Phishing-Tagung in Bochum

Ich habe den letzten Donnerstag beim "Interdisziplinären Symposium: Phishing und Online-Banking" in Bochum verbracht. Das ganze wurde vom Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Arbeitsgruppe Identitätsschutz im Internet (a-i3) an der Ruhr-Universität Bochum veranstaltet. Diese a-i3 Gruppe hat zwar einen unhandlichen Namen, ist aber eine ganz interessante Sache - da versuchen Juristen und Informatiker miteinander an dem Problem des Phishing (und anderem) zu arbeiten. Das ist nicht immer ganz einfach. Alles in allem kann ich in dieser Gesellschaft empirisch ermitteln zu welcher der beiden Gruppen ich ehr gehöre: Ganz klar den Informatikern. Phishing ist sicher ein Thema, dass eine Zusammenarbeit der Disziplinen bitter nötig hat und das Programm zeigt den Versuch, dies zu erreichen. Ich hatte ziemlich freie Wahl bei der Wahl meines Themas ("solange sich das gut mit dem von Professor Schwenk ergänzt, mach was Du willlst"). Vor vielen Wochen hatte ich mit Prof. Dr. Jörg Schwenk, ausgemacht, das er die netzbasierten Angriffe (also Phishing Mails, Webseiten etc.) übernehmen sollte und ich die hostbasierten Angriffe. Dann bin ich wochenlang krank gewesen und Dienstag klingelte das Telefon, wo denn meine Vortragsfolien blieben. Kein Problem, ich glaube fest an just in time Produktion von Vortragsmaterialien. Ich habe immer das Gefühl, dass sich in der Diskussion um das Phishing zu sehr an der diesen Monat (oder den letzten Monat) aktuellen Phishing Methode ereifert wird anstatt mal ein paar grundlegenden Überlegungen zum Problem zu machen. Ich habe auch das Gefühl, dass nur sehr wenige Leute die Bedeutung von begreifen. Also hab ich versucht, die Präsentation um sehr wenige Punkte Kreisen zu lassen. Viel schwarz, wenig sagen dass aber hoffentlich überzeugend. Der Versuch scheint einigermaßen gelungen zu sein und ist hier zu bestaunen. Der Hauptpunkt ist, das wir die letzten 20 Jahre nicht in der Lage waren und wohl auch noch die nächsten paar Jahre nicht in der Lage sein werden, unsere PCs in einem Zustand zu bringen, bei denen es keine gravierenden Verwundbarkeit mehr gibt. Bisher gibt es praktisch einen unbegrenzten Nachschub an Fehlern, die zu " arbitrary code execution führen. Ein solcher Fehler bedeutet praktisch immer, das ein Computer mit Malware (Viren, Würmer, Trojaner) befallen werden kann und ein Malwarebefall ist - zumindest aus Sicht des Malware-Autors - eigentlich immer eine Gelegenheit zur arbitrary code execution. "arbitrary code execution" bedeutet auf heutigen Systemen immer einen Totalverlust der Integrität. Alles ist möglich. Nichts ist unmöglich. Ein Computer, auf dem ein Gauner beliebigen Code ausführen kann kann kein Vertrauen mehr vermitteln. Das ist eine mathematische (naja ehr informationstheoretisch) Wahrheit. Kein SSL, keine TAN-Blöcke und keine iTAN können da schützen. Ein Computer auf dem Malware läuft ist nichtmehr zu schützen und kann auch nichts anderes schützen. Im Zusammenhang mit Phishing wir…