Auch ein ausgewiesener Sicherheitsforscher klickt mal daneben: "Ich bin reingefallen auf eine Paypal-Nachricht", gestand mit Linus Neumann einer der Sprecher des Chaos Computer Clubs (CCC) am Sonntag auf dem 36. Chaos Communication Congress (36C3) in Leipzig. Es sei ein nicht-autorisierter Zugriff auf sein Konto erfolgt, habe es in der Phishing-Mail geheißen. Er müsse daher seine Identität bestätigen. Im Browser habe dann zwar nicht Paypal in der Adresszeile gestanden, aber müde wie er gewesen sei, "bin ich drauf". Das einzig Gute sei gewesen, dass sein Passwort-Manager ihm für die Domain keine Kennung habe anbieten können.

Auch geübte Nutzer tappen in Fallen

Mit psychologischen Komponenten wie Autorität, Vertrauen, Eile und Druck punkteten die Jäger nach Login-Kennungen, führte Neumann aus. Nicht nur beim "Klassiker" CEO-Fraud könne man dies beobachten,

wo der Chef angeblich mahne, dringend eine angehängte Rechnung zu bezahlen oder einen wichtigen "Deal mit den Chinesen" vorzubereiten. Diese Welt sei nicht immer nur für ungeübte Nutzer gefährlich: So habe etwa auch die Linux-Kernel-Liste so eine Phishing-Mail bekommen, in der sogar ein bereits in den dunklen Ecken des Netzes verfügbares zugehöriges Passwort mitgeliefert worden sei. Die Entwickler hätten daraufhin 2,98 Bitcoin an die Erpresser gezahlt, also rund 19.000 Euro.

Auch die Cyberkriminellen hinter der Ransomware GandCrab haben dem Diplom-Psychologen zufolge mit vielen Tricks gearbeitet. Der Preis für eine Datenverschlüsselung "verdoppelte sich nach einer Woche", was die Programmierer von großen Buchungsportalen abgeschaut hätten. Mit einer einmaligen Gratis-Entschlüsselung einer einzelnen Datei hätten sie zudem die Betroffenen angefixt sowie ihnen beweisen wollen, dass sie die "Dienstleistung" erbringen könnten.

Ransomware verschont Russen

Innovativ gewesen sei bei GandCrab, deren Macher "viele Millionen" eingesteckt und sich im Juni angeblich "zur Ruhe gesetzt" hätten, auch der "Kunden-Chat" bei Problemen mit der erwünschten Zahlweise, erläuterte Neumann. Er habe diesen im Auftrag eines Betroffenen zusammen mit seinem Kollegen Vladimir einfach mal ausprobiert und zunächst auf Englisch gefragt, wo man Bitcoin erwerben könne und ob eine SEPA-Überweisung nicht auch ginge.

In Russland verschlüsselt der Trojaner eh keine Daten – und ist das Opfer (angeblich) Russe, soll die Entschlüsselung kostenlos sein. (Bild: CC by 4.0 36C3 media.ccc.de)

Vladimir habe im Lauf des Nachrichtenaustauschs schnell festgestellt, dass die andere Seite Russisch gekonnt habe und plötzlich mit kyrillischen Schriftzeichen geantwortet sowie gefragt habe, wie es zu der Infektion gekommen sei. Er arbeite für Gazprom im Ausland, sei dem Kollege daraufhin eingefallen, woraufhin das Gegenüber ganz freundlich beschieden habe: "Mach bitte ein Foto von deinem Pass, ich brauche nur einen Beweis, dass du Bürger Russlands bist, dann stellen wir die Daten wieder kostenlos her." GandCrab prüfte generell, ob sich der angegriffene Rechner in einem Land befand, in dem Russisch gesprochen wird. In diesem Fall verschlüsselte der Trojaner keine Daten.

Gefahren werden ignoriert

Psychologisch erklärte der Hacker den Erfolg von Phishing und Online-Erpressung damit, dass es zwei Systeme im Gehirn gebe. Das seine sei schnell sowie intuitiv und funktioniere automatisch bei Standardabläufen. Es greife etwa bei Angst oder Langeweile. Genau darauf zielten die Internetbetrüger. Das zweite, langsam, analytisch und dominiert von Vernunft an ein Problem herangehende Denkverfahren bleibe bei der Konfrontation mit einer Phishing-Mail dagegen meist komplett außen vor.

So komme es, dass jedes praktisch relevante Problem der IT-Sicherheit mittlerweile zwar theoretisch gelöst sei, meinte Neumann. Die Umsetzung sei aber ein "einziges Desaster". Das übliche Risikomanagement in der IT sehe so aus, dass eine Gefahr wahrgenommen, analysiert – und ignoriert werde. Die Folge sei seit mindestens 20 Jahren: "Uns fliegt ein Makro nach dem anderen um die Ohren." Entwickler wollten dafür möglichst nicht zur Verantwortung gezogen werden.

Eine verhängnisvolle E-Mail, auf die auch mal ein geübter Nutzer hereinfällt. (Bild: CC by 4.0 36C3 media.ccc.de)

Awareness-Maßnahmen ohne Effekt

Um herauszufinden, welche Designfaktoren Nutzer möglicherweise weniger verwundbar machen könnten, führte der Sicherheitsforscher zusammen mit Kollegen zwei Studien in Unternehmen durch. Bei einem davon in Asien mit 30.000 beteiligten Mitarbeitern habe die Erfolgsrate einer an die gesamte Gruppe versandte Phishing-Mail 35 Prozent betragen. 55 Prozent hätten die Nachricht ignoriert, zehn Prozent den Vorgang der Passworteingabe abgebrochen. Wie sich später herausgestellt habe, seien viele der Mails aber gar nicht geöffnet worden. Ohne diesen Anteil sei eine Klickquote von 55 Prozent herausgekommen.

Sämtliche auf das rationale Denksystem ausgerichteten "Awareness-Maßnahmen" der Studienmacher hätten zudem "keinen Effekt" gehabt, berichtete der Experte. Nur aus der "Selbsterfahrung", gehackt zu werden, hätten die Betroffenen zumindest kurzzeitig etwa gelernt. Die zweite Studie habe das Team in einer internationalen, in mehreren Sprachen kommunizierenden Organisation mit 2000 Zielpersonen durchgeführt. Dort habe die Erfolgsrate im ersten Durchlauf nur zehn Prozent betragen. Dies habe daran gelegen, dass dort Mails von außen im Betreff mit dem Hinweis "extern" versehen seien und ein Passwort-Wechsel nicht über eine Webseite erfolge.

Makros besser signieren

Jenseits solcher recht einfach durchführbarer Maßnahmen empfahl Neumann, Makros in Betrieben zumindest zu signieren, was heutzutage kein Hexenwerk mehr sei. Zudem sei es überfällig, das seit Jahrzehnten bestehende Passwort-Problem anzugehen. Denkbar sei es, die freie Wahl solcher Kennungen zu unterbinden, um das "123456"-Desaster auszuschließen. Zudem wüchsen mit Fido2 und insgesamt zunehmender 2-Faktor-Authentifizierung wohl echte Alternativen heran. Hilfreich könne es auch sein, die Ausführbarkeit von Software einzuschränken auf Downloads aus anerkannten App-Stores. (tiw)