Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

CESIS 2018
20.02.18 - 21.02.18
In München

SAMS 2018
26.02.18 - 27.02.18
In Berlin, Maritim proArte

Plentymarkets Online-Händler-Kongress
03.03.18 - 03.03.18
In Kassel

Search Marketing Expo 2018
20.03.18 - 21.03.18
In München, ICM – Internationales Congress Center

SERIE

BarcodeVertrauen ist die Grundlage für verlässliche Beziehungen und Geschäftsprozesse im digitalen Zeitalter. Es ist nur dann vorhanden, wenn Menschen und Maschinen über Sichere Identitäten verfügen. 

Diese sorgen für die Gewissheit, dass ein Mensch auch wirklich derjenige ist, für den er sich ausgibt, oder dass ein Gerät oder ein Produkt tatsächlich echt und vertrauenswürdig ist. Doch werden die Bedeutung digitaler Identitäten häufig unterschätzt und Methoden zum Identitätsdiebstahl und Identitätsmissbrauch immer ausgefeilter, wie Ulrich Hamann, Vorsitzender des Vereins ‚Sichere Identität Berlin-Brandenburg e.V.’ im folgenden Gastbeitrag beschreibt.

Schlüsselelement für die vertrauenswürdige Internet-Nutzung

Der Anrufer stellte sich als Mitarbeiter einer neu gegründeten Task Force der Unternehmensleitung vor. Im Auftrag der Geschäftsführung wies er den Mitarbeiter der Finanzbuchhaltung an, für ein Geheimprojekt einen hohen Geldbetrag auf ein fremdes Konto zu überwiesen. Alles sei sehr dringlich und absolut vertraulich zu behandeln. Kurze Zeit später folgte eine Mail direkt von der Geschäftsführung, in der die Transaktion bestätigt wurde. Die Angaben waren plausibel; Inhalt, Absender und Layout der Mail sahen authentisch aus. Deshalb zögerte der Mitarbeiter auch keinen Moment, den Betrag anzuweisen. Die Falle der Internet-Kriminellen schnappte zu.

Denn in Wahrheit hatte ein Betrüger die Identität des Vorgesetzten übernommen und einen so genannten „Fake-President“-Angriff durchgeführt. Eine gründliche Informationsrecherche auf Unternehmensseite und Social Media-Profilen sowie in Zeitungsarti- keln genügte dafür. Dieses fiktive Beispiel von Identitätsdiebstahl ist in Deutschland beileibe kein Einzelfall. Dem Bundesamt für Sicherheit in der Informationstechnik sind seit 2013 ca. 250 „Fake-President“-Betrugsfälle bekannt, der Gesamtschaden wird auf 110 Millionen Euro geschätzt. Die Dunkelziffer liegt vermutlich deutlich höher.

Ein weiteres prominentes Beispiel für Identitätsdiebstahl ist der Datenklau bei einem der weltweit größten E-Mail-Provider und Internet-Anbieter aus den USA. Dort wurden im Jahr 2013 persönliche Daten von mehr als einer Milliarde Konten gestohlen. Und das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat allein von Juli 2015 bis Juni 2016 141.000 neue Schadprogramme analysiert, die einen Bezug zum identitäts- diebstahl aufweisen.

Ich bin viele im Internet

All diese Zahlen und Vorkommnisse zeigen: Der Diebstahl von Identitäten ist zu einem der größten Risiken bei der Internetnutzung geworden. Umso wichtiger ist es, sich der eigenen digitalen Identität bewusst zu werden.

Was sind eigentlich Sichere Identitäten im digitalen Zeitalter? Der Begriff Identität definiert eine Person als einmalig und unverwechselbar. Dafür gibt es eine Vielzahl individueller Attribute wie zum Beispiel Name und Geburtsdatum sowie Gesichtsbild und Fingerabdruck.

In der digitalen Welt haben Menschen heute mehrere Identitäten mit unterschiedlichen Merkmalen. Wir stehen mit unserem Namen, Adresse und Fotos in Social Media- Plattformen, tätigen Online-Einkäufe, nutzen andere Online-Dienstleistungen mit Benutzername und Passwort oder sind in Foren und Online-Spieleplattformen mit Nicknames verzeichnet. Und auch die IP-Adresse des eigenen Computers, die auf jeder Webseite hinterlassen wird, ist Teil der digitalen Identität.

Eine Sichere Digitale Identität bedeutet, dass diese nicht manipuliert, gefälscht oder missbraucht werden kann. Sie stellt sicher, dass jemand tatsächlich derjenige ist, für den er sich ausgibt. Mit einer Sicheren Identität lässt sich eine E-Mail zweifelsfrei ihrem Absender zuordnen, Fälschungen sind somit ausgeschlossen.

Aber nicht nur Personen, sondern auch Objekte, Dienste oder Prozesse können Identitäten besitzen. So können sich Produktionsanlagen beispielsweise bei der Fernwartung eindeutig identifizieren oder sich ein Ersatzteil einer Maschine als Originalteil ausweisen. Sichere Identitäten sind damit die Grundvoraussetzung für eine vertrauensvolle private und geschäftliche Nutzung des Internets.

Sichere Identität in Gefahr

Jedoch sind die Angriffsflächen für einen Identitätsmissbrauch in den letzten Jahren größer geworden und werden noch weiter wachsen. Verantwortlich dafür sind die vielfältigen Möglichkeiten der Online-Kommunikation, der Siegeszug des mobilen Internets sowie die zunehmende Integration und Vernetzung von Geräten und Maschinen.

Hier einige wichtige Methoden und Mittel, die für Identitätsdiebstahl und Identitätsmissbrauch eingesetzt werden:

  • Social Engineering zielt – wie das fiktive Beispiel am Anfang zeigt - auf die Mitarbeiter des Unternehmens ab. Durch geschickten Identitätsmissbrauch – beispielsweise eine fingierte Mail oder Telefonanrufe von angeblichen Vorgesetzten – werden dabei Mitarbeiter eines Unternehmens überredet, Zahlungen an ein fremdes Konto zu tätigen oder sensible Informationen preiszugeben. Aktuelles Beispiel ist ein Automobilzulieferer aus dem MDAX, der im Herbst letzten Jahres auf diese Weise um 40 Millionen Euro betrogen wurde.
     
  • Beim Phishing verleiten gefälschte Internet-Seiten, E-Mails und SMS den Anwender dazu, Passwörter, Kreditkarteninformationen oder persönliche Daten für das Online-Banking preiszugeben. Beispielsweise bauen Betrüger die Webseiten von Finanzinstituten nach oder verschicken im Namen der Bank gefälschte Mails, die zur Eingabe von PIN und TANs auffordern.
     
  • Schadsoftware ist ein weiteres, oft genutztes Mittel zum Identitätsdiebstahl. Sie versteckt sich häufig in E-Mail-Anlagen oder auf infizierten Webseiten. Wird der Anhang geöffnet oder die Webseite aufgerufen, lädt sich die Schadsoftware automatisch auf den Computer herunter und startet sie dort. Mit Schadprogrammen können persönliche oder unternehmenswichtige Daten direkt auf dem Computer abgegriffen und für kriminelle Aktivitäten missbraucht werden. Oftmals wartet die Schadsoftware, bis der Nutzer zum Beispiel eine Banking- Seite aufruft. Dann greift er in den Datenstrom ein und schiebt dem Anwender eine präparierte Webseite oder ein gefälschtes Formular unter, um wichtige Zugangs- und Zahlungsinformationen auszuspähen. In Unternehmen können die Steuerungssysteme von Produktionskomponenten mit Schadsoftware infiziert werden, es drohen Produktionsausfälle und Produkte minderer Qualität.
     
  • Mobile Endgeräte wie Smartphone und Tablets geraten mehr und mehr in den Fokus von Identitätsdiebstahl. Manche Apps senden Daten unverschlüsselt an die Server von Unternehmen. So können Betrüger diese gezielt abfangen. Ein weiteres Betrugsmittel sind in Apps versteckte Schadsoftware, die von Mitarbeitern versehentlich heruntergeladen wird. Diese nistet sich in Smartphone und Tablets ein und wird erst später aktiv, um Daten abzugreifen beziehungsweise Anlagen und Systeme zu übernehmen. Das kann zum Beispiel im Rahmen von Fernwartungsanwendungen geschehen.
     
  • Unsichere Netzwerke und Verbindungen laden zum Identitätsdiebstahl geradewegs ein. Zwei Studenten bekamen mit ihrem Rechner Mitte 2016 plötzlich Zugriff auf interne Abläufe eines Wasserwerks mitten in Deutschland. Die Studenten mussten dafür keine Passwörter erraten oder gar hacken. Einfallstor war eine Software zur Fernwartung, Kontrolle und teils auch zur Fernsteuerung der Anlagen, die von den Betreibern installiert worden war und die einfach durch Eingabe einer nicht gesicherten Internet-Adresse genutzt werden konnte.

Bedeutung steigt weiter

Sichere Identitäten sind der Schlüssel für ein Gelingen zentraler Digitalisierungstrends in Wirtschaft und Politik.

Im Umfeld von Open Data-Aktivitäten werden Daten über demokratische Prozesse zunehmend öffentlich gemacht, um die Einbindung von interessierten Bürgern zu erleichtern. Eine wesentliche Herausforderung ist dabei, die Authentizität und Integrität solcher Informationen verifizieren zu können. Mit Sicheren Identitäten lässt sich der Absender von Informationen eindeutig einer Person oder Organisation zuordnen. Zudem unterstützen Sichere Identitäten auch für Objekte, wie zum Beispiel Webseiten, bei der vertrauensvollen Veröffentlichung korrekter Daten.

Die „Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt, kurz eIDAS, legt die Grundlage für den digitalen Binnenmarkt. Sie befindet sich seit 1. Juli 2016 in der Umsetzung und ermöglicht sichere elektronische Interaktionen und Transaktionen im gesamten EU-Raum. Für eine grenzüberschreitende elektronische Kommunikation zwischen Bürgern, Unternehmen und Behörden sind Sichere Identitäten essentiell. Sie manifestieren sich in neuen Diensten wie der Fernsignatur oder dem elektronischen Siegel, die das Vertrauen in die technische und rechtliche Sicherheit europaweiter digitaler Prozesse sicherstellen.

Sichere Identitäten sind zudem die Basis für das Internet der Dinge. Industrie 4.0, Smart Home oder Smart Traffic werden nur funktionieren, wenn jede Maschine, jedes Stück Hardware, jedes Gerät eine eigene unverwechselbare Identität hat. So ist die Ge- räte-Identität und –Integrität notwendig, damit zum Beispiel vernetzte Produktionsanlagen sicher und zuverlässig miteinander kommunizieren können. Und auch die korrekte Abrechnung zwischen Ladesäule und Elektroauto oder die verlässliche Steuerung von Geräten im eigenen Haus per Handy benötigen Sichere Identitäten.

Fazit

Sichere Identitäten sind ein zentraler Baustein des digitalen Wandels. Personen und Unternehmen sind gut beraten, sich um den Schutz digitaler Identitäten zu küm- mern. Wie das in der Praxis am besten gelingt, beschreibt der 2. Teil der Artikelserie.

Ulrich Hamann
Ulrich Hamann, Vorsitzender des Vereins Sichere Identität Berlin Brandenburg e.V.

 

 


Lesen Sie in dieser Serie auch folgende Beiträge des Vereins Sichere Identität Berlin-Brandenburg e.V.:

GesichtIdentitätsmissbrauch im Internet verhindern
Der Klau von E-Mail-Adressen, Passwörtern und PINs gehört heute zum Internet-Alltag. Laut Umfrage des Wirtschaftsauskunftsdiensts Schufa ist bereits jeder fünfte Deutsche einmal Opfer eines Identitätsdiebstahls geworden, die finanziellen Schäden gehen in die Millionen. Doch damit muss man sich nicht abfinden. 
 
 
 
 
Trust WeltkarteFast jeder Internet-Anwender nutzt sie täglich, egal, ob privat oder beruflich – doch nur wenige sind sich ihrer Bedeutung bewusst: Digitale Zertifikate sind das Fundament für sichere Interaktionen und Transaktionen im Internet. Mit ihnen kann jede Internet-Seite, jede Person und Organisation oder jedes Gerät seine Identität in der digitalen Welt nachweisen. 

AngelhakenIdentitätsdiebstahl: Was dann zu tun ist

Der Diebstahl von Identitäten hat sich zu einer der größten Risiken in der IT entwickelt und führt zu Millionenschäden in der deutschen Wirtschaft. Gleichzeitig müssen Unternehmen aufgrund aktueller rechtlicher Bestimmungen wirkungsvolle Maßnahmen gegen einen Missbrauch von Daten und Identitäten umsetzen. 


 
GRID LIST
Dashboard

Interaktives Dashboard für den Umgang mit der DSGVO

Mit dem interaktive Dashboard von ForgeRock sollen Unternehmen prüfen können, ob ihre…
Login

Neuer Sicherheitscheck als Managed-Service

Die SpyCloud soll gestohlene digitale Informationen von Kunden im Web finden. Gepaart mit…
Tb W190 H80 Crop Int 9cc0f78c8e26d024ae4e442e61f01e6b

SecurEnvoy gibt Version 9 von SecurAccess frei

SecurEnvoy hat die neuest Version von SecurAccess, seiner Lösung zur…
Ausweiserkennung

Deep Learning: Die Ausweiserkennung der nächsten Generation

Mithilfe von Deep Learning setzt IDnow neue Standards in der digitalen Ausweiserkennung:…
Secured Access

One Identity Safeguard: mehr Sicherheit für privilegierte Konten

Der One Identity Safeguard bietet Sicherheit für privilegierte Konten und unterstützt…
Handscan

Fujitsu: Neue biometrische Authentifizierungslösung

Fujitsu sorgt mit der neuen biometrischen Authentifizierungslösung für hohe Sicherheit in…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security