EDV-GT: Internetsicherheit: Phishing, Pharming und Skimming

Łukasz Krasoń-Becker In dem von Łukasz Krasoń-Becker moderierten Arbeitskreis "Internetsicherheit" gab Prof. Herberger zunächst eine kleine Einführung, in der er auf das Spannungsfeld "Rechtsinformatik - Informationsrecht" hinwies, das fundierte Kenntnisse der technischen Infrastruktur erfordere. Das Problem der Unkenntnis sei in Juristenkreisen aber leider noch immer vorhanden, wie die Website daufaq.de zeige. Hauptreferent Rigo Wenning (W3C) skizzierte in seinem Vortrag zunächst die Funktionsweise von Internetbanking und die potentiellen Schwachstellen der Verfahren, die einen unbefugten Eingriff zulassen, bevor er sich mit dem speziellen Phänomen des Phishing beschäftigte. Der Vorgang des Phishing umfasse im Wesentlichen drei Phasen, das Spamming der Mail, die Sammlung der Daten, die Anwendung der Daten und den Rückfluss des Geldes. Rigo Wenning, Maximilian Herberger Zunächst müsse der Phisher beim Opfer einen Irrtum erregen. Die hierzu verwendeten Mails würden zunehmend in "besserer Qualität" verbreitet. Dass die Nutzer letztendlich die gefälschten Seiten, auf die sie geleitet werden, als echt ansehen, sei sowohl auf Schwächen im Browser, für den Nutzer unverständliche Sicherheitsroutinen als auch Verwechslungsmöglichkeiten bei Domainnamen zurückzuführen. So gewähre z.B. das Schloss-Symbol in der Statuszeile des Browsers keinerlei Sicherheit, da die Sicherheitsinformationen des Browsers für den Nutzer nicht nachvollziehbar sei und man relativ leicht bei Anbietern wie Verisign Zertifikate erzeugen könne, die keine echte Authentisierung bieten. Sichere Authentisierungssysteme würden hingegen von den Anbietern nicht genutzt, da diese zu wenig Möglichkeiten bei der Anpassung des Designs böten. Die IETF arbeite jedoch bereits …