Viren, Dialer, Phisher - Sicherheitsrisiken im Internet - Gefahr für Wirtschaft und Gesellschaft? Journalisten-Reader der bpb - Bundeszentrale ...
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
in Zusammenarbeit mit
Viren,
Dialer,
Sicherheitsrisiken
Phisher
im Internet –
Gefahr für Wirtschaft
und Gesellschaft?
Journalisten-Reader
der bpb
in Zusammenarbeit mit
Viren,
Dialer,
Sicherheitsrisiken
Phisher
im Internet –
Gefahr für Wirtschaft
und Gesellschaft?
Journalisten-Reader
der bpb
Organisation Impressum Inhaltsverzeichnis
Veranstalter: Herausgeber Editorial 7
Thomas Krüger, Präsident Bundeszentrale für politische Bildung/bpb
Bundeszentrale für politische Bildung/bpb Bundeszentrale für politische Bildung/bpb
Fachbereich Multimedia, Fachbereich Multimedia,
Journalistenprogramm Journalistenprogramm
Adenauerallee 86 Adenauerallee 86 „Risiken begegnen, Chancen nutzen: Die Dimensionen des Internets“ 8
53113 Bonn 53113 Bonn
Thomas Baumgärtner, Microsoft Deutschland GmbH
Telefon 01888/515 558 Telefon 01888/515 558
Telefax 01888/515 586 Telefax 01888/515 586
E-Mail: floeper@bpb.de E-Mail: floeper@bpb.de
„Verbraucheraufklärung als Erfolgsfaktor für mehr Online-Sicherheit“ 10
Tagungsleitung: Redaktion: Patrick von Braunmühl, stellv. Vorstand Verbraucherzentrale Bundesverband
Berthold L. Flöper Anke Vehmeier
Bundeszentrale für politische Bildung/bpb E-Mail: vehmeier-presse@web.de Podiumsdiskussion:
Telefon 01888/515 558
Berthold L. Flöper (verantwortlich) „Law and Order oder: Wer hält die Betrüger für eine
Telefax 01888/515 586
sichere Internet-Zukunft in Schach?“ 12
E-Mail: floeper@bpb.de E-Mail: floeper@bpb.de
Thomas Baumgärtner, Microsoft Deutschland GmbH
Sabine Frank, Geschäftsführerin, Freiwillige
Tagungsorganisation: Gestaltung: Selbstkontrolle Multimedia-Diensteanbieter e.V.
Frank Felzmann, Referatsleiter IT-Sicherheit in Betriebssystemen,
Gabriele Prues Bilsing & Maußen Grafik-Design Bundesamt für Sicherheit in der Informationstechnik
Bundeszentrale für politische Bildung/bpb E-Mail: design@bilsing-maussen.de Stefan Gehrke, Geschäftsführer Mcert Deutsche Gesellschaft für IT-Sicherheit
Telefon 01888/515 555 Markus Caspers, Büroleiter des SPD-Bundestagsabgeordneten Manfred Zöllmer,
Telefax 01888/515 586 dem stellvertretenden Vorsitzenden des Verbraucherausschusses
E-Mail: prues@bpb.de
Herstellung Dr. Per Christiansen, Principal, AOL-Deutschland
Moderation: Dr. Holger Schmidt, Frankfurter Allgemeine Zeitung
V + V Druck
Dokumentation:
info@vuvdruck.de
Anke Vehmeier
„Global vernetzt und lokal verankert – Best-Practice-Beispiele
Freie Journalistin für eine Berichterstattung in lokalen und regionalen Tageszeitungen“ 18
E-Mail: vehmeier-presse@web.de
Torsten Kleinz, freier Journalist
Assistenz:
„Ausspioniert und abgezockt?“ Gefahren und Risiken
Barbara Lich für private Internet-Nutzer und wie sie sich schützen können 20
Bundeszentrale für politische Bildung/bpb Frank Ackermann, eco Verband der deutschen Internetwirtschaft e.V.
„Schlüsselqualifikation Medienkompetenz: ‚Leitplanken‘
zum Schutz beim Surfen für Kinder und Jugendliche“ 24 Editorial
Isabell Rausch-Jarolimek,
Freiwillige Selbstkontrolle Multimedia-Dienstanbieter e.V.
Hacker, die aus Spaß oder zu Demonstrationszwecken Computerprogramme knacken und andere,
die aus politischen oder moralischen Gründen öffentlich auf Internet-Angebote aufmerksam ma-
Live-Hacking-Demonstration 26 chen, werden immer seltener. Stattdessen sind Betrüger und die organisierte Kriminalität auf dem
Vormarsch. Sie nutzen die Arglosigkeit der Internet-Nutzer für ihre Straftaten aus, „phishen“ Pass-
Sven Thimm, Microsoft Deutschland GmbH
wörter und Identifikationsnummern, infizieren Überwachungsprogramme und kapern Computer mit
dem Ziel, sich einzuklinken, zu spionieren, abzukassieren. Die meisten Bürger kennen die Gefahren
nur im Ansatz – wer nicht zum Opfer werden will, muss besser informiert sein.
Deshalb hat sich die Bundeszentrale für politische Bildung/bpb des Themas angenommen und in
Praxisbericht: „Den Online-Betrügern auf der Spur“ 28
Kooperation mit der Initiative „Deutschland sicher im Netz“ den Workshop für Wirtschafts- und
Dr. Markus Dinnes, Rechtsanwalt Verbraucherjournalisten in lokalen und regionalen Medien am 17. und 18. November in Berlin
initiiert. Die Teilnehmerinnen und Teilnehmer informierten sich über die wachsenden Risiken in
der Internetwirtschaft. Im vorliegenden Reader berichten Expertinnen und Experten in einem
kompakten Überblick über kriminelle Machenschaften im Netz und über die Möglichkeiten, sie
„Wirtschaftswunder aus dem World Wide Web oder zu bekämpfen. Es werden Wege aufgezeigt, wie sich normale Internet-Nutzer sowie kleine und
wie sieht die Zukunft der Informationstechnologie aus?“ 30 mittelständische Unternehmen gegen die Vielzahl von Angriffen aus dem Internet, die von lästi-
ger, elektronischer Werbung über unseriöse Angebote bis hin zu politischen Hetzseiten reichen,
Nikola John, Europäische Kommission, Vertretung in Deutschland richtig schützen können.
Wirtschaft in der Tageszeitung – erfolgreiche Konzepte 36
Ronny Gert Bürckholdt, Badische Zeitung
Klaus Köhler, Augsburger Allgemeine
Thomas Krüger
Präsident der Bundeszentrale für politische Bildung
Anhang 40
Thomas Baumgärtner Bei der Informationssicherheit geht es tech- Das ist Cyber-Terrorismus. Ökonomisch-tech-
nisch um Vertraulichkeit, Integrität und Verfüg- nisch beinhaltet die Gefahr Spionage, Spam,
barkeit von Informationen und Systemen. Si- das Kompromittieren und den Missbrauch per-
Risiken begegnen, cherheit technisch heißt, ein System wird dann sönlicher Daten. Kommunikativ ist zu befürch-
Chancen nutzen: als sicher bezeichnet, wenn der Aufwand für
das Eindringen in das System höher ist als der
ten, dass sich die Wertesysteme und der See-
lenzustände (insbesondere von Jugendlichen)
Die Dimensionen des daraus resultierende Nutzen für den Angreifer.
Informationssicherheit holistisch bedeutet Um-
durch Gewaltverherrlichung, sektenartige Pro-
paganda, fragwürde Glaubenslehren etc. verän-
Internets gang mit Unsicherheit vermitteln, Maßnahmen dern werden.
zur Reduktion von Risiko auf ein sozial und öko-
Die Operationale Sicherheit-Strategie eines
nomisch verträgliches Maß zu reduzieren.
Herstellers muss es sein, eine sichere Platt-
form, unterstützt durch Sicherheitswerkzeuge,
-services und proaktive Informationen, zu schaf-
W
ir haben eine global vernetzte Welt. Peer-to-Peer-Netze fen, um Anwendern mehr Sicherheit zu geben.
Das birgt riesige Chancen für Wirt- und Informationssicherheit: Nötig sind Technologie-Investitionen, für eine
schaft und Gesellschaft. Es ergeben hochqualitative Systembasis, Innovationen für
sich aber auch Gefahren für die Nutzer des Ein Peer-To-Peer-Netz ist das Gegenteil vom Sicherheit und Prozesse. Ferner ist proaktive
Internets. Wir beobachten ein bedrohliches Client-to-Server-Prinzip. Es gibt keine zentrale Information notwendig: Szenarien-basierte In-
Schädlingswachstum: Im September 2004 gab Datenbank, kein Überblick über das Gesamt- formationsinhalte und Werkzeuge, Trainings
es rund 100.000 registrierte Schädlinge. Im Juli system. Peers, Verbindungen und Informati- und Schulungen, verantwortliche Reaktion auf
2006 waren es bereits 200.000. Experten haben onen sind nicht verlässlich. Die sozialen As- Vorfälle. Strategische Partnerschaften sind ge-
festgestellt, dass 82% der Kleinen und Mittleren pekte von Peer-to-Peer bedeuten, dass sich der fragt, für eine Sensibilisierung in der Breite. An-
Unternehmen (KMU) mit Schadsoftware (IDC) in Nutzer (Peer) mit Technologie sein System den gestrebt werden Kooperation in der Strafverfol-
Berührung kommen. Außerdem waren 60% der eigenen Bedürfnissen und Wertesystemen an- gung und einheitliche Leitfäden.
privaten Nutzer, nach Angaben von TNS Infra- passt. Eine Akzeptanz und weitere Verbreitung
test), bereits Opfer von Onlinebetrügern. für diese Form von Info-Gesellschaft hängt vom
Ein lästiges Übel ist Spam: Wenn man davon Vertrauen der Nutzer in Technologie, Internet-
ausgeht, dass etwa vier Milliarden E-Mails je- Branche, Access- und Content Provider ab. Au- Kontakt:
haben; mehr als 50.000 Benutzer das Mali- ßerdem wird der Nutzer zum „Medienmacher“.
den Tag verschickt werden, sind davon mehr als
cious Software Removal Tool ausführten – zwei Das bedeutet eine De-Professionalisierung des
90% Spam. 80% des Spam stammt aus Botnet- Thomas Baumgärtner
Instanzen des Sasser Wurms entfernten; 149 Journalismus.
zen. Der Begriff „Bot“ bezeichnet Fernsteuer-
Bot-Instanzen fanden und entfernten; 7.500 Pressesprecher Security und Copyright
programme. Kompromittierte Systeme werden Die Bedrohungen der Informationsgesellschaft
Instanzen von potentieller Schadsoftware (Spy- Microsoft Deutschland GmbH
von einem Angreifer zentral befehligt. Sie wer- sind sozio-ökonomisch. Das heißt, ein Ungleich-
ware) entfernt wurden?
den in der Regel über Viren (trojanische Pferde) gewicht in der Gesellschaft, es entsteht ein di- Tel.: 089/3176-5392
aber insbesondere über Würmer (automatisier- Die Bedrohung hat sich kontinuierlich gesteigert: gitaler Graben. Die Privatsphäre wird verletzt. E-Mail: thomba@microsoft.com
te Ausnutzung von Schwachstellen) verbreitet. 1986 bis 1995 gab es PC-Viren, Boot Sektor Vi-
Ein Angreifer kann die infizierten Rechner zen- ren, Vandalismus, schlechte Scherze. Insgesamt
tral fernsteuern. Eine weitere Bedrohung be- haben sich die Bedrohungen aber langsam ver-
steht durch das Phishing beim Online-Banking. breitet. 1995 bis 2000 kann als Internet Ära be-
78,9% der Online-Nutzer (laut TNS Infratest) zeichnet werden. Es gab Macro Viren, Script Vi-
hatten bereits Berührung mit Phishing – und ren, Vandalismus, schlechte Scherze wie zuvor.
74% der Unternehmen. Aber mit dem Unterschied, dass die Verbreitung
schneller wurde. In den Jahren 2000 bis 2005
Wir erkennen, dass das Sicherheitsbewusstsein
ist das Breitband geläufig. Die Rechner wer-
bei Onlinern und in Unternehmen deutlich ge-
den bombardiert mit Spyware, Botnets, Root-
stiegen ist, aber ist damit auch die Sicherheit
kits. Die Hacker haben finanzielle Motivationen
gestiegen? Durch die automatischen Updates
und verbreiten ihren Schaden über das breite
für Windows hat es in den vergangenen zwei
Internet. Für die kommenden Jahre bestehen
Jahren keine Wurm-Epedemie gegeben.
die Bedrohungen im Peer-to- Peer, Social en-
Hätten Sie gewusst, dass in den nächsten 30 gineering, Hyperjacking, „Application attacks“.
Minuten mehr als 1.500 IT-Administratoren In- Die Angriffe sind klar finanziell motiviert. Es sind
halte von der Microsoft Webseite abgerufen gezielte Angriffe.
Patrick von Braunmühl eines Rechners könnte etwa ein Versicherungs- Kontakt:
paket angeboten werden.
Patrick von Braunmühl
Verbraucheraufklärung Zusammenfassung: Stellv. Vorstand
als Erfolgsfaktor für Wir brauchen mehr Aufklärung und Verbessung
Verbraucherzentrale Bundesverband e.V. -
vzbv
mehr Online-Sicherheit der Betriebssysteme. In den Schulen müssen
sichere Verhaltensweisen trainiert werden. Wir Markgrafenstraße 66
brauchen gesetzliche Rahmenbedingungen und 10969 Berlin
schärfere Sanktionen. Und wir brauchen neue Tel.: 030/25800-0
technische Ansätze. E-Mail: info@vzbv.de
V
erbraucheraufklärung ist ein wichtiger
Punkt. Er allein reicht aber nicht aus, um
mehr Sicherheit im Internet zu bekom-
men. Die Verbraucher sind verunsichert – 80
bis 90% fühlen sich im Netz nicht sicher. Und
sie fühlen sich allein gelassen. Die Verbrau-
cher sind mit den ganzen Schlagwörtern wie
Phishing, Pharming etc. und den daraus re-
sultierenden Bedrohungen hoffnungslos über-
fordert. Sie haben größte Schwierigkeiten zu
verstehen, worum es dabei eigentlich geht. Die
Verantwortung für mehr Sicherheit kann allein
schon deshalb nicht allein auf den Nutzern
ruhen. Wir Verbraucherschützer sehen Politik
und Wirtschaft gleichermaßen in der Pflicht.
Wir brauchen sichere Betriebssysteme und wir
hang müssen wir auch den Einsatz der elektro-
brauchen einen gesetzlichen Rahmen, durch
nischen Signatur fördern. Anbieter müssen sich
den Verbraucher sicher im Internet agieren
aus Sicht der Verbraucherschützer dem Grund-
können.
satz der „Datensparsamkeit“ verpflichten. Da-
So muss die Versendung von unerwünschten ten ihrer Kunden dürften sie nur nach deren
Müll-Mails (Spam) als Straftat verfolgt werden. ausdrücklicher Zustimmung für Marketingzwe-
Rund 2,5 Milliarden Euro Schaden entstehen in cke einsetzen.
der Europäischen Union jährlich durch Spam. Die Beweislast liegt in der Regel beim Verbrau-
Das ist ein enormer volkswirtschaftlicher Scha- cher. Wird bei der Übertragung von Steuerda-
den. Wir haben ein Aktionsbündnis gegen Spam ten an das Finanzamt Missbrauch betrieben, ist
gegründet mit eco und der Wettbewerbszentra- der Verbraucher der Leidtragende. Es müssen
le. Wir sind der Meinung, dass ein Anti-Spam- sichere Räume im Internet geschaffen wer-
Gesetz für Deutschland her muss. In anderen den. Aufklärung und Bildung sind notwendig.
Ländern gibt es das bereits – zum Beispiel in Ich habe allerdings den Eindruck, dass die, die
Italien. Dort gibt es auch drastische Strafen, bis besonders laut mehr Sicherheit fordern, ver-
zu Gefängnisstrafen. gessen, dass sie in der Pflicht sind. Dass sie
Verantwortung übernehmen und ihr gerecht
Wir brauchen Haftungsregeln für den Miss-
werden müssen. Wir brauchen ein „digital rights
brauchsfall, nur so kann es Hoffnung geben,
management“.
dass zum Beispiel Online-Banking sicherer
wird. Die rechtlichen Regeln für Online-Banking Es gilt, den Verbrauchern deutlich zu machen,
und die Bedrohung durch Phishing sind unklar. dass Sicherheit etwas kostet, aber es müssen
Allerdings investieren die Banken auch nicht auch die Hilfen für die Verbraucher professiona-
genug in die Sicherheit. In diesem Zusammen- lisiert und erschwinglich werden. Beim Verkauf
Podiumsdiskussion trauen ist eine beliebte Methode, an das Geld und Vorschläge zur Verbesserung der Sicher-
des Verbrauchers zu kommen. Insgesamt ist heit in der Informationstechnik zu unterbreiten
zwar die Zahl der geglückten Angriffe durch das sowie auf die möglichen Folgen fehlender oder
Law and Order oder: gesunde Misstrauen der Benutzer zurückge- unzureichender Sicherheitsvorkehrungen hin-
gangen, aber der durchschnittlich verursachte zuweisen.
Wer hält die Betrüger Schaden pro Fall ist enorm gestiegen.
Schmidt: Herr Christiansen, reichen die Gesetze
für eine sichere Internet- Schmidt: Herr Felzmann, als nationale Sicher- aus, um die Kriminellen, die häufig im Ausland
heitsbehörde ist es das Ziel des BSI, die Inter- sitzen und ihre wahre Identität geschickt ver-
Zukunft in Schach? (in Auszügen) net-Sicherheit in Deutschland voran zu bringen. schleiern, bestrafen zu können?
Nun zeigen Umfragen, dass die Internetnutzer
Christiansen: In
die Verantwortung für die Sicherheit in erster Li-
dem Bereich der
nie bei sich selbst und bei der Internetwirtschaft
Online-Kriminalität
sehen. Was kann das BSI tun, um die Sicherheit
T
gibt es kaum Straf-
eilnehmer: Thomas Baumgärtner, Pres- richtigen Maßnahmen ergriffen, um die Resis- zu erhöhen?
barkeitslücken. Die
sesprecher, Microsoft Deutschland GmbH; tenz von Windows als Betriebssystem gegen
Felzmann: Um die Si- letzten bestehen-
Sabine Frank, Geschäftsführerin, Freiwil- solche Angriffe zu erhöhen, also Windows si-
cherheit gerade der den Lücken sollen
lige Selbstkontrolle Multimedia-Diensteanbie- cherer zu machen. Zum anderen arbeiten wir
Internetnutzer zu er- gerade geschlossen
ter e.V.; Frank Felzmann, Referatsleiter IT-Si- heute viel effektiver mit den weltweiten Strafver-
höhen, hat das BSI ein werden. Niemand
cherheit in Betriebssystemen, Bundesamt für folgungsbehörden zusammen, um die Urheber
umfangreiches Web- kann ernstlich auf Straffreiheit hoffen, wenn er
Sicherheit in der Informationstechnik; Stefan der kriminellen Machenschaften zu identifizie-
Angebot mit Informa- über das Internet anderen Geld stiehlt.
Gehrke, Geschäftsführer, Mcert Deutsche Ge- ren. Wichtig war uns aber auch die Aufklärung
tionen und Empfeh-
sellschaft für IT-Sicherheit; Markus Caspers, der Benutzer über die Gefahren aus dem Web. Das Kernproblem liegt nicht in den Gesetzen,
lungen eingerichtet. Es
Büroleiter des SPD-Bundestagsabgeordneten Nur wer das Gefahrenpotential kennt, kann sich sondern darin, die Täter zu ermitteln, sie zu fin-
gibt dabei zum einen
Manfred Zöllmer, dem stellvertretenden Vorsit- ausreichend davor schützen. den und dingfest zu machen. Das ist aus vielen
Informationen unter
zenden des Verbraucherausschusses, Dr. Per Gründen schwierig, etwa wenn die Täter ihre
Schmidt: Gibt es konkrete Projekte? www.bsi.bund.de, die sich mehr an den erfah-
Christiansen, Principal, AOL-Deutschland Datenspuren gut zu beseitigen wissen.
renen Benutzer wenden, und zum anderen unter
Moderation: Dr. Holger Schmidt, Frankfurter Baumgärtner: Durch www.bsi-fuer-buerger.de für den nicht so tech- Eine der größten juristischen Hürden sind dabei
Allgemeine Zeitung unsere Aktivitäten inner- nisch versierten Anwender. Dort ist auch ein die Verfahren der internationalen Rechtshilfe,
halb der „Deutschland- Link zu der Seite www.buerger-cert.de, auf der also Verfahren, die eingehalten werden müssen,
Schmidt: Herr
sicher-im-Netz“ – Ini- man einen Newsletter abonnieren kann. Darü- wenn die Polizei gegen Täter im Ausland ermit-
Baumgärtner, kein
tiative, aber auch mit ber hinaus gibt es Kontakte zu Herstellern von telt oder ausländische Polizei in Deutschland
Unternehmen hat
eigenen Aufklärungs- Anwendungs- und Betriebssystem-Software ermitteln möchte. An diesen Verfahren schei-
mehr Erfahrung
und Sensibilisierungs- (darunter auch Microsoft), um Empfehlungen tern tagtäglich unzählige Ermittlungsverfahren,
mit der IT-Sicher-
kampagnen, konnten wir
heit und muss
dazu beitragen, das Bewusstsein der Nutzer, so-
sich häufiger ge-
wohl der privaten Anwender, als auch in Firmen
gen Angriffe aus
und Organisationen zu schärfen. Die Anwender
dem Internet weh-
wissen heute in der Mehrzahl, dass sie selbst
ren als Microsoft.
in der Pflicht stehen, wenn es um die sichere
Sie können es ein-
Einstellung ihrer Computer geht, und darum,
schätzen: Wie groß ist das Gefahrenpotential
wie man sich im Netz richtig verhält. Auch die
im Internet eigentlich? Wie professionell agie-
Gefahren durch Spam und Phishing sind weit-
ren die Internet-Kriminellen inzwischen, die hin-
gehend bekannt. Trotzdem ist das Gefahrenpo-
ter dem Geld der Nutzer her sind? Und welche
tential nicht geringer geworden. Hackern geht
Methoden der Cyber-Kriminellen werden uns in
es heute nicht mehr um die zweifelhafte „Ehre“,
Zukunft am meisten zu schaffen machen?
möglichst viele Computer zum Absturz zu brin-
Baumgärtner: Microsoft ist mit der Präsenz gen, wie das noch vor ein paar Jahren gewesen
seiner Produkte beim Kunden tatsächlich ein ist. Heute stehen materielle Interessen an der
bevorzugtes Angriffsziel aller Arten von Hackern Spitze der möglichen Motive. Hacker verkaufen
gewesen. Daraus haben wir aber auch viel ge- ihre Leistung oftmals an organisierte Kriminelle,
lernt. Zum einen haben wir vor viereinhalb Jah- die dann selbst den Schaden beim Anwender
ren mit der Trustworthy Computing Initiative die verursachen. Auch das Erschleichen von Ver-
10 11
weil diese im jeweils anderen Staat schlicht Schmidt: Frau Frank, die Freiwillige Selbstkont- und verküpft sie zu Botnetzen, die ein Vierter te Microsoft eindeutig identifizierte Spammer
nicht mehr bearbeitet werden. Auch innerhalb rolle Multimedia-Diensteanbieter hat seit ihrer dann für verschiedenartige Angriffe verwendet. auf dem Umweg über das Urheberrecht ver-
der Europäischen Union. Aufgrund der Masse Gründung mehrere Tausend Beschwerden der Und dass die Täter zumeist aus dem Ausland klagen, weil ein wirksamer Schutz durch ein
von Anfragen setzen die Staaten sich teilweise Internetnutzer über rechtswidrige oder jugend- kommen, erleichtert die Strafverfolgung auch entsprechendes Anti-Spam Gesetz noch fehlt.
Schwellenwerte für Bagatellkriminalität, unter- gefährdende Inhalte in Online-Diensten erhalten nicht gerade. Strafverfolgungsbehörden sollten international
halb derer sie Anfragen aus dem Ausland nicht und bearbeitet. Worüber haben sich die Nutzer einfacher zusammenarbeiten können. So enga-
Schmidt: Wie oft kommt Wirtschaftsspionage
mehr beantworten. Und einfache Fälle des Phi- besonders häufig beschwert? Und was kann Ihr giert sich Microsoft im weltweiten Kampf gegen
vor?
shings etwa gelten als Bagatellkriminalität. Ist Verein tun, um die Nutzer effektiv zu schützen? Phishing. In der „Global Phishing Enforcement
ein Rechtshilfeverfahren endlich abgeschlos- Gehrke: Jedes Unternehmen, gleich welcher Initative“ (GPEI) arbeiten wir mit staatlichen
Frank: Der größte
sen, sind oftmals die ermittlungsrelevanten Größe, kann heute Opfer von Wirtschaftsspi- Stellen, internationalen Behörden und Partnern
Teil der Beschwer-
Daten bereits gelöscht. In der Praxis hört man onage werden. Es wird natürlich ungern darü- aus der Industrie Hand in Hand.
den, die uns errei-
immer wieder davon, Akten würden einfach ge- ber gesprochen, da ein solcher Umstand auch
chen, bezieht sich Schmidt: Es gibt Fälle von Erpressung durch
schlossen, weil sich der Aufwand einer Ermitt- einen großen Vertrauensschaden verursachen
auf Kinderpornogra- Hacker? Können Sie ein Beispiel nennen?
lung im Ausland nicht lohne. kann. Verschiedene Untersuchungen zeigen
fie. Ihr Anteil am ge-
aber, dass viel mehr Unternehmen betroffen Felzmann: Ein Online-Wettbüro in England
Mittelfristig gibt es zu einer wesentlichen Ver- samten Beschwer-
sein müssen, als öffentlich bekannt ist. wurde bei einem lokalen Pferderennen durch
besserung dieser Verfahren keine Alternative, deaufkommen liegt
einen massiven Angriff auf das Online-Ange-
wenn die Ermittlungsbehörden im Internet auf bei ungefähr einem Schmidt: Können sich Surfer überhaupt richtig
bot, ein so genannter „Denial-of-Service“-An-
Augenhöhe mit dem internationalen Verbrechen Viertel. schützen. Sind nicht die Anbieter von Betriebs-
griff, so behindert, dass Online-Wetten nur ein-
agieren können sollen. systemen und Software eher in der Pflicht?
Neben unserer Tätigkeit als Einrichtung der geschränkt möglich waren. Anschließend ging
Schmidt: Herr Gehrke, Mcert sieht seine Auf- Freiwilligen Selbstkontrolle und der damit ver- Baumgärtner: Beim Schutz vor Kriminellen eine E-Mail ein mit der Aufforderung, 10.000
gabe darin, kleinen und mittleren Unternehmen bundenen umfassenden Beratung unserer Mit- aus dem Internet sind Alle in der Pflicht. Sur- Dollar zu überweisen, da ansonsten beim dem-
bei Problemen mit der IT-Sicherheit zu helfen. glieder in Fragen des Jugendmedienschutzes fer müssen sich verantwortungsvoll verhalten, nächst stattfinden National Derby, wo wesent-
Wie oft wenden sich diese Unternehmen hilfe- ist es uns ein dringendes Anliegen, die Medien- nicht jede E-Mail oder deren Anhang öffnen und lich höhere Wett-Umsätze zu erwarten wären,
suchend an Sie und welche Probleme kommen kompetenz von Internetnutzern, insbesondere sich nicht auf Phishingseiten leiten lassen. Im der Angriff wiederholt werden würde. Ähnliche
besonders häufig vor? Sind nicht nur die pri- von Kinder und deren Erziehungsberechtigten, Zweifelsfall hilft immer noch ein Anruf beim Ab- Erpressungsversuche zur Behinderung von On-
vaten Internetnutzer, sondern auch kleine und zu fördern, indem wir entsprechende Angebote sender einer Mail, also etwa bei meiner Bank. line-Angeboten sind mittlerweile an der Tages-
mittlere Unternehmen überfordert, sich gegen für sie zur Verfügung stellen. Im Rahmen die- Softwarehersteller wie Microsoft und Servicean- ordnung.
die Gefahren aus dem Internet zu schützen? ser Aufklärungsarbeit ist beispielsweise das bieter sind ebenfalls in der Pflicht: Wir müssen
Schmidt: Woher droht die größte Gefahr und
Medienkompetenz-Portal www.internauten.de an unserer Technologie arbeiten, um Hackern
was können Provider zum Schutz beitragen?
Gehrke: In den entstanden. Wir engagieren uns in diesem Be- immer ein Stück voraus zu sein und wir müs-
vergangenen Jah- reich, weil wir die Überzeugung vertreten, dass sen die Verbraucher über neue Gefahren infor- Christiansen: Das ist wie im Straßenverkehr. Mit
ren hat sich schon nur kompetente Nutzer, die zu einem selbstbe- mieren. Aber auch der Staat kann durch eine einer Haltung „Mir passiert nichts“ oder „Das
eine ganze Menge stimmten Umgang mit neuen Medien fähig sind, entsprechende Gesetzgebung viel zu mehr Si- geht noch gut“ schafft man größte Gefahren-
getan. Die Verant- auch in der Lage, sind, sich effektiv zu schüt- cherheit beitragen. In Deutschland etwa muss- quellen für sich und andere. Als Internet-Nutzer
wortlichen in klei- zen. Weiterhin bieten wir eine Beschwerdestel-
nen und mittelgroß- le an, an die sich jeder Nutzer wenden kann,
en Unternehmen um sich im Bereich des Jugendmedienschutzes
wissen mittlerweile, über strafbare oder jugendgefährdende Inhalte
dass IT-Sicherheit im Internet zu beschweren
auch ein Thema
Schmidt: Herr Gehrke, gegen welche Bedro-
für sie ist. So gibt es kaum noch ein Unterneh-
hungen müssen sich Unternehmen besonders
men, das auf Firewalls oder Anti-Virensoftware
schützen?
verzichtet. Aber das reicht leider nicht mehr aus.
Die heutigen Angreifer werden immer krimineller Gehrke: Wie gesagt, die Angriffsmethoden
und sehen es dabei ganz gezielt auf Daten aus werden immer krimineller. Den Tätern kommt
den Unternehmen ab. Und davon kann jedes Un- es nicht mehr auf öffentliche Aufmerksamkeit,
ternehmen betroffen sein, und sei es nur als Teil sondern vielmehr darauf an, möglichst lan-
eines rechtswidrigen Bot-Netzes, mit dem Spam- ge unentdeckt agieren zu können. Zudem hat
E-Mails versendet oder Dritte erpresst werden sich ein ganzes Geschäftsfeld um das Thema
können. Entscheidend ist, dass die Unternehmen „Malware“ entwickelt. Einer spürt die Software-
gut informiert sind, um rechtzeitig vor Sicherheits- lücken auf, ein anderer schreibt die passende
lücken und Angriffen gewarnt zu werden. Angriffssoftware, ein Dritter kapert die Rechner
12 13
inzwischen eine Vielzahl an – vor allem kleineren Beteuerungen der Hersteller und der prüfenden
-Initiativen, die sich der Medienkompetenzför- Stellen, diese Systeme seien nicht zu manipu-
derung widmen. Leider sind sie vielen Men- lieren, werden aus der Hackerszene nachhaltig
schen jedoch immer noch zu wenig bekannt. bezweifelt.
Weiterhin wäre es wünschenswert, wenn sich
die Bekanntheit von Beschwerdemöglichkeiten
wie der von uns in Kooperation mit dem Ver- Kontakte:
band der Deutschen Internetwirtschaft eco an-
gebotenen Internet-Beschwerdestelle erhöhen
Thomas Baumgärtner
würde. Auch hierzu könnten Lokaljournalisten
Microsoft Deutschland GmbH
durch entsprechende Berichterstattung einen
Tel. 089/31765392
Beitrag leisten.
E-Mail: thomba@microsoft.com
Gehrke: Suchen Sie sich IT-Dienstleister in Ih-
rem Berichtsgebiet und sprechen Sie mit ihnen Frank W. Felzmann
über die schlimmsten Sicherheitsvorfälle und BSI - Bundesamt für Sicherheit
die größten Sicherheitslücken bei deren Kun- in der Informationstechnik
den. Sie werden mit Sicherheit keine Namen Tel.: 01888-9582-5248 /
erfahren, bekommen aber einen Einblick in die Fax: 01888-10-9582-5248
Problematik. Vergessen Sie aber nicht, sich E-Mail: frank.felzmann@bsi.bund.de
auch die Möglichkeiten, wie man es besser ma- http://www.bsi.bund.de
chen kann, erläutern zu lassen.
Dr. Per Christiansen, MSc
Christiansen: Während in den USA das The- Principal, Rechtsanwalt
muss man sich für Internet-Sicherheit interes- Nutzer zu verbessern und die Kunden gezielt zu
ma Spyware mit der gleichen Aufmerksamkeit Finance & Legal
sieren, genauso wie man beim Kauf eines Neu- sicherem Verhalten anzuleiten. Dies kann durch
wie Phishing oder Spam behandelt wird, ist das AOL Deutschland GmbH & Co. KG
wagen auf ABS achtet. umfangreiche Webseiten zu Sicherheitsthemen
Risiko durch Spyware in Deutschland kaum be- Telefon: +49 (0) 40 / 361 59-7302
oder durch spezifisch auf eine Situation abge-
Als Provider hat man zum einen die Möglichkeit, kannt. Spyware bezeichnet Software, die Da- E-Mail: ChristiansenDE@aol.com
stimmte Tipps erfolgen, etwa durch den be-
die eigenen Kunden durch Sicherheitstechno- ten des Nutzers für kommerzielle Zwecke aus-
kannten Hinweis, Mitarbeiter der Bank XY wer- Sabine Frank
logien zu schützen, etwa durch Spam- und Vi- späht.
den Sie niemals nach Ihrem Passwort fragen. Freiwillige Selbstkontrolle
renfilter oder Funktionen, die vor Dialern oder
Ein anderes Thema ist die zunehmende Sorglo- Multimedia-Diensteanbieter
potentiellen Phishing-Sites warnen. Solche AOL hat es sich zur Aufgabe gemacht führend
sigkeit im Umgang mit den eigenen personenbe- Tel. 030 – 29 35 06 88
Technologien sind im Prinzip wirksam, in der bei der Internetsicherheit zu sein. In Zusammen-
zogenen Daten. Während zur Zeit der Volkszäh- E-Mail: frank@fsm.de
Praxis werden sie von Kunden oft nicht ge- arbeit mit dem AOL-Sicherheitsrat, einem Gre-
lung Barrikaden brannten, weil der Staat Name
nutzt. Angesichts der Vielzahl von verfügbaren mium mit Experten aus Politik, Wirtschaft und Stefan Gehrke
und Adresse erfassen wollte, wandeln sich viele
Virenscannern dürfte es eigentlich kaum noch Medien, hat die Geschäftsleitung Zielverein- Mcert Deutsche Gesellschaft für IT-Sicherheit
Internet-Angebote zu Bereichen, in denen der-
Infektionen geben. Das Gegenteil ist der Fall, barungen getroffen um die Sicherheit für AOL, Tel. 030/30 87 43 – 74
jenige am meisten Anerkennung genießt, der in
weil Virenscanner oftmals nicht aktualisiert oder aber auch als Beispiel für die Branche zu ver- E-Mail: s.gehrke@mcert.de
Profilen und anderen Selbstdarstellungen am
zur Verringerung der Systemlast ausgeschaltet bessern. Im Zentrum steht die Steigerung der
meisten Daten über sich preisgibt. Welche Rolle
werden. Medienkompetenz von Usern. Das fängt schon Markus Caspers
spielt der Datenschutz in Zukunft?
im Kleinen an, mit Seiten auf AOL.de, die Eltern Büro des Bundestagsabgeordneten
Auch darf eines nicht übersehen werden: Schutz-
über Gefahren im Internet aufklären und eige- Unter dem Sicherheitsaspekt äußerst relevant Manfred Zöllmer
maßnahmen durch Provider basieren notwendig
nen Kinderbereich. Weiterhin haben wir mit dem sind überdies Wahlcomputer, die in Zukunft für Tel. 030-227-70112
auf dem Prinzip, zu prüfen, ob die Handlungen
jüdischen Museum eine Aufklärungskampagne Parlamentswahlen eingesetzt werden sollen. Die E-Mail: manfred.zoellmer.ma01@bundestag.de
der Kunden plausibel und authentisch oder in
durchgeführt und mit dem AOL Safer Media
irgendeiner Weise verdächtig erscheinen. Ein
Award Best-Practice Beispiele für sichere Me-
Dialer-Warner muss erkennen, dass der Nutzer
diennutzung prämiert.
eine Dialer-Verbindung ausgelöst hat und ent-
sprechend bei dem Nutzer nachfragen. Wie viel Schmidt: Nennen sie ein oder zwei Beispiele
„Bevormundung“ durch solche Systeme halten für Themen, die Lokalredakteure in ihrem Medi-
wir für akzeptabel? en aufgreifen können?
Zum anderen haben die Provider die Möglich- Frank: Lokalredakteure könnten über medien-
keit, durch gezielte Informationen die Risiko- pädagogische Projekte informieren, sowohl auf
wahrnehmung und die Medienkompetenz der nationaler als auch auf lokaler Ebene. Es gibt
14 15
Torsten Kleinz Die digitale Welt ist schnelllebig, deshalb ist es n Für die tägliche Arbeit ist es wichtig, jeden
für Journalisten unerlässlich, auf dem aktuellen Rechercheschritt zu dokumentieren, denn:
Stand zu bleiben. Dazu gehört, Online-Nachweise verschwinden!
Global vernetzt
n eine Computerzeitschrift (Print) zu abonnieren, n Bei aktuellen Sicherheitslücken müssen die
und lokal verankert Betroffenen informiert werden und alle Schritte
n ein bis zwei IT-Newsticker zu verfolgen, sowie zur Schließung der Lücke veranlasst werden.
n private Neugier am PC. Recherchewege n Es empfiehlt sich, doppelt zu kontrollieren
sind Zeitungsarchive, Fachartikel, ob die Verantwortlichkeiten stimmen.
n Googeln, n Immer möglichst mit Verantwortlichen
sprechen.
W
as ist Computersicherheit? Compu- n Usenet,
ter-Sicherheit ist computer safety und
n Weblogs sind wichtige Instrumente.
computer security. Kontakt:
Außerdem lohnen sich Besuche von
Wer über Computersicherheit schreiben will,
Torsten Kleinz, freier Journalist
muss sie auch praktizieren! n Messen, Kursen und Informationsveranstal-
tungen. http://www.kleinz.net
Die schlechte Nachricht lautet: 100-prozentige
Sicherheit gibt es nicht.
n Es gibt Tausende von Viren und Trojanern.
n Jede Sicherheitsmaßnahme wird umgangen.
n Die größte Sicherheitslücke ist der Mensch.
Tipps für Journalisten, um IT-Sicherheit zu prak-
tizieren:
Computersicherheit geht alle User an. Deshalb
Emailverschlüsselung. gehört das Thema unbedingt in den Lokal- und
Das funktioniert mit einem Regionaljournalismus. Lokaljournalisten haben
die Nähe zum Leser: Jeder Leser wird von Vi-
n öffentlichen und einem privaten Schlüssel.
ren, Spam und Dialern belästigt und
n Mails an mich werden mit meinem öffent-
n viele der Leser leben vom Internet – vom
lichen Schlüssel verschlüsselt und können vom
Ebay-Verkauf bis zum Forenmoderator bewe-
Absender dann nicht mehr gelesen werden.
gen sie sich im Netz.
n Ich kann die Mail mit meinem privaten n Es gibt viele Firmen, die Internetdienst-
Schlüssel lesen. leistungen anbieten – Systemhäuser, Webde-
signer, Provider – auch in der eigenen Regi-
Bei der Festplattenverschlüsselung werden on. Ein bundes- oder weltweites Thema hat
n die Dateien in einen verschlüsselten „Contai- Einfluss auf die eigenen Leser. Beispiele für
ner“ gepackt. Die Dateien können nur mit dem Themen im Lokalen sind Wahlcomputer, Si-
richtigen Passwort entschlüsselt werden. Auch cherheitslücken bei Banken, Code-RedLe-
wenn die Festplatte kopiert wird, ist der Inhalt ser.
sicher. n Computersicherheit ist nicht nur eine Fra-
ge von Fakten, Computersicherheit ist Politik.
n Lösungen sind bei jedem modernen Be-
Für die Berichterstattung ist es wichtig, die In-
triebssystem enthalten.
teressen der Akteure zu kennen: Firmen, Soft-
n Komplettverschlüsselungen sind aufwän- warehersteller, Sicherheitsdienstleister und
diger und gefährlicher. Kunden.
16 17Frank Ackermann Benutzers auffordert, um Zugang, etwa zum 8. Zugangsdaten grundsätzlich nicht
WLAN zu erlangen. preisgeben
Ausspioniert Weitere Gefahren drohen durch Malware. Ein
Spezialfall ist Keylogging. Es wird durch Auf-
9. Aufklärung aller Nutzer des
Internet-Zugangs
und abgezockt? ruf einer bestimmten URL aktiviert und sendet
Zugangsdaten, etwa PIN & TAN, an den Täter. 10. Aktueller Virenfilter mit Überwachung
Es handelt sich um teilweise gesteuerte Falsch- des Posteingangs oder/und Firewall
Gefahren und Risiken für private Übermittlung der Daten, etwa bei TANs an
Internet-Nutzer und wie sie sich Bankserver, um Validität des Zugangsdatums 11. regelmäßiges Löschen der Caches
schützen können zu erhalten. Die Infektion droht durch E-Mails,
insbesondere Anhänge, durch Skripten, insbe- 12. Cookiespeicherung nur auf Bestätigung
sondere Active-X und Java sowie Browser Hel- des Nutzers
per Objects (BHOs).
D
ie sicherheitsrelevanten Besonderheiten
im Internet sind: Alles ist und alle sind
Systembedingte Gefahren bestehen durch Phi- speziell gegen Keylogging:
shing aus allgemeinen Quellen, zum Beispiel
vernetzt, aber der Nutzer ist weitgehend
Cookies, Browser-Cache sowie Dateien und
autonom. Die Nutzungsdaten werden nicht si- 1. Verwendung des iTAN-Verfahrens =
Dateiverzeichnisse.
cher vorgehalten, so geschehen Manipulati- indiziertes TAN-Verfahren = TAN mit
onen zumeist unbemerkt. Fazit: Nichts ist ge- Fazit: In 2006 wurden bisher mehr als dop- Challenge & Response Protokoll
heim! pelt so viele Fälle des Passwort-Missbrauchs
im Vergleich zum Vorjahreszeitraum registriert. 2. iTAN nur sicher in Verbindung mit SSL
Im Internet lauern verschiedene Gefahren. Das bedeutet einen Anstieg von 3,2% auf 6,8%
Phishing, beziehungsweise E-Mail-basiertes der Sicherheitsverstöße („InformationWeek“).
3. eTAN (elektronische TAN) nur sicher
(klassisches) Phishing hat verschiedene Be- gegen „Man-In-The-Middle“ durch
Es gibt einen blühenden Markt für gefälschte
drohungsszenarien. Der Benutzer erhält eine Integration von Zielkonto und Betrag
Bank-Webadressen.
vertraute E-Mail mit Formularfeldern zur Ein-
gabe seiner personenbezogenen Daten. Oder 4. SSL neuerdings auch eingesetzt
der Benutzer erhält eine vertraute E-Mail, die bei Phishing-Sites, aber, weil
zu einer gefälschten Seite führt, die nicht dem Allgemeine selbstgemacht, mit Warnung.
den falsche Informationen in einem der Caches, Nicht ignorieren !
Original gleicht. In einem anderen Fall erhal-
etwa DNS Spoofing, Name Chaining, etc. ge- Schutzmaßnahmen
ten User vertraute E-Mails, die zu einer ge-
fälschten Seite führen, die dem Original glei- speichert. gegen Phishing:
Praktische Schutzmaßnahmen sind die Nutzung
chen. Es gibt auch folgende Möglichkeit: Der Beim Pharming unterhalten die Täter häufig von alternativen Betriebssystemen und die Nut-
Benutzer erhält eine vertraute E-Mail, die zu eine große Anzahl von Servern zum Hosten der 1. Pflege der Browser-Software mit zung von alternativen Browsern. Aber: IE7 hat
einer gefälschten Seite führt, die dem Origi- gefälschten Websites („Serverfarmen“). Es wer- Sicherheits-Updates Active-X per Default deaktiviert, Phishing-Filter
nal gleicht und die GUI nachbildet. Schließ- den hosts.txt durch Trojaner verändert. hosts. mit Auto-Update, Security Status Bar mit mehr
lich noch dieses Szenario: Der User erhält 2. Überprüfung des Sicherheitszertifikats
txt enthält statische Zuordnungen Domain–IP- Infos (URL in jedem Fenster, Zertifikat, etc.),
eine vertraute E-Mail, die Malware (z.B. Tro- der Webseite
Adresse. Die Bedrohung wird lokal auf der Cross Domain Barriers gg. Cross-Site-Scrip-
janer, Würmer, Viren) enthält. Betroffen von Festplatte gespeichert. Der Trojaner fügt einen ting, kein Zugriff des Browsers auf außerhalb
3. Überprüfung einer gesicherten
Phising sind vorwiegend Banken, aber auch Eintrag, z.B. xyBank.de – der IP-Adresse des der Browserumgebung liegende Systembe-
Übertragung (https://)
Online-Marktplätze. Erstaunlich ist, dass die Angreifers hinzu. reiche, eingeschränkte Kompatibilität (nicht er-
Erfolgsquote von Phishing-Mails noch immer 4. Nicht Links folgen, sondern URL hältlich für Windows 2000).
bei etwa 14% liegt. Es besteht die Gefahr der Täuschung. Beim
manuell eingeben
Frame Spoofing wird nur ein Teil des Web Die User sollten niemals WLAN unverschlüsselt
Ein Spezialfall ist Pharming. Angriffspunkt ist das Browsers, ein Frame, nachgebildet. Die Ver- 5. Deaktivierung von Javascript und nutzen, erst recht keine unverschlüsselte Bereit-
Domain Name System (DNS). Beim DNS Spoo- bindungs- und Sicherheitsindikatoren des User Windows Scripting Hosts, stellung (LG Hamburg, Urteil vom 26.07.2006,
fing fälscht der Angreifer die Antwort auf eine Interfaces bleiben unberücksichtigt. Das Visual Einschränkung von Active-X 308 O 407 / 06). Vorsicht ist geboten bei Auffor-
Anfrage nach xyBank.de. 16-Bit Transaction Spoofing ist eine Variante des Web Spoofings derungen, die eigenen Kontodaten zur Abwick-
ID muss „geraten“ werden (simpel bei WLAN). mit Fokus auf Fälschung der Sicherheitsindi- 6. Keine Mails von unbekannten lung von Zahlungen zur Verfügung zu stellen.
Beim DNS-Flooding wird einem Rechner „auf katoren. Der Benutzer glaubt, in einer SSL- Absendern öffnen Falls etwas passiert ist, etwa PIN und/oder TAN
Verdacht“ eine Adressauflösung suggeriert, Umgebung zu sein. Der Doppelgänger Window ausgespäht wurden, diese ändern und Betrof-
noch bevor er diese beim echten DNS-Server Attack ist eine Nachbildung eines Applika- 7. Auffällige Mails von vertrauten fenes Unternehmen benachrichtigen. Wurde
abgefragt hat. Beim DNS Cache Poisoning wer- tions-Fensters, das zur Authentifikation eines Absendern telefonisch verifizieren der Online-Marktplatz-Zugang ausgespäht:
18 19Passwort ändern, wenn bereits durch Täter 5. Begleitung der Gesetzgebungsprozesse
geschehen, Betroffenes Unternehmen benach-
richtigen. Und: Strafanzeige stellen.
7. Neue Gefahren drohen mit neuen
Technologien (SPIT, PHIT, … ?),
aber: No risk – no fun!
Was unternimmt eigentlich
die Internet-Gemeinde gegen
diese Angriffe?
Kontakt:
RA Frank Ackermann
1. Technical Engineering:
Softwarelösungen Fachbereich Content
eco – Verband der deutschen Internetwirt-
2. Social Engineering: Aufklärungsarbeit
schaft e.V.
(etwa durch PhishTank, APWG, MAAWG)
Lichtstraße 43h
3. Unterstützung von Strafverfolgungs-
50825 Köln
behörden (SpotSpam)
Tel.: 0221 / 7000 48 - 24
4. Beschwerdestellen (etwa www. Fax: 0221 / 7000 48 - 11
internet-beschwerdestelle.de) frank.ackermann@eco.de
20 21Isabell Rausch-Jarolimek ten sollen. Geben sie zum Beispiel ihr Alter an, Materialien für Eltern entwickelt. Auch die Web-
werden sie darauf hingewiesen, dass sie nie- site wird regelmäßig durch neue Themen und
mandem im Internet ihr Alter verraten sollen. Missionen ergänzt.
Schlüsselqualifikation Es gibt praktische Beispiele zum Download
Die Internauten registrieren rund 50.000-60.000
oder zu Suchmaschinen, E-Mail und Spam oder
Medienkompetenz: auch zum Blog. Dazu erhalten die Mädchen und
User pro Monat. Die Community hat derzeit
mehr als 8.000 Mitglieder.
„Leitplanken“ zum Jungen Quizfragen. Im Rahmen der Community
können sie u.a. hierfür Punkte sammeln und klei-
Schutz beim Surfen für ne Preise gewinnen. Die Kinder erhalten zudem
Buch- und Surftipps. Es gibt einen Internauten- Kontakt:
Kinder und Jugendliche Medienkoffer für Lehrer zum Bestellen. Darin
enthalten sind ein Lehrerheft mit Vorschlägen
Isabell Rausch-Jarolimek
zur Gestaltung des Unterrichts, Comics, Poster
W
arum Medienkompetenzvermittlung? und ein Kartenspiel sowie eine CD-ROM mit ei- Freiwillige Selbstkontrolle
Jugendschutz im Internet kann niemals ner offline-Version der Homepage und weiteren Multimedia-Diensteanbieter (FSM) e. V.
allumfassend sein. Es gibt viele An- Materialien.
Spreeufer 5
bieter und unterschiedliche Wertvorstellungen. Derzeit wird ein Lehrerheft für Grundschulleh- 10178 Berlin
In den verschiedenen Ländern herrschen un- rer zum Thema IT-Sicherheit in Kooperation mit Tel.: 030/24048430
terschiedliche rechtliche Rahmenbedingungen. secure-it.nrw entwickelt. Der Internauten Medi- Fax: 030/24048459
Das Internet bietet zahlreiche Möglichkeiten der enkoffer wird überarbeitet und in einer vierten Email: rausch-jarolimek@fsm.de
Anonymisierung. Umso wichtiger ist deshalb der Auflage produziert werden. Außerdem werden Web: www.fsm.de
aufgeklärte Nutzer. Das Internet gehört für rund
41% der Kinder zwischen sechs und 13 Jah-
ren bereits fest zum Alltag, sagt die KIM (Studie
Kinder und Medien) 2005. 83,5% der sechs -
12 jährigen waren schon einmal im Internet (Quel-
le: Kinder Online 2004). Und laut KIM-Studie darf
rund ein Drittel der Kinder ohne Aufsicht surfen.
Die Initiative Deutschland sicher im Netz ver-
chere Nutzung des Mediums Internet mit seinen
pflichtete sich deshalb, ein Portal für Kinder im
verschiedenen Diensten, zum Beispiel Chat,
Alter von acht bis 13 Jahren zu entwickeln, das
Suchmaschinen usw. Die User erhalten Infor-
über die Möglichkeiten und Risiken der Neu-
mationen über im Internet geltende Gesetze, z.
en Medien aufklärt und sie befähigt, diese ak-
B. Jugendmedienschutz-Staatsvertrag, Urhe-
tiv, kompetent und selbst bestimmt zu nutzen.
berrechtsgesetz. Gleichzeitig gibt es wissens-
Weiterhin werden Eltern und Lehrern relevante
werte Informationen zum Thema Kinder und
Materialien und Unterrichtseinheiten zur Ver-
Konsum, z.B. Mobilfunk, Werbung. Das Ziel des
mittlung von Medienkompetenz zur Verfügung
Angebots ist die spielerische Vermittlung von
gestellt.
Medienkompetenz: Die Internauten klären auf
Das Portal „Die Internauten“ (www.internauten. kindgerechte Weise auf.
de) wird lebendig durch drei pfiffige, besonders
Zu den wesentlichen Elementen der Website
ausgebildete Kids, die Verbrechen und Re-
gehören interaktive Comics, Quizfragen, Spiele
spektlosigkeit im Internet bekämpfen. Die Fi-
und ein Chat. Außerdem können Kinder den In-
guren sind die Rechercheurin, der Kommander
ternauten ihre Link- und Buchtipps schicken.
und der Sicherheitsexperte. Die Aufgabe dieser
Spezialeinheit ist es, Kinder über Spammer, Ha- Es gibt auf der Homepage einen Kids-Bereich,
cker und andere „Gangster“, die sich im Inter- einen Eltern- und Lehrer-Bereich sowie die
net tummeln, aufzuklären und ihnen zu zeigen, Community.
wie man sich vor ihnen schützt.
Die spielerischen Elemente sind zum Beispiel
Die Internauten richten sich an Kinder zwischen die Chat-Simulation, dort bekommen die Kin-
acht und 13 Jahren, Eltern, Lehrer/Pädagogen. der – wie in einem richtigen Chat – von ihrem
Die Internauten bieten Aufklärung über eine si- Gegenüber Fragen gestellt, die sie beantwor-
22 23Sven Thimm 6. Der User hat als lokaler Administrator matische Aktualisierung des Betriebssystems
gearbeitet und der wichtigsten Anwendungen: sicherheits-
bewusstes Verhalten!
Live Hacking oder: 7. Der User hat Sicherheitswarnungen
nicht beachtet
Was ist so schwierig an Literatur-Tipps:
Fazit:
Computersicherheit? Der User hat sich nicht vernünftig verhalten!!! Kevin Mitnick und William Simon: „Die Kunst
des Einbruchs“ und „Die Kunst der Täuschung“.
Mitp-Verlag, März 2006, 416 S.
Zusammenfassung:
Jeder Internetuser ist tagtäglich Ziel von Angrif- Kontakt:
fen auf Computersysteme, die mit dem Inter-
F
ragen und Meinungen, die ich zum Thema net verbunden sind. Jeder PC-Benutzer sollte Sven Thimm
IT-Sicherheit immer wieder höre sind: War- sich – und damit auch andere Nutzer – schüt-
Senior Consultant IT-Sicherheit und
um sollte ich in IT-Sicherheit investieren? zen! Dies kann mit grundlegenden Sicherheits-
Betriebssysteme
Das ist doch nur eine Masche der Computer- maßnahmen geschehen, wie aktuelle Schutz-
Microsoft Deutschland GmbH
industrie! Oder: Sicherheitstechnologie macht software (Viren, Trojaner, Spyware, etc.), einer
doch nur alles schwieriger und die Anwender lokalen Firewall („Personal Firewall“), die auto- E-Mail: v-svthim@microsoft.com
kommen nicht damit zurecht! Was ist schon bei
uns (…oder bei mir daheim…) zu holen? Der
Hacker geht doch lieber zur Deutschen Bank/
zu American Express/zum Deutschen Bundes-
tag… Viele User meinen auch, dass die grund-
legenden Sicherheitsmaßnahmen doch nicht
ausreichen, „das sind doch alles Profis vor de-
nen ich mich nicht schützen kann!“
Das Thema Sicherheit geht uns alle an und die
Bedrohungen beziehungsweise Täter sind sehr Der gezeigte Angriff konnte aus unterschied-
unterschiedlich. Es gibt den „Profi-Hacker“. Er lichen Gründen funktionieren. Im Umkehr-
geht zielgerichtet vor, ist in der Regel gut aus- schluss können diese Maßnahmen helfen, sich
gebildet und hochintelligent. Außerdem ist er vor einem Angriff zu schützen:
extrem hoch motiviert, einmal finanziell, aber
auch von persönlichem Ehrgeiz getrieben. Ha- 1. Es wurde kein Virenschutzprogramm
cker sind sehr gut vernetzt und haben viel Zeit! eingesetzt oder er wurde nicht
Was es für einen Schutz gibt: keinen! aktualisiert beziehungsweise der
Virenschutz war abgeschaltet
Eine andere Gruppe sind die sogenannten (denn: Virenschutz macht alles lang-
Script-Kids („Schrotflinte“ – be aware of fools samer – eine gefährliche Sichtweise!)
with tools). Sie verwenden in erster Linie frei
im Internet verfügbare Tools. Sie hacken aus 2. Es ist keinen Schutz vor Trojanern /
Spaß an der Freude. Vor ihnen kann man sich Spyware eingesetzt!
schützen, durch grundlegende Sicherheitsmaß-
nahmen und sicherheitsbewusstes Verhalten. 3. Das Betriebssystem ist nicht
aktualisiert!
Ich habe im geschlossenen Kreis der Teilneh-
mer des Workshops einige Tools und Metho- 4. Ich habe keine lokale Firewall
den gezeigt, mit denen Hacker vorgehen. Aus („Personal Firewall“) eingesetzt!
Sicherheitsgründen kann ich an dieser Stelle
nicht weiter darauf eingehen, sonst könnte je- 5. Oder: Das Unternehmen kümmert
mand auf die Idee kommen, das Gezeigte nach- sich nicht richtig um die zentrale
zuahmen. Bitte haben Sie Verständnis. Firmen-Firewall
24 25Dr. Markus Dinnes administrativen Server (Command-and-Cont- Wer sind die Täter? Die Betrüger gehören zur
rol-Server) kontrolliert werden. Diese Kontrolle Organisierten Kriminalität. Es handelt sich um
wird durch Viren bzw. Trojanische Pferde er- eine Gruppe von mindestens 20 Personen
Den Online-Betrügern reicht, die den Computer infizieren und dann – vermutlich über mehrere Länder verteilt. Und
auf Anweisungen warten, ohne auf dem infi- zwar in Osteuropa und den USA. Es gibt einen
auf der Spur zierten Rechner Schaden anzurichten. Diese Webdesigner, mehrere Kontaktleute für Finanz-
Netzwerke können für Spam-Verbreitung, Pro- agenten, einen Administrator, mindestens zehn
xy-Dienste usw. verwendet werden, zum Teil Betreiber von Phishingseiten.
ohne dass die betroffenen PC-Nutzer etwas
Die aktuellen Entwicklungen geben Anlass zur
davon mitbekommen.
Sorge. Denn Phisher haben vermutlich mehr
Die IT-Forensik wird tätig. Die Experten verifi- Kontendaten als sie je verwenden werden
zieren beziehungsweise infizieren einen Bot-PC können. Die Suche nach Finanzagenten/Aus-
und werden automatisch in das Botnet einge- zahlung des Geldes gestaltet sich zunehmend
E
s gibt unterschiedliche Formen des On- bunden. Nun sind sie in der Lage, einen Live- schwierig.
linebetrugs: Phishing, Spamming, Viren Mitschnitt des Netzwerkverkehrs aufzuzeich-
Die Aktuelle Masche: Die Betrüger suchen nach
und Dialer. Beim Phishing werden die nen. Der Arbeitsspeicher wird gesichert.
„Dienstleistern“, die durch die Phisher in An-
User auf vermeintlich echte Seiten, zum Bei-
Allerdings gibt es Schwierigkeiten bei den Er- spruch genommen werden. Das funktioniert so:
spiel von Kreditinstituten und Banken, gelockt,
mittlungen. Es handelt sich um eine technisch Ein höherer Betrag wird von dem „gephishten“
mit der Absicht, ihre Daten zu stehlen. Die Sei-
höchst komplexe Materie. Die Spuren können Konto überwiesen, als der der nach den jewei-
ten sehen den „echten“ täuschend ähnlich und
in der Regel nur bei einer Online-Verbindung ligen Verträgen dem Finanzagenten zusteht.
sind für Laien kaum erkennbar.
erlangt werden. Außerdem gibt es einen Aus- Kurz nach Eingang der Überweisung erfolgt die
Phishing ist eine strafbare Handlung. Dabei las- landsbezug. Globale Unternehmen können Bitte, den zuviel gezahlten Betrag mittels Bar-
sen sich unterschiedliche Tatbestände aufzei- helfen. Ferner wechseln die Phisher häufig die geldversendern in das (zumeist osteuropäische)
gen: Server. Ausland zu transferieren.
Die Ermittlungen im Fall „Kiwi“ führten zu zehn Es gibt eine „zunehmende“ Verurteilung von Fi-
n Fälschung beweiserheblicher Daten § 269 Servern in den USA. Im Botnet sind im Schnitt nanzagenten in Deutschland (bislang sind drei
Abs. 1 StGB (durch die nachgemachte 30.000 PCs online, insgesamt umfasst es 60.000 bekannt).
Webseite) PCs. Es gibt ein automatisiertes Management
Ein zweiter Ansatz führt über den Weg des sowie eine SQL-Datenbank (z.B. für die Botnets
n Betrug, § 263 StGB, wenn die Handlungen
des Phishers bereits konkretisiert sind
Geldes (Auszahlung des Finanzagenten). Dabei PCs). Die Ermittler finden einen Beute-Server Kontakt:
gibt es allerdings ein großes Problem: Allein in mit den Kredit- und Accountdaten sowie einen
Moskau gibt es 400 Ausgabestellen von Wes- Master-Server mit E-Mail-Verkehr, Erstellung Rechtsanwalt Dr. Markus Dinnes
n Ausspähung von Daten § 202a StGB,
tern Union – das Geld ist ohne eine nachver- und Administrierung der Seiten, Kontaktaufnah-
wenn der Phisher sich Zugang zum Konto
folgbare Bankstruktur in wenigen Minuten ver- FPS Fritze Paul Seelig, Frankfurt am Main
verschafft hat und die dort hinterlegten me an die Finanzagenten. Außerdem identifizie-
schwunden. ren sie mehrere Spiegelserver als Notfallebene. Tel: 069 95 95 7 – 248
Daten eingesehen werden.
Rund 20 Millionen E-Mail-Adressen sind auf un- E-Mail: Verfasser@fps-law.de
n Kennzeichenverletzung nach §§ 143a, terschiedlichen Servern gespeichert. www.fps-law.de
143 Abs. 1 und Abs. 2 MarkenG vorlie- Beispiel: Der Fall „Kiwi“
gen, da die gefälschte Webseite stets die
Unternehmenskennzeichen und Marken Vorbeobachtungen: Pro Tag werden 300-500
des betroffenen Unternehmens ohne neue Spam-Seiten erstellt. Die Lebensdauer
Erlaubnis verwendet. der Seiten beträgt 1 bis 5 Tage. Die Phishing
E-Mails werden in Wellen versandt, dabei ist
n Geldwäsche beim Finanzagenten, § 261 ein hoher Anstieg zum Wochenende hin bis
StGB. montags zu beobachten. Die Betrüger verwen-
den ständig verschiedene Banken. Die Täter-
gruppe arbeitet weltweit. Die Überweisungen
Unterschiedliche Ermittlungsansätze führen laufen hauptsächlich über Western Union. Die
auf die Spur des Täters: Rückverfolgung der Phishing E-Mails über die
IP Adresse führt zu einem Botnet. Unter einem
Im ersten Schritt wird versucht, die Herkunft der Botnet versteht man ein fernsteuerbares Netz-
Phishing E-Mail zu ermitteln. werk (im Internet) von PCs, welche von einem
26 27Sie können auch lesen
