soll dazu dienen, eine sichere und bequeme Authentifizierung zu gewährleisten. Innerhalb der letzten Jahre hat sich die Branche jedoch enorm verändert. Nicht nur neue Richtlinien sind hinzugekommen, auch eine größere Bandbreite an technologischen Möglichkeiten haben zusätzliche Komplikationen wie die Multi-Faktor-Authentifizierung unabdingbar gemacht.
So hat beispielsweise die Europäische Bankbehörde festgelegt, dass ein Einmal-Passwort per SMS allein zur Authentifizierung des Benutzers bei Online-Zahlungen nicht mehr ausreicht und stattdessen ein zweiter Authentifizierungsfaktor erforderlich ist. Diese Sicherheitsstandards mit einem größtmöglichen Maß an Benutzerfreundlichkeit in Einklang zu bringen, ist eine wichtige Aufgabe, vor der Banken und Kreditinstitute derzeit stehen.Der erste Schritt, diese Herausforderung zu bewältigen, besteht in der Erkenntnis, dass traditionelle Passwörter schon heute nicht mehr die Sicherheit gewährleisten können, der es in unserer global vernetzten Welt bedarf. Da sie - zusammen mit dem Benutzernamen - vom zentralen Server gestohlen oder durch Phishing abgegriffen werden können, ist es für Kriminelle möglich, Transaktionen ohne große Hindernisse durchzuführen.
Erschwerend hinzu kommt die Tatsache, dass herkömmliche Passwörter oft gleich für mehrere Accounts verwendet werden. Fakt ist nämlich auch: Aufgrund der ständig steigenden Sicherheitsbestimmungen fällt es den Nutzern zunehmend schwerer, sich die immer komplexer werdenden Buchstaben- und Zahlenkombinationen zu merken. Was sich daraus ergibt, ist ein echter Teufelskreis, der Internetbetrügern Tür und Tor öffnet, um an noch größere Mengen ihrer digitalen Beute zu gelangen. Die Kombination von Passwort mit einem Einmal-Passwort wurde bisher seltener angegriffen, aber gegen die aktuellen Phishing-Methoden helfen auch die Einmal-Passwörter nicht.
Lesetipp: So erstellen und merken Sie sich wirklich sichere Passwörter
Das Zeitalter der Biometrie beginnt
Biometrische Authentifizierungsmethoden kombiniert mit Kryptografie könnten diese Problematik endlich lösen. Sie bieten nicht nur für Banken, Kreditinstitute und deren Kunden, sondern auch für alle anderen Branchen erhebliche Vorteile. Gesichtserkennung und Fingerabdrucksensoren sind benutzerfreundlich anzuwenden.
Entscheidend ist allerdings, dass die Fehler, die bei der Verwaltung von herkömmlichen Passwörtern bisher gemacht wurden, sich mit der neuen Methode keinesfalls wiederholen dürfen. Die Kryptografie liefert dabei den Besitz-Faktor - der sich darüber hinaus auch noch für jeden Server unterschiedlich darstellt. Die Biometrie (Inhärenz-Faktor) macht es für den Benutzer einfach, das Verfahren auf seinem jeweiligen Gerät zu verwenden.
Alternativ zur Biometrie können Benutzer auch eine PIN verwenden. Weder die PIN, noch die biometrischen Daten werden dabei an den Server gesendet. Werden diese Schritte beachtet, spricht nichts dagegen, dass die biometrische Authentifizierung sich bald auch in der Finanzindustrie durchsetzt und traditionelle Passwörter durch eine sicherere und bequemere Alternative ersetzt. (bw)