Mit digitaler Signatur gegen Phishing

18. August 2015 /
T-Mobile führt die digitale Signatur von Anhängen zu Rechnungs-E-Mails ein, um Kunden von T-Mobile und tele.ring dabei zu unterstützen, ihre Daten besser zu schützen.

Jeder E-Mail-Nutzer hat sie schon bekommen, manchen wurden so bereits Daten entlockt, einigen davon ist dadurch Schaden entstanden: Phishing-Mails. T-Mobile führt nun die digitale Signatur von Anhängen zu Rechnungs-E-Mails ein, um Kunden von T-Mobile und tele.ring dabei zu unterstützen, ihre Daten besser zu schützen (weitere Infos hier). Wir haben mit dem Verantwortlichen für IT-Sicherheit der T-Mobile, Georg Petzl, ein Interview dazu geführt.

 

Georg Petzl, zuständig für Informationssicherheit bei T-Mobile

Georg Petzl, zuständig für Informationssicherheit bei T-Mobile

Was ist Phishing überhaupt?
Georg Petzl: Phishing bedeutet, jemandem mit elektronischen Mitteln wie E-Mail, Webseiten oder Kurznachrichten vertrauliche Daten wie z.B. Login-Namen, Passwörter, TANs, Geburtsdaten, Kreditkartennummern, Kontonummern oder auch Geschäftsgeheimnisse zu entlocken. Mit den so erlangten Daten können Waren bestellt oder Gelder von Konten überwiesen werden, alles auf Kosten des Opfers.

 

Ein Beispiel: Man bekommt eine Phishing-Mail die so aussieht, als ob sie von der Hausbank kommen würde. Wording, Sprache, Logos: alles passt. In der E-Mail wird man aufgefordert, sich mit seinem Account beim Online-Banking einzuloggen. Das ist angeblich notwendig, weil es eine Hacker-Attacke gab und durch diesen Prozess von der Bank überprüft wird, dass der Account nicht betroffen ist. Der Einfachheit halber ist in der E-Mail auch ein Link auf eine Webseite angeführt, die aber nicht auf die Login-Seite der Bank führt, sondern vom Versender der Phishing-Mails betrieben wird. Klickt man nun den Link an und gibt auf dieser Seite die geforderten Daten ein, dann können genau diese Daten verwendet werden, um betrügerische Aktionen durchzuführen (mehr im 0676 Beitrag „Achtung: Phishing-Mails im Umlauf – nicht öffnen!“). Um Phishing-Attacken entgegenzuwirken, hat T-Mobile schon vor längerer Zeit den “Internetschutz” entwickelt. Schädliche Inhalte werden bereits im Netzwerk gefiltert und kommen so gar nicht erst am Endgerät an. Dies hilft allerdings leider auch nichts, wenn man sensible Daten von sich aus weitergibt.

Wie kann ich mich vor Phishing schützen?
Georg Petzl: Grundsätzlich: Mit Aufmerksamkeit und ein bisschen Aufwand. Phishing-Mails versuchen, emotionale Reaktionen auszulösen. Das heißt sie versuchen Gefühle wie Angst, Furcht, Freude, Gier, Habsucht oder ähnliches auszulösen, um dadurch das Opfer zu schnellen Reaktionen – der Bekanntgabe vertraulicher Daten oder dem schnellen Anklicken von Links – zu veranlassen.

„Think before you click“ gilt auch hier.

Schlecht gemachte Phishing-Mails und Phishing-Seiten lesen sich oftmals wie mit Google-Translate übersetzt, enthalten Rechtschreibfehler, passen in Sprache und Aufmachung nicht zu üblicher Geschäftskommunikation, enthalten Links auf Webseiten und E-Mail-Adressen mit Schreibfehlern oder untypischen Domains oder Subdomains und geben vor, von Firmen versendet worden zu sein, mit denen man keine Geschäftsbeziehung hat. In solchen Fällen löscht man besser die E-Mail, ohne sie geöffnet zu haben und man klickt auf der Webseite nichts an und gibt schon gar keine Daten ein.

Gut gemachte Phishing-Mails und Phishing-Seiten sind leider schwer zu erkennen. Das Wording und die Aufmachung passen, bei der Firma, von der die E-Mail angeblich kommt bzw. von der die Webseite angeblich betrieben wird ist man Kunde, vielleicht erwartet man sogar eine E-Mail von dieser Firma, z.B. eine Bestellbestätigung. Hier muss man auch auf kleine Unstimmigkeiten achten. Stimmt die Anrede nicht ganz, werde ich beispielsweise mit „Frau“ angesprochen, obwohl ich ein Mann bin? Werde ich mit Vornamen angesprochen, obwohl das bei dieser Firma nicht üblich ist? Wird man aufgefordert, auf einen Link zu klicken, der ungewöhnlich aussieht, z.B. der auf „cn“ oder „at.cn“ statt auf „at“ oder „com“ im Hostnamen endet oder gar nur eine IP-Adresse enthält, obwohl die E-Mail von einer österreichischen Firma kommen soll? Wird man aufgefordert, PINs, Passwörter oder TANs an Stellen einzugeben, an denen man das sonst nicht tut? Sind E-Mails oder Anhänge normalerweise signiert, diesmal aber nicht? Bequem und sicher gleichzeitig geht fast nicht.

Hier noch ein kleine Checkliste. Wenn man diese Punkte beachtet, bewegt man sich zwar nicht mehr ganz so bequem im Internet, dafür ist dann aber auch das Risiko minimiert, Opfer von Phishing-Attacken zu werden.

  • Links in E-Mails nicht anklicken, sondern Webseiten durch manuelles Eintippen einer bereits vorab bekannten URL in den Browser aufrufen. „Think before you click.“
    – Bestellbestätigung eines Online-Händlers mit Link zum Tracking der Sendung – nicht den in die E-Mail eingebetteten Link anklicken, sondern z.B. post.at aufrufen und dort unter „Sendungsverfolgung“ die Sendungsnummer eintippen oder hineinkopieren
    – Aufforderung zum Passwort-Wechsel meiner Hausbank – in den Browser selbst die URL der Hausbank eintippen (oder ein bereits früher gespeichertes Lesezeichen dafür aufrufen), einloggen, und das Passwort wechseln
    – E-mit Link auf eine Rechnung meines Mobilfunkbetreibers – selbst in den Browser die URL des Betreibers eintippen und dort in den persönlichen Bereich einsteigen und die Rechnung herunterladen
  • alle angebotenen Möglichkeiten, die Echtheit von E-Mails oder Webseiten zu überprüfen, nutzen – seriöse Unternehmen verwenden für Zugriffe auf sensible Daten via Webbrowser nur verschlüsselte Verbindungen, das heißt die entsprechenden URLs müssen mit „https“ und nicht nur mit „http“ beginnen; das zur https-Seite gehörige Zertifikat ansehen und die darin verwendeten Daten überprüfen; digitale Signaturen überprüfen
  • treten bei der Eingabe von TANs Fehlermeldungen auf, nicht mehrmals immer wieder neue TANs eingeben, sondern den Vorgang abbrechen
  • Rechnungen, Kreditkartenabrechnungen und Kontoauszüge regelmäßig, mindestens ein Mal pro Monat, überprüfen und bei Unstimmigkeiten Einspruch erheben
  • Fehlermeldungen und Warnungen, z.B. Zertifikatsfehler nicht einfach wegklicken, sondern die Aktionen abbrechen
  • so wenig Daten wie möglich weitergeben, nur jene Daten weitergeben, die für die Nutzung eines Dienstes wirklich notwendig sind – auf Formularen nur Pflichtfelder ausfüllen

T-Mobile hat jetzt die digitale Signatur eingeführt. Was bringt mir das als Kunde von T-Mobile oder tele.ring?
Georg Petzl: T-Mobile signiert nun E-Mails, mit denen Rechnungen von T-Mobile und tele.ring verschickt werden. Unsere Kunden können die Gültigkeit dieser digitalen Signatur überprüfen und wissen dann, dass solche E-Mails wirklich von T-Mobile bzw. tele.ring verschickt worden sind. E-Mails mit Rechnungen von T-Mobile oder tele.ring ohne digitaler Signatur oder mit einer Signatur, die nicht von T-Mobile/tele.ring stammt, können damit als Fälschungen, wahrscheinlich Phishing-Versuche, erkannt werden. Einen passenden E-Mail-Client vorausgesetzt, zeigt der E-Mail-Client an, ob eine korrekt signierte E-Mail vorliegt oder nicht.

Was ist eine digitale Signatur genau?
Georg Petzl: Eine digitale Signatur ist in der digitalen Welt ähnlich einer Unterschrift „in real life“. Elektronischen Daten werden weitere Informationen hinzugefügt, die nur der Signator erstellen kann, aber von jedem mit Hilfe von Programmen überprüft werden können. Viele E-Mail-Programme zeigen an, dass eine Mail mit digitaler Signatur empfangen wurde und ob diese Signatur gültig ist.

Beispiel digitale Signatur im E-Mail Programm Outlook 2013:

Beispiel digitale Signatur am iPhone:

Kann die digitale Signatur gefälscht werden?
Georg Petzl: Nein, nicht so wie man das von nicht-elektronischen Unterschriften wie z.B. von Überweisungen kennt. Die für digitale Signaturen verwendeten kryptografischen Verfahren sind nach momentanem Kenntnisstand sicher.

Allerdings muss man als Anwender die Meldungen der Programme schon beachten, Fehlermeldungen ernst nehmen und auf Zeichen von Manipulationen achten. Wenn man das nicht macht, dann nützen digitalen Unterschriften auch nichts.

Außerdem muss man als Anwender einigen Stellen vertrauen, dass keine Fehler gemacht wurden und nicht durch böse Absicht unser Vertrauen ausgenutzt wird, z.B. dem Hersteller des verwendeten E-Mail-Programms und jenen Stellen, die Zertifikate für digitale Unterschriften beglaubigen. Dieses Vertrauen ist oft, aber nicht immer gerechtfertigt.

Gibt es einen großen Unterschied bei der Anzeige am PC und am Handy?
Georg Petzl: Abgesehen von der Größe des Displays und den PC- bzw. Handy-typischen Einschränkungen: nein. Sowohl bei manchen E-Mail-Programmen am PC als auch am Handy, oder eher am Smartphone oder Tablet, müssen aber die Einstellungen so gewählt werden, dass digitale Signaturen auch verarbeitet und angezeigt werden. Es gibt auch sowohl Programme für PCs als auch für mobile Geräte, die mit digitalen Signaturen gar nicht umgehen können.

Was müssen Kunden tun, wenn sie die Signatur nicht sehen?
Georg Petzl: Prüfen, ob man die Verarbeitung von digitalen Signaturen in den Einstellungen des E-Mail-Programms aktivieren kann. Wenn das nicht geht: Ein anderes E-Mail-Programm verwenden oder auf die Vorteile der digitalen Signatur verzichten.

Anmerkung der Redaktion:
So funktioniert die Einstellung auf iOS-Geräten (muss einmal aktiviert werden):

  1. Öffnen von Einstellungen > „Mail, Kontakte, Kalender“ anklicken
  2. Gewünschten E-Mail Account auswählen > „Account“ anklicken > „Erweiterte Einstellungen“ wählen
  3. S/MIME aktivieren

Was soll man tun, wenn ein ungültiges Zertifikat angezeigt wird?
Georg Petzl: Bevor diese Frage beantwortet wird, noch eine Erklärung, was Zertifikate überhaupt sind und wozu man sie braucht.

Ein digitales Zertifikat entspricht einer bestätigten Unterschriftenprobe „in real life“, mit der der Empfänger (genauer: dessen Software) die digitale Unterschrift eines elektronischen Dokuments überprüfen kann. Die Daten jener Stellen, die Unterschriften bestätigten, den Zertifizierungsstellen, werden üblicherweise mit der Installation von E-Mail-Programmen gleichzeitig mitinstalliert. Solche Zertifizierungsstellen signieren digitale Zertifikate. Solche digitalen Zertifikate enthalten alle notwendigen Informationen, um die Identität von Signatoren und deren digitale Unterschriften überprüfen zu können. Zertifikate werden gemeinsam – im Fall von signierten E-Mails – mit der E-Mail und mit der digitalen Unterschrift übertragen.

Wenn man eine digital signierte E-Mail erhält passiert optimalerweise folgendes:

  • Mit der Installation des E-Mail-Programms wurden Zertifikate von Zertifizierungsstellen installiert oder wurden bereits bei der Installation des Betriebssystems installiert.
  • Das E-Mail-Programm erhält eine E-Mail mit dem eigentlichen Text der E-Mail, dem Zertifikat des Signators und einer digitalen Unterschrift des Signators.
  • Das E-Mail-Programm prüft:
    – Stimmt der Text der E-Mail mit der digitalen Unterschrift überein? Wenn auch nur ein Bit der E-Mail verändert wurde, dann wird das als Fehler erkannt.
    – Passt die digitale Unterschrift zum mitgesendeten Zertifikat?
    – Wurde das mitgesendete Zertifikat von einer Zertifizierungsstelle digital unterschrieben, deren Daten bei der Installation des E-Mail-Programms oder Betriebssystems mitinstalliert wurden? Alle diese Fragen müssen mit „ja“ beantwortet werden; wird nur eine einzige dieser Fragen mit „nein“ beantwortet, dann stimmt etwas nicht und das E-Mail-Programm zeigt das an.

Anmerkung der Redaktion: Anleitungen zu einigen E-Mail-Programmen, wie die Signatur überprüft und ggf. nachinstalliert werden kann:

Anleitung Installation Microsoft Outlook ›
Anleitung Installation Mozilla Thunderbird ›
Anleitung Installation Mac OS X ›

Nun zur eigentlichen Frage: Was soll man tun, wenn ein ungültiges Zertifikat angezeigt wird?
Georg Petzl: Manchmal funktioniert die Prüfung des Zertifikats des Signators nicht ohne weiteres und es kommt zu einer Fehlermeldung „ungültiges Zertifikat“ oder ähnliches, auch wenn eigentlich alles passen müsste. Bei manchen E-Mail-Programmen muss dieses Zertifikat manuell installiert werden.

Beim digitalen Signieren einer E-Mail wird eine Datei mit dem Namen „smime.p7s“ erstellt, die der E-Mail als Anhang beigefügt wird. E-Mail-Programme, die digitale Signaturen verarbeiten können, verwenden diese Datei und blenden sie automatisch aus. E-Mail-Programme, die mit digitalen Signaturen nicht umgehen können, zeigen die Datei „smime.p7s“ als normalen Anhang an.

Vielen Dank für das Interview.

Verfasst von
Sie ist Pressesprecherin von T-Mobile Austria und Hauptredakteurin des 0676 Blogs. Sie interessiert sich seit der Jugend für Telekommunikation, Technologie und Mobilfunk.

Kommentieren

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.