Datenschutzbehörde  Datenschutz Europa privacy service
 
2005/10/25 Warnung vor Phishing-Attacke - Österreichs Sparkassen im Visier
Bisher größte Phishingattacke gegen österreichische Institution - Sparkassen und ErsteBank davon betroffen - Mail tarnt Attacke als Sicherheitsüberprüfung - Keine Gefahr solange wichtige Regeln im Online-Betrieb beachtet werden

Bisher größte Phishingattacke gegen österreichische Institution

In einem Rundschreiben betitelt mit dem Subject "Erste-Sparkasse Internet-Banking" und einem Absender "Administration der Erste-Sparkasse Internet-Banking" werden alle "Kunden" aufgefordert ihre Kontodaten bekannt zu geben.

Begründet wird die Aufforderung, recht originell mit den Bemühungen des Staats, gegen Geldwäsche vorzugehen. Damit wird an die aktuelle Terrorhysterie und den steigenden Wunsch nach mehr staatlicher Überwachung angeknüpft.

Als Website wurde eine nelbanking.com-Site genannt, offenbar in der Hoffnung, eine Namensverwechslung von netbanking und nelbanking erreichen zu können.

Hans G. Zeger: "Insgesamt ist die Phishing-Attacke auf Grund der verschiedenen verwendeten Namen relativ einfach zu durchschauen."


Phishingattacken ungefährlich, wenn Grundregeln beachtet werden

Im Gegensatz zu Würmern und Viren, die die technischen Komponenten angreifen, versuchen Phishingmails Ängste und Vorurteile der Mailempfänger anzusprechen. Diese Angriffe werden als "Social Hacking" zusammen gefasst und zielen auf das Verhalten der Internet-Nutzer ab.

Konsumenten sollten folgende einfache Regeln beachten:
- Keine Bekanntgabe von vertraulichen Daten (Login-Daten, Passwörtern) per Mail oder telefonisch.
- Kein Ausblenden der URL-Anzeige beim Browser (der Name der Login-URL sollte gut aufbewahrt werden und bei jedem Login geprüft werden).
- Überraschende Änderungen der vertrauten Login-Seiten sofort an den Betreiber melden.
- Vertrauliche und persönliche Daten ausschließlich über SSL-verschlüsselte Seiten bekannt geben (erkennbar als https-Seite). Damit kann die Identität des Seitenbetreibers leicht festgestellt werden..
- Sicherheitsupdates des verwendeten Browsers laufend durchführen.

Darüber hinaus sollten Website-Betreiber, insbesondere Online-Banking-Portale, einige Punkte beachten, die es Konsumenten erleichtert "echte" Banking-Seiten von gefälschten zu unterscheiden:
- Banken sollten NIEMALS per e-mail von sich aus mit Kunden in Kontakt treten. Damit wird der Kunde erst gar nicht daran gewöhnt, auf Bankenmails zu reagieren.
- Das Zertifikat des Telebanking-Webservers sollte immer auf den Bankennamen ausgestellt sein.
- Banken sollten ihren Telebanking-Link niemals ändern und immer wieder, etwa in Prospekten usw. publizieren. Gleiches gilt für das Design des Telebanking-Zugangs. Kontinuität und Gewohnheit sind auch in Internetzeiten die wichtigsten Sicherheitsmerkmale, an die sich Laien halten können (klingt simpel und unspektakulär, ist aber so).
- Frames, Plugins und allzu komplexe Seiten sollten jedenfalls vermieden werden, da derartige Dinge das Nachahmen und Fälschen begünstigen bzw. die Zahl der potentiellen Sicherheitslücken drastisch erhöht wird.


Geringes Schadenspotential, hohe Verunsicherung

Weniger als 2% aller Mails machen Phishing-Mails aus (gegenüber 60-80% Spam und 20-30% wurm-/virenverseuchter Mails). Insgesamt ist das Schadenspotential von Phishing-Attacken gering bis sehr gering. Auch im gegenwärtigen Fall wurden keine konkreten Schäden berichtet. Tatsächlich dürfte es jedoch in erster Linie um eine Verunsicherung der Internetbenutzer gehen. Auch der Ruf nach verstärkter Internet-Überwachung kann durch derartige Phishing-Vorfälle legitimiert werden.


Kommunikations-Datenschutzrichtlinie noch immer zu wenig umgesetzt

Eines der wirksamsten Mittel gegen Phishing-Attacken ist die verschlüsselte Übertragung persönlicher und vertraulicher Informationen mittels zertifizierter Server. Dies gilt sowohl für den Mailverkehr, als auch für Webdienste. Auf Grund der ausgestellten Zertifikate kann dann leicht die Herkunft einer Information oder Website festgestellt werden.

Diese verschlüsselte Datenübertragung, die mittlerweile alle aktuellen Serverprogramme beherrschen ist als "Stand der Technik" anzusehen und ist im übrigen durch die EG-Richtlinie Datenschutz bei Kommunikationsdiensten (2002/58/EG ) defacto vorgeschrieben. Leider dürften noch immer zwei Drittel der österreichischen Informationsanbieter, die persönliche oder vertrauliche Daten übertragen diese Sicherheitsmaßnahme ignorieren.


Die angezeigten Informationen und Artikel werden im Rahmen des ARGE DATEN Informationsdienstes kostenlos zur Verfügung gestellt. Alle Angaben sind sorgfältig recherchiert, es wird jedoch für die Richtigkeit keine Gewähr übernommen. Alle Angaben, Aussagen und Daten beziehen sich auf das Datum der Veröffentlichung des Artikels. Es wird ausdrücklich darauf hingewiesen, dass insbesondere Links, auf Websites gemachte Beobachtungen und zu einem Sachverhalt gemachte Aussagen zum Zeitpunkt der Anzeige eines Artikels nicht mehr stimmen müssen. Der Artikel wird ausschließlich aus historischem und/oder archivarischen Interesse angezeigt. Die Nutzung der Informationen ist nur zum persönlichen Gebrauch bestimmt. Dieser Informationsdienst kann professionelle fachliche Beratung nicht ersetzen. Diese wird von der ARGE DATEN im Rahmen ihres Beratungsservice angeboten. Verwendete Logos dienen ausschließlich zur Kennzeichnung der entsprechenden Einrichtung. Die verwendeten Bilder der Website stammen, soweit nicht anders vermerkt von der ARGE DATEN selbst, den in den Artikeln erwähnten Unternehmen, Pixabay, Shutterstock, Pixelio, Aboutpixel oder Flickr.

© ARGE DATEN 2000-2025 Information gemäß DSGVO webmaster