ISSECO: Phishing-Attacke im Emmissionshandel ist Folge schlampiger Sicherheitsvorkehrungen

Der Phishing-Angriff gegen Kunden der Deutschen Emissionshandelsstelle (DEHSt) zeige, wie stiefmütterlich Sicherheit behandelt werde, rügt Prof. Dr. Sachar Paulus, Vorstandsvorsitzender des ISSECO e.V. und Professor für Unternehmenssicherheit und Risikomanagement. "Passwörter als Authentifizierungsmaßnahme für kritische Transaktionen sollten längst der Vergangenheit angehören", so Paulus. Es sei ganz klar die Verantwortung eines Dienstleisters, für sichere Authentifizierung zu sorgen. Phishing – ein Angriff, bei dem Personen über betrügerische E-Mails und Web-Seiten aufgefordert werden, ihre Passwörter preiszugeben – werde immer erfolgreich sein, das liege in der Natur der für heutige Anforderungen mangelhaften Passwörter.

Der heute übliche Standard seien im Bankenbereich TANs, und bei der Umsatzsteueranmeldung digitale Zertifikate. Dass diese bei der DEHSt bisher nicht zum Einsatz kommen, lasse weitere Schwachstellen vermuten, so Paulus: "Wer schon bei der Authentifizierung schlampt, bei dem sind die Anwendungen garantiert nicht Hacker-sicher". Paulus rät dringend, die Anwendungen der DEHSt auf Sicherheitsschwachstellen zu überprüfen und die verantwortlichen Mitarbeiter und Entwickler in sicherer Software-Entwicklung zu schulen, so etwa nach dem Qualifizierungsstandard von ISSECO.

Angesichts der vielfältigen Möglichkeiten des Internetbetruges sieht Prof. Sachar Paulus die Verantwortung bei der DEHSt, nicht bei den durch ihre Gutgläubigkeit geschädigten Firmen: „Man ist schnell dabei, die Verantwortung auf andere abzuwälzen. Natürlich ist im Verhältnis zum Gesamtumsatz der DEHSt nicht viel passiert, aber jeder einzelne Bankkunde, der Opfer von Phishing geworden ist, ärgert sich dennoch über die fehlenden Sicherheitsmaßnahmen seiner Bank“.

Per E-Mail hatten Angreifer in den vergangenen Wochen von Firmen, die mit Emissionszertifikaten handeln, deren Kontozugangsdaten angefordert. Unter dem vertrauenswürdig anmutende Link zur angeblichen Website der Deutschen Emissionshandelsstelle (DEHSt) gaben mehrere Firmen ihre Zugangsdaten für den Emissionshandel preis – und verloren zum Teil mehr als eine Million Euro.

Der ISSECO-Standard wurde 2008 innerhalb eines Jahres in Kooperation von international führenden Unternehmen und Forschungseinrichtungen mehrerer Länder im Bereich IT-Sicherheit entwickelt: SAP, Secorvo, Secunet, SELA, SQS, VirtualForge, Ohm-Hochschule Nürnberg, FH Brandenburg, FH Hannover, Fraunhofer IESE, Díaz & Hilterscheid und iSQI. Die praxisnahe, hersteller- und produktunabhängige Konzeption ermöglicht die weltweite ISO-konforme Zertifizierung. Die Prüfungsbögen sind in englischer Sprache. Der Weiterbildungsstandard tritt der wachsenden Bedrohung von Software durch Angriffe von außen entgegen. Externe Schutzmaßnahmen wie Firewalls und Virenscanner reichen zum Schutz einer Software nicht mehr aus. Derzeit werden die meisten Angriffe durch Sicherheitslücken in der Programmierung ermöglicht. Deshalb brauchen Software-Entwickler Spezialkenntnisse zum Design sicherer Software, um die Software selbst gegen Angriffe resistenter zu machen.

Für weiterführende Fragen steht ISSECO-Präsident Prof. Dr. Sachar Paulus gern zur Verfügung.

www.isseco.org