Vorsicht vor den „Piraten der Neuzeit“
Im Gespräch: Frank Richter vom Universitätsrechenzentrum der TU Chemnitz rät Nutzern im Internet zu einem äußerst sensiblen Umgang mit ihren Zugangsdaten
-
Frank Richter sagt: „Sobald geringe Zweifel bestehen, lieber noch einmal direkt beim Rechenzentrum nachfragen, bevor man leichtfertig seine Zugangsdaten aus der Hand gibt.“ Foto: Mario Steinebach
Unter der Mailadresse support@hrz.tu-chemnitz.de erreichen Angehörige der TU Chemnitz kompetente Ansprechpartner für den täglichen Umgang mit den Diensten des Universitätsrechenzentrums (URZ). Auch Hinweise zu verdächtigen E-Mails werden dort entgegengenommen. Versuche, über das Vortäuschen einer falschen Identität an Nutzerdaten zu gelangen, gibt es oft. Da dafür ähnlich wie beim Angeln Köder – etwa in Form nachgebauter Webseiten oder relevanter Sachverhalte – verteilt werden, hat sich dafür der Begriff „Phishing“ eingebürgert. Frank Richter, Mitarbeiter des URZ, ist einer der Ansprechpartner, der sich mit diesem Thema befasst. Antje Schreiber stand er für "Uni aktuell" Rede und Antwort.
Erst kürzlich haben mehrere TU-Angehörige E-Mails erhalten, in der auf scheinbare Hackeraktivitäten im Zusammenhang mit dem Nutzerkonto hingewiesen wurde. Darin wurde der Empfänger gebeten, sich für eine Identitätsbestätigung einzuloggen und so zu verhindern, dass das Konto gesperrt wird. Woran erkenne ich als Nutzer denn, dass gerade jemand versucht, an meine Daten zu gelangen?
Das beginnt bereits mit der Anrede. Eine Behörde oder Institution, die eine Information von mir benötigt, wird mich mit meinem Namen ansprechen. Ich sollte also aufmerksam werden, wenn eine E-Mail mit „Sehr geehrter Kunde“ beginnt. Häufig stammen die Texte auch aus Übersetzungsprogrammen und weisen eine dementsprechend merkwürdige Grammatik oder auffällige Formulierungen auf. Um Zeitdruck zu erzeugen, werden teilweise gravierende Folgen für den Nutzer geschildert - beispielsweise eine drohende Sperrung des Kontos. Ebenso kann die Absender-Adresse der E-Mail ein Hinweisgeber für einen Betrug sein. Im genannten Fall wurde beispielsweise der Name der TU Chemnitz im Absender verwendet, die E-Mailadresse selbst jedoch war eine externe. Allerdings muss man sich bewusst sein, dass die im E-Mail-Programm angezeigten Adressen manipulierbar sind, und damit im umgekehrten Fall kein eindeutiges Indiz für Echtheit darstellen. Enthält die E-Mail einen Link, ist es ratsam, in der Hinweiszeile des E-Mailprogramms nachzusehen, ob der Link auf eine völlig andere Adresse verweist.
Woran kann man denn aber andersherum erkennen, dass es sich tatsächlich um eine Information des Universitätsrechenzentrums handelt?
E-Mails, die vom Universitätsrechenzentrum kommen und sicherheitsrelevante Themen behandeln, werden persönlich an den Nutzer gerichtet. Sie sind im Regelfall in Deutsch formuliert und mit einem gültigen S/MIME-Zertifikat des Universitätsrechenzentrums signiert. Sollten Webseiten verlinkt sein, handelt es sich um verschlüsselte Seiten auf dem Server der TU, ebenfalls mit gültigem Zertifikat. Wie immer gilt: Sobald geringe Zweifel bestehen, lieber noch einmal direkt beim Rechenzentrum nachfragen, bevor man leichtfertig seine Zugangsdaten aus der Hand gibt.
Im Fall von Banken ist der Zweck des Phishings recht offensichtlich, welche Intention steckt aber hinter dem Diebstahl von Zugangsdaten zur TU?
Häufig ist die eigentliche Absicht der Piraten der Neuzeit, mit dem „geangelten“ E-Mail-Account Spam zu versenden. Dann wirbt ein TU-Angehöriger plötzlich für Medikamente oder dubiose Geldgeschäfte – nicht gerade rühmlich für das persönliche Ansehen bzw. das der TU. Es kann auch großen Schaden anrichten, wenn die Universität aufgrund des Spamversandes von anderen Institutionen gesperrt wird und wichtige Post den Empfänger nicht mehr erreicht. Aber natürlich birgt ein Identitätsdiebstahl noch ganz andere Gefahren. Der neue Besitzer der Zugangsdaten gelangt beispielsweise an Forschungsergebnisse oder schnüffelt in persönlichen Informationen sowie Kontakten. Er könnte mit dem Account auch kostenpflichtige Dienste nutzen oder Straftaten begehen. Dann sind ernsthafte finanzielle und juristische Folgen zu erwarten. Das verdeutlicht vielleicht noch einmal, mit welcher Vorsicht ich mein Passwort generell behandeln sollte.
Nun habe ich meine verdächtige Mail auf die von Ihnen genannten Indizien geprüft und bin mir sicher, dass jemand versucht, meine Identität zu stehlen. Was ist zu tun?
Wenn davon auszugehen ist, dass es sich um eine Phishing-Mail handelt, ist es ratsam, dem angegebenen Link möglichst nicht zu folgen und vor allem keine persönlichen Daten einzutragen. Nach dem Passwort wird Sie übrigens selbst ein URZ-Mitarbeiter nie fragen. Am besten ist es, die E-Mail einfach zu löschen und keinesfalls zu antworten. Meist betreffen Phishing-Versuche eine Vielzahl von Adressaten. Daher kann es sinnvoll sein, seine Kommilitonen oder Kollegen im näheren Umfeld darauf hinzuweisen.
Zu den jüngsten Betrugsversuchen sollen ja sehr viele Meldungen von den Nutzerinnen und Nutzern eingegangen sein. Ist die Aufmerksamkeit hinsichtlich derartiger Versuche größer geworden?
Es ist schon so, dass allein durch die Medien das Thema heute viel präsenter ist und die Aufmerksamkeit steigt. Allerdings werden eben auch die Phishing-Mails mittlerweile thematisch auf die Zielgruppe ausgerichtet und sind teilweise von der Gestaltung her schwer von Originalen zu unterscheiden. Insgesamt fallen glücklicherweise nur wenige Empfänger auf derartige Betrugsversuche herein. Aber auch diese wenigen reichen, um massiven Schaden anzurichten.
Was unternimmt das Universitätsrechenzentrum, wenn Fälle von Phishing-Versuchen bekannt werden?
Wenn sich Phishing-Versuche auffällig häufen oder besonders dreist sind, informieren wir natürlich in erster Linie unsere Nutzerinnen und Nutzer, um größerem Schaden möglichst vorzubeugen. Neben Hinweisen auf der Webseite nutzen wir dafür unseren Newsletter und Blog, aber auch die öffentlichen Displays. Sollten uns Betroffene bekannt werden, nehmen wir Kontakt auf und besprechen das weitere Vorgehen.
Kann das Uni-Rechenzentrum solche dubiosen E-Mails nicht einfach herausfiltern?
Die Aufgabe einer Poststelle – auch einer elektronischen – ist in erster Linie, die adressierten Briefe entsprechend zuzustellen. Der Nutzer hat allerdings die Möglichkeit, über das Identitätsmanagement-Portal verschiedene automatische Schutzfilter zu aktivieren, die bereits einen Großteil von Spam bzw. Phishing-Mails abhalten. Wie gesagt, suchen die Kriminellen aber immer wieder nach neuen Maschen, um solche Hemmnisse zu umgehen.
Angenommen, ich bemerke, dass ich Opfer eines Phishing-Versuches geworden bin. Kann ich dann überhaupt noch etwas tun?
Wenn ich den Verdacht habe, dass meine Zugangsdaten in fremde Hände gelangt sind, sollte ich über die Webseite des URZ im Bereich Nutzerkonto zunächst umgehend mein Passwort ändern. Wichtig ist aber auch, dass ich das Universitätsrechenzentrum darüber informiere. Wir können gemeinsam möglichen Schaden identifizieren.
Und für den Fall, dass ich es gar nicht gemerkt habe?
Im Zweifel wird es dann erst durch den Missbrauch der Zugangsdaten erkannt. Man kann aber ein wenig dazu beitragen, die Sicherheit der persönlichen Daten zu erhöhen. Dazu gehört, neben der strikten Geheimhaltung des Passwortes, auch, dass man dieses in regelmäßigen Abständen erneuert. Jetzt darf ich auch einmal eine Frage stellen: Wann haben Sie denn Ihr Passwort zuletzt geändert?
Nach meinem Sommerurlaub.
Das ist vorbildlich. Dann können Sie sich bis zum nächsten Sommerurlaub ein neues überlegen.
Danke für das Lob und das informative Gespräch.
Mario Steinebach
07.10.2014
