Spoofing und Phishing

– So schützen Sie sich vor Daten- und Identitätsdiebstahl!

Im Zeitalter der Digitalisierung, auch gekennzeichnet durch die zunehmende Verwendung wertvoller Identitätsdaten, gilt es mehr denn je, sich effektiv vor sich effektiv vor dem Diebstahl und dem Missbrauch von Identitätsdaten zu schützen. In dem Kontext fallen häufig Begriffe wie „Spoofing“ und „Phishing“ – aber kaum jemand weiß genau, worum es sich dabei handelt. Wir erklären Ihnen, was es damit auf sich hat und wie Sie der Gefahr aus dem Netz die Stirn bieten können.

Phishing – Der Diebstahl vertraulicher Informationen

Phishing sagt vielen erstmal nichts, dabei hatte fast jeder schon damit zu tun. Mit großer Wahrscheinlichkeit haben Sie einmal E-Mails mit einem solchen oder ähnlichen Betreff in Ihrem Postfach gefunden:

„Dringend“ von Ihrer Bank
„Konto gesperrt“ von PayPal
„Zugriff nicht möglich“ von Amazon

In der E-Mail selbst werden die teils alarmierenden Probleme mit Ihrem Account weiter ausgeführt und direkt ein Lösungsweg mitgeliefert: Einfach dem Link in der E-Mail folgen, online die Zugangsdaten eingeben, kurz verifizieren und damit sei das Problem dann vermeintlich vom Tisch.

Aber: Hier sollten Sie dringend zwei Mal hinschauen, denn sind die Zugangsdaten einmal eingegeben, sind sie futsch – und damit auch der Zugriff zu auf wertvolle und wichtige Daten.

Was ist passiert? Hacker haben eine Fake-E-Mail erstellt, die in Design und Wording sehr den Original-E-Mails des entsprechenden Dienstleisters oder Onlineshops ähnelt. Ebenso ist die Website zur Eingabe ihrer Daten täuschend echt gestaltet. Tatsächlich wurden sie lediglich angelegt, um zu verführen, Benutzername und Kennwort preiszugeben. Der panikstiftende Inhalt und Tonfall der E-Mail bringt viele Nutzer dazu, nicht lange nachzudenken und schnell zu reagieren – und schon haben die Hacker ihr Ziel erreicht.

Das ist ein Beispiel für Phishing und einem erfolgreichen Identitätsdiebstahl. Phisher haben es auf Zugangsdaten und weitere Informationen wie Kreditkartennummern, Benutzerinformationen und ähnliches abgesehen, um diese zu sammeln und zu veräußern, oder sie in betrügerischer Absicht zu nutzen.

Digitale vs. reale Welt

Es verwundert manches Mal, wie unterschiedlich Situationen in der digitalen und in der realen Welt gehandhabt werden. Nehmen wir mal an, es käme jemand auf Sie zu, vermeintlich ein Mitarbeiter Ihrer Bank, beschriebe ein Schreckensszenario und bäte Sie um die Bankkarte inkl. Pin-Nummer, um das vorgegebene Problem zu lösen.

Würden Sie die Karte und den Pin aushändigen?

Sehr wahrscheinlich nicht – aus gutem Grund. Durch den persönlichen Kontakt und die ungewöhnliche Bitte wird die Vertrauensfrage gestellt, das Bauchgefühl rebelliert.

Spoofing – Die Vorgabe falscher Identitäten

Erfolgreiches Phishing führt wiederum zu einer anderen Problematik, nämlich der falschen Identifikation gegenüber Dritten, auch Spoofing genannt. Spoofing basiert auf der Annahme, dass der Kommunikationspartner vertrauenswürdig ist, weil Indizien darauf hindeuten, beispielweise passende Credentials (Benutzername und Kennwort). Eine bekannte Telefonnummer ruft an, die die Angaben zur Identifikation und des Anliegens klingen vertraut. Die Absenderadresse ist korrekt und vertrauenswürdig.

Spoofer haben es sich zur Aufgabe gemacht, diese Indizien zu fälschen, oder sogar zu kopieren und für eigene Zwecke zu missbrauchen. Ohne weitere Prüfung erhalten Spoofer unberechtigt Informationen und Zugriff auf sensible Daten.

Die bekannteste Masche ist der sogenannte CEO Fraud, das Vorgaukeln falscher Tatsachen. Mitarbeiter von Finanz- oder finanznahen Abteilungen erhalten plötzlich E-Mails im Namen von Angestellten des höheren Managements. Diese Nachrichten sollen zunächst eine Vertrauensbasis schaffen. Irgendwann erfolgt dann die Aufforderung, vermeintlich dringende Finanztransaktionen durchzuführen, die der falsche CEO zwar als ungewöhnlich deklariert – unter den Umständen seien sie aber notwendig. Unternehmen haben auf diese Weise im vergangenen Jahr bereits 5 Milliarden Euro verloren.

Maßnahmen für mehr Datensicherheit

Mit einfachen Methoden und durch Einsatz simpler Technologien lassen sich die Risiken, die von Phishing und Spoofing ausgehen, minimieren:

Als Nutzer von digitalen Diensten sollte man immer auf Authentifizierungsmöglichkeiten achten, die über Benutzername und Kennwort hinausgehen, denn solche Credentials können, wie wir gesehen haben, verloren gehen. Der Einsatz weiterer Sicherheitsmerkmale hilft ungemein – Stichwort Multifaktorauthentifizierung oder ZeroTrust.
Unternehmen können Anwender in deren Bestreben um maximale Sicherheit durch entsprechende Prüfmechanismen unterstützen. Ist die Absenderadresse korrekt und vertrauenswürdig? Müssen sich Anwender mit mehr als Benutzername/Kennwort anmelden? Auch eine Integration in Authentifizierungs- und Autorisierungsprozeduren von Drittanbietern, die bereits ein hohes Maß an Sicherheit etabliert haben, ist denkbar.

Fazit

Der Verlust von Identitäts- und Zugangsinformationen kann für die Betroffenen weitreichende Folgen haben. Jedem ist es selbst überlassen, wie man mit den eigenen Identitäts- und Kontodaten umgeht. Aufgrund der großen Bedeutung solcher kritischen Informationen ist es allerdings ratsam, diese wie seinen sprichwörtlichen Augapfel zu hüten. Fragwürdige Anfragen sind abzulehnen oder zumindest zu hinterfragen. Credentials sollten nie ohne Anlass aufgrund einer überraschende Anfrage preisgegeben werden. Unternehmen sollten Anwender und Kunden zudem besser unterstützen – durch den Einsatz einfacher, aber effektiver Technologien, die Spoofing oder Identitätsmaskierung unterbinden.

Wir bei der TIMETOACT haben es uns zur Aufgabe gemacht, Anwender und Unternehmen zu unterstützen und so die maximale Sicherheitsstufe zu etablieren. Mehr Informationen finden sie hier.

Blogbeitrag, was bedeutet Zero Trust bedeutet

Blog 30.09.20

Zero Trust – oder lassen Sie jeden rein?

In unserem Blogbeitrag möchten wir uns mit ein paar grundlegen Fragen zu Zero Trust beschäftigen: Was bedeutet Zero Trust eigentlich? Was ist das Prinzip dahinter? Was ist der Nutzen? All dies und mehr klären wir in unserem Artikel.

Blogbeitrag, zu was eigentlich „Single-Sign-On“ (SSO) ist

Blog 14.10.20

Was ist eigentlich „Single-Sign-On“ (SSO)?

Diese Frage beantworten wir unserem Blogbeitrag. Erfahren Sie außerdem, welche Geschichte sich hinter Single-SIgn-On verbirgt.

Blog 24.08.20

Ein neues Zeitalter der Cyber Security

Cyber Security hat in den vergangenen Monaten und Jahren einen ganz neuen Status erlangt: Ein Zeitalter des „Zero Trust“ ist angebrochen und mit ihm hat sich Blick auf Sicherheitsbedrohungen drastisch verändert.

Blogbeitrag, wie Sie One Identity Safeguard und One Identity Manager verkuppeln

Blog 22.12.20

Administrationstiefe von IAM-Systemen

In unseren IAM-Projekten haben wir regelmäßig mit Prüferinnen und Prüfern der internen Revision zu tun. Insbesondere während der ersten Projektschritte ereilen uns immer wieder die Fragen: Woran erkenne ich denn jetzt im IAM-System, ob Herr Meier auf das Share XYZ Zugriff hat? Was sind aktuell seine wirksamen Berechtigungen?

Blogbeitrag zu Pam, warum das jeder kennen sollte

Blog 06.07.20

Darum sollte PAM für Sie kein unbekanntes Wort sein!

Sicherlich haben Sie schon einmal mitbekommen, dass Unternehmen Ziel von Hackerangriffen geworden sind. Sind Sie sicher, dass Ihnen nicht das Gleiche passiert?

Das Thema IT-Security immer weiter in den Fokus

Blog 07.01.21

Warum der Überwacher überwacht werden muss

Nach dem SolarWinds Hack rückt das Thema IT-Security immer weiter in den Fokus. In unserem Blogbeitrag beschreiben wir alles zum SolarWinds-Hack, deren Folgen und was wir daraus lernen können.

Blogbeitrag, wie das optimale IAM Tool gefunden werden kann

Blog 20.07.20

So finden Sie das optimale IAM-Tool für sich!

Fragen Sie sich auch, wie Sie ein geeignetes IAM-Tool finden können, das zu Ihren Anforderungen und Vorstellungen passt?

Blogbeitrag zur Authentifizierung als Schutz von Unternehmen

Blog 17.08.20

Warum Authentifizierung unser ständiger Begleiter ist

Eine der wichtigsten Grundlage zum Schutz Ihres Unternehmens ist die Authentifizierung. Daher wollen wir Ihnen in diesem Blogbeitrag die Bedeutung des Authentifizierungsverfahren vorstellen.

Header zum Expertenbericht Self-Sovereign Identity 1

Blog 22.09.21

Self-Sovereign Identity Teil 1: Die Geschichte

Die selbstsouveräne Identität ist eine Ausprägung eines ID- oder Identitätssystems, bei dem jeder Einzelne als Dateneigentümer die Kontrolle darüber behält, wann, gegenüber wem, wie und wie lange die eigenen Identitätsdaten freigegeben und verwendet werden dürfen.

Webcast

Webcast: "Expedition zum Identity Management"

Gemeinsam mit tollen Speakern und einer spannenden Agenda möchten wir Ihnen das Thema "Einführung eines Identity Managements" näher bringen. Dazu zeigen wir Ihnen, wie tatsächliche Expeditionen (beispielsweise im Himalaya) geplant und durchgeführt werden, wie ein Unternehmen - übertragen auf IAM - auf diesem Weg agiert und wie die TIMETOACT in Kooperation mit Savyint Sie begleitet.

Sep 30

Blog 19.05.21

Passwörter heute – der Status quo

Was hat sich bei Passwörtern vom Mittelalter bis heute verändert? Erfahren Sie alles zu Status Quo sowie aktuellen Zahlen & Fakten in Teil 2 der Blogserie „Passwörter – Vergangenheit, Gegenwart und Zukunft“ .

Blog 16.03.22

Access Management – es betrifft uns mehr, als wir glauben!

Dieser abstrakte Begriff des Access Management und die damit einhergehende technologische Implikation berührt uns immer und sofort, wenn wir einen Fuss in das digitale Leben setzen.

Blog 14.05.21

Kleine Geschichte des Passworts

Passwörter gibt es schon länger als sie vielleicht denken. Im ersten Blogbeitrag der Serie „Passwörter – Vergangenheit, Gegenwart und Zukunft“ nehmen wir Sie mit auf eine Reise zu den Ursprüngen des Passworts.

Blog 24.11.20

So verheiraten Sie One Identity Safeguard & -Manager

Sie haben zwei Produkte des gleichen Herstellers bei einem Kunden implementiert, aber die beiden Akteure vertragen sich noch nicht so richtig. In unserem Blogbeitrag zeigen wir, wie Sie One Identity Safeguard und One Identity Manager verkuppeln.

Referenz

Releasewechsel eines eingesetzten IAM-Tools

TIMETOACT erhielt den Auftrag, einen Major Releasewechsel beim eingesetzten IAM-Tool durchzuführen und die Prozesse soweit wie möglich zurück zum Standard des Produktes zu entwickeln. Gleichzeitig wurde ein Wechsel des Service Providers notwendig, was zur Folge hatte, dass sämtliche Komponenten des IAM in ein neues Rechenzentrum umgezogen werden mussten.

GARANCY ist ein IAM Produkt mit vielfältigen Möglichkeiten

Blog 09.09.20

GARANCY – vielfältigen IAM-Möglichkeiten

Die GARANCY IAM Suite stellt eine dynamische Lösung zur Verfügung, um Datendiebstählen vorzubeugen.

Blog 26.05.21

Die Zukunft des Passworts – Login ohne Gehirnakrobatik

Ist die Zukunft des Passworts eine Zukunft ohne Passwort? Lange Zeit hat sich in Sachen Identity Management nicht wirklich viel getan. Die Zukunft scheint da vielversprechender – ein Gedankenexperiment.

Header zum Expertenbericht Self-Sovereign Identity 3

Blog 06.10.21

Self-Sovereign Identity Teil 3: Eine neue Ära

Header zum Expertenbericht Self-Sovereign Identity 2

Blog 30.09.21

Self-Sovereign Identity Teil 2: Identitäten

Der ausschlaggebende Faktor ist die Einführung der „Identität“ als digitales Abbild des Anwenders aus Sicht der Fachprozesse und des Unternehmens und nicht als Kopie oder Aggregierung der Benutzerkonten. Diese sind vielmehr der Identität subsequent zugeordnet. Basis dafür sind Identitäts- und ORG-Daten von HR.

Blogbeitrag zu GARANCY IAM Suite Version 3

Blog 20.10.20

GARANCY IAM Suite – Das bietet Version 3

Die GARANCY IAM Suite ist für viele Professionals im Identity Access Management (IAM) das Tool der Wahl. Wir geben Ihnen einen Überblick zu den Neuerungen der dritten Version des Beta Systems Produkt.