Schattenblick →INFOPOOL →RECHT → FAKTEN

MELDUNG/053: Digitale Identitäten in Gefahr - technische und rechtliche Studie (idw)


Ruhr-Universität Bochum - 10.06.2010

Digitale Identitäten in Gefahr

Phishing & Co.: Vorsicht nicht nur beim Online-Banking

RUB-Forscher legen erste technische und rechtliche Studie vor


Hatten es "Phisher" bislang am ehesten auf Zugangsdaten zum Online-Banking abgesehen, so rückt zunehmend die komplette digitale Identität der Nutzer in den Fokus von Internetkriminellen. Betroffen von Angriffen sind somit auch Identitäten in sozialen Netzwerken wie Facebook oder MeinVZ, bei E-Mail-Dienstleistern, auf Handels- und Auktionsplattformen wie Amazon oder Ebay und sogar an Packstationen. Das ist das zentrale Ergebnis einer aktuellen Studie, erstellt von den RUB-Wissenschaftlern Prof. Dr. Georg Borges, Prof. Dr. Jörg Schwenk und Dr. Christoph Wegener sowie von Prof. Dr. Carl-Friedrich Stuckenberg (Universität des Saarlandes), Erstellt wurde die Studie auf Initiative des Bundesinnenministeriums (BMI) und im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik. Es ist die erste systematische Untersuchung von Identitätsdiebstahl und -missbrauch unter technischen und rechtlichen Aspekten.


Studie zum Download

Die mehr als 400 Seiten umfassende Studie steht seit dem 8.6. für 14 Tage kostenlos zum Download auf den Internetseiten des BMI:
http://www.bmi.bund.de/cln_156/SharedDocs/Pressemitteilungen/DE/2010/mitMarginalspalte/06/identit%C3%A4tsdiebstahl_internet.html


Professionellere Angriffe

Der "Diebstahl" und der anschließende Missbrauch digitaler Identitäten ist ein noch junges Kriminalitätsphänomen. Identitätsmissbrauch im Internet ist in Deutschland seit 2004 als Phishing im Online-Banking bekannt geworden. "Die Angriffe werden sowohl in der technischen Ausführung als auch in den Angriffszielen professioneller. Ein Ende dieser Entwicklung ist nicht abzusehen", so die Autoren der Studie. Basierend auf der umfangreichen technischen und rechtlichen Analyse erstellen sie zudem Prognosen für die Zukunft und leiten konkrete Handlungsempfehlungen ab.


Geändertes Täterverhalten

So hat sich zum Beispiel die Vorgehensweise der Täter in den letzten Jahren geändert: Schadprogramme gelangen heute vorwiegend durch Schwachstellen im Betriebssystem bzw. in Softwarepaketen auf die Computer der Nutzer. 2009 wurden die meisten Systeme durch den bloßen Besuch von Internetseiten (sog. "drive-by-infection") und präparierte PDF-Dokumente angegriffen, die diese Schwachstellen ausnutzen. Die Schadprogramme (sog. "trojanische Pferde") sind in der Lage, auch fortgeschrittene aktualisierte technische Abwehrmaßnahmen zu umgehen. Als Gegenmaßnahmen empfehlen die Autoren unter anderem Standardsicherheitsprogramme (Virenschutzprogramme, Firewall sowie regelmäßige Updates des Betriebssystems und der Anwendungen). Notwendig sei zudem eine umfassende Aufklärung der Internetnutzer.


Risiken und Haftung für Nutzer und Anbieter

Durch Identitätsmissbrauch entstehen erhebliche Risiken für Dienstanbieter im Internet und ihre Nutzer. Die Nutzer haften insbesondere bei unsorgfältiger Aufbewahrung von Passwörtern, PIN etc. oder bei unzureichender Sicherung ihrer PC. Die Autoren schlagen daher vor, die Anforderungen an Nutzer durch einheitliche Verhaltensempfehlungen zu klären und insbesondere im Datenschutzrecht die Pflichten der Dienstanbieter genauer zu bestimmen.


Schwierigkeiten der Strafverfolgung

Identitätsdiebstahl und Identitätsmissbrauch sind umfassend strafbar, so das Fazit der Studie. Allerdings fehlt es an hinreichenden Ermittlungsmöglichkeiten über Staatsgrenzen hinweg. Da die Täter oft aus dem Ausland operieren, fordern die Wissenschaftler eine Intensivierung der internationalen Zusammenarbeit von Strafverfolgungsbehörden.


Pharming, Spoofing, Sniffing

Für die Zukunft prognostizieren die Forscher, dass Identitätsdiebstahl und -missbrauch noch nicht absehbare Formen annehmen werden, da neue Techniken und Plattformen immer neue Angriffsszenarien ermöglichen. Die vorliegende Studie versucht anhand öffentlich zugänglicher Quellen, erstmals einen vollständigen Überblick über den heutigen Stand der Dinge zu geben: Sie erfasst alle von Tätern eingesetzten Angriffsmethoden - etwa Phishing, Pharming (Umleitung der Nutzer auf gefälschte Webseiten), Spoofing (Verschleierung der eigenen Identität in Netzwerken) oder Sniffing (Einsatz von Spionagesoftware). Identitätsdiebstahl und -missbrauch wurden bisher nur in einzelnen Aspekten untersucht. Die Studie erscheint in Kürze auch als Buch im Springer-Verlag.

Kontaktdaten zum Absender der Pressemitteilung unter:
http://idw-online.de/pages/de/institution2


*


Quelle:
Informationsdienst Wissenschaft e. V. - idw - Pressemitteilung
Ruhr-Universität Bochum, Dr. Josef König, 10.06.2010
WWW: http://idw-online.de
E-Mail: service@idw-online.de


veröffentlicht im Schattenblick zum 15. Juni 2010