Swisscom

Mit moderner Technik gegen Online-Betrug

5. Mai 2022, 14:54 Uhr | Anna Molder | Kommentar(e)
Phishing
© Pixabay

Daten- und Identitätsdiebstahl stellen sowohl für private als auch berufliche Internetnutzer ein allgegenwärtiges Sicherheitsrisiko dar. Phishing ist das gezielte Abgreifen von sensiblen Nutzerdaten – soweit bekannt, aber die Methoden der Betrüger dafür sind vielfältig und werden ständig ausgebaut.

Um diesen Gefahren zu begegnen, lassen sich innovative, dennoch im Alltag einfach einzusetzende Technologien nutzen. Dazu gehören eine digitale Identität, elektronische Signaturen und elektronische Siegel, wie Dr. Paul Muntean, Senior Cyber Security Solution Architect bei Swisscom Trust Services, erklärt. Er setzt auf eine zentrale Identität anstelle von Account-Chaos.

Bei jeder Online-Registrierung mit Nutzername und Passwort wird jeweils ein eigenständiger digitaler Account erzeugt. Das hat einerseits zur Folge, dass sich über die Jahre der Internetnutzung bei den meisten Anwendern unzählige Login-Kombinationen angesammelt haben. Aus Bequemlichkeit tendieren Nutzer dazu, dasselbe Passwort mehrfach, möglichst einfache Buchstaben-Zahlen-Kombinationen oder sogar beides gleichzeitig zu verwenden.

Dieses Problem lässt sich zwar mit der Nutzung eines Passwort-Managers vermeiden, doch oftmals spielt hier der Datenschutz eine Rolle: Jeder der neu angelegten Accounts wird wiederum dazu verwendet, Daten über die Nutzer zu sammeln, die letztlich wieder in die Hände von Kriminellen gelangen können, so Muntean weiter.

Dieser Gefahr lasse sich mit einer selbstverwalteten Identität (Self Sovereign Identity, SSI) begegnen, da diese nach dem Grundsatz der Datensparsamkeit arbeitet. Hinter diesem Konzept steckt ein sogenanntes Vertrauensdreieck aus Herausgeber, Besitzer und Prüfer von Identitäten. Herausgeber bezeichnet die Quelle der Referenzen, beispielsweise staatliche Einrichtungen (Ausweise), Finanzinstitute (Kreditkarten), Universitäten (Abschlüsse), Unternehmen (Arbeitszeugnisse) oder NGOs (Mitgliedsausweise).

Besitzer verfügen über diese Referenzen, bewahren sie in digitalen Wallets auf und können sie bei Bedarf vorlegen. Besitzer von Referenzen können Anfragen von Prüfern allerdings auch jederzeit ablehnen. Außerdem müssen nicht die vollständigen Referenzen übermittelt werden, sondern es lassen sich daraus die relevanten Informationen extrahieren – beispielsweise eine bestimmte Note in einem Zeugnis. Innerhalb des Vertrauensdreiecks findet keine direkte Kommunikation zwischen Herausgeber und Prüfer statt. Das wäre etwa bei Arbeitszeugnissen wichtig: Arbeitnehmer wollen in bestimmten Fällen vermeiden, dass der (noch) aktuelle Arbeitgeber erfährt, an welches Unternehmen die nächste Job-Bewerbung eingeschickt wird.  

Wie der Branchenverband der deutschen Informations- und Telekommunikationsbranche Bitkom errechnet hat, bekam im Jahr 2021 jeder zweite Berufstätige in Deutschland über 26 Mails pro Tag. Bei allem technischen Aufwand, der betrieben wird, um E-Mail-Virenfilter und Co. konsequent „up to date“ zu halten, ist und bleibt der Mensch das größte „Datenleck“. Gerade für Unternehmen als Arbeitgeber gilt die traurige Realität, dass das größte Risiko für Cyberkriminalität von den Mitarbeitern selbst ausgeht, erklärt Muntean.

Daher fließe im Zuge von Spam- und Phishing-Aktivitäten viel kriminelle Energie in das Fälschen möglichst seriös wirkender Kommunikation zwischen Betrüger und potenziellem Opfer. Dabei gehen die Kriminellen immer professioneller vor und etwa betrügerische Mails oder SMS sind nicht direkt erkennbar.

Um digitale Kommunikation zweifelsfrei einer Person oder einem Unternehmen zuzuordnen, können elektronische Signaturen (FES – fortgeschrittene elektronische Signatur oder  QES – qualifizierte elektronische Signatur) oder elektronische Siegel zum Einsatz kommen. Die Signatur ist dabei an eine natürliche Person geknüpft – etwa einem Mitarbeiter im Unternehmen, während ein Siegel einer juristischen Person oder Institution zugeordnet ist, sprich dem Unternehmen selbst.

Das Funktionsprinzip hinter beiden Varianten, die asymmetrische Kryptografie, klingt bekanntlich zuerst sehr kompliziert, lässt sich aber einfach darstellen. Für die Erstellung einer QES oder eines elektronischen Siegels (Verschlüsselung) wird ein privater Schlüssel benötigt. Zum Prüfen dieses Nachweises (Entschlüsseln) dient ein öffentlicher Schlüssel. Der Zusammenhang zwischen den Schlüsselpaaren wird über eine schwer umkehrbare mathematische Operation hergestellt, die einen enormen Rechenaufwand bedeutet. Das heißt: Wer vom öffentlichen Schlüssel auf den privaten Schlüssel schließen will, müsste über einen Supercomputer und sehr viel Zeit verfügen. Daher lohnt es sich in der Praxis schlicht nicht, dieses System anzugreifen. Das macht die asymmetrische Kryptografie so sicher. Denn grundsätzlich gilt: qualifizierte elektronische Signaturen sind einer Unterschrift auf Papier rechtlich in vielen Fällen gleichgestellt, was allen involvierten Parteien nicht nur ein Gefühl von Sicherheit gibt.

Wer eine dienstliche E-Mail elektronisch signiert, zeige Kunden, Partnern und Kollegen, dass das Thema Sicherheit in der Geschäftskommunikation die notwendige Beachtung findet, so Muntain. Dies schaffe letztlich Sicherheit und damit beiderseitiges Vertrauen. Wer zusätzlich noch seine Login-Daten mit einer selbstverwalteten Identität schützt, tue viel, um den Herausforderungen im Zuge der Daten- und Identitätssicherheit zu begegnen. Denn diese Techniken helfen sowohl Unternehmen als auch Privatpersonen dabei, Betrügern einen Schritt voraus zu sein.

Zuerst erschienen auf lanline.de.

Anbieter zum Thema

zu Matchmaker+

Verwandte Artikel

Bitkom

Computerkriminalität

IT-Security

Matchmaker+