Krypto e.V.

Beliebte Webseiten wie soziale Netzwerke oder Suchmaschinen werden durch cyberkriminellen Missbrauch immer öfter eine Gefahr für ihre Nutzer. Insgesamt 70 Prozent der 100 beliebtesten Webseiten im Internet haben im zweiten Halbjahr 2008 aufgrund von Attacken schädliche Inhalte oder versteckte Umleitungen auf bösartige Webseiten enthalten – eine Steigerung um 16 Prozent gegenüber dem ersten Halbjahr. Dies zeigt der aktuelle Bericht “State of Internet Security” der Websense Security Labs auf. Die Methoden der Kriminellen, Seiten zu infizieren, sind vielfältig. “Wir haben Script-Injections, kompromittierte oder mit bösartiger Absicht erstellte Accounts und den Missbrauch offener Umleitungen erlebt”, sagt Carl Leonard, Websense Threat Research Manager.

“Die Schattenwirtschaft floriert richtig, während Unternehmen bei Sicherheitstechnologie nicht auf dem letzten Stand sind”, meint Leonhard. Cyberkriminelle würden beispielsweise die wachsende Zahl an Web-2.0-Funktionen ausnutzen, die User-erstellten Content erlauben. “Mehr als je zuvor beobachten wir, dass in Webseiten Links injiziert werden, die Nutzer auf bösartige und kompromittierte Webseiten umleiten”, so der Experte weiter. Insgesamt sind schon mehr als drei Viertel aller Webseiten, die von Websense als schädlich eingestuft wurden, Angebote mit gutem Ruf, die von Angreifern kompromittiert wurden. Bevorzugte Ziele sind dabei gerade beliebte Webseiten mit entsprechend vielen Seitenaufrufen – beispielsweise Suchangebote wie Google oder verschiedene Arten sozialer Angebote wie Facebook oder YouTube. Die jeweiligen Anbieter sind sich ihrer Verantwortung offenbar bewusst. “Die Unternehmen nehmen das sehr ernst und unternehmen die nötigen Schritte, um Malware schnellstmöglich zu entfernen”, meint Leonhardt.

Der Missbrauch von Webseiten ist nicht die einzige Bedrohung, die weiter angestiegen ist. “Da vielen E-Mail-Sicherheitssystemen die Web-Intelligenz fehlt, haben Spammer auch E-Mail-Kampagnen intensiviert, die Links auf bösartige Webseiten enthalten”, betont Leonhard. Bereits 90,4 Prozent aller Spam-Mails haben Websense zufolge im zweiten Halbjahr 2008 Links auf Spam- oder Malwareseiten enthalten, was eine Steigerung um sechs Prozent gegenüber der Vorhalbjahr darstelle. Im Kampf gegen die Internet-Bedrohungen erscheinen neue Ansätze, wie sie von verschiedenen Anbietern erforscht werden, unerlässlich. “Es ist klar, dass Unternehmen Sicherheit mit Echtzeit-Schutz benötigen. Aber bis das die Norm wird, werden Cyberkriminelle weiter Daten stehlen und schmutziges Geld verdienen”, meint Leonhard. Auch fehlerfreiere Programmierung, zu der die kürzlich veröffentlichte Liste der 25 gefährlichsten Programmierfehler beitragen will, wäre natürlich von Vorteil. “Das fortgesetzte Ausnutzen von Schwachstellen wie offenen Umleitungen hält die Tür für Missbrauch durch Malware-Autoren offen”, sagt Leonhard abschließend.

Verbraucherschützer warnen vor Webseiten im Internet, die mit der kostenlosen und proprietär Internettelefonie-Software Skype werben, in Wahrheit aber Kosten von rund 200 Euro nach sich ziehen. So ist etwa unter dem vermeintlichen Österreich-Webauftritt skype.at eine Seite der deutschen Firma Content Services Ltd. gehostet. Mit dem Versprechen, via Skype kostenlos im Internet telefonieren zu können, werden User aufgefordert, ihre Adressdaten anzugeben, um die Software herunterladen zu können. Mit der Übermittlung der persönlichen Daten schließt der User jedoch einen Vertrag ab und verpflichtet sich dem Anbieter 96 Euro pro Jahr zu zahlen. Hierbei ist die Vertragslaufzeit ist auf zwei Jahre angesetzt. Was dem zahlenden Kunden geboten wird, ist allerdings nicht ersichtlich.

Wie Skype auf Anfrage von VoIPphones.de mitteilte, sind neben skype.at auch die Domains skyp.at, scyp.de, scype.de, skyp.de und scipe.de betroffen, die allesamt auf denselben Anbieter opendownload.de zurückführen. “Das ist eine ernste Angelegenheit. Wir haben sofort rechtliche Schritte eingeleitet und hoffen, die Domains so schnell wie möglich vom Netz zu bekommen”, erklärt eine Skype-Sprecherin im Gespräch mit VoIPphones.de. Nutzer rät sie, Skype-Software ausschließlich über die echte Skype-Webseite www.skype.com zu beziehen.

“Das Problem ist, dass viele Konsumenten die Falle erst dann bemerken, wenn sie die Rechnung über 96 Euro erhalten. Die Firma hinter diesen irreführenden Angeboten ist Verbraucherschützern bereits einschlägig bekannt”, sagt Verbraucherschützer Gernot Fieber von der Arbeiterkammer Oberösterreich. “Content Services Ltd. betreibt ebenfalls die Seite opendownload.de, über die es bereits viele Konsumentenbeschwerden gegeben hat”, so Fieber, der betroffenen Kunden rät, sofort den Rücktritt von dem Vertrag zu erklären. Hierfür stellt man auch einen Musterbrief zur Verfügung.

Die Betreiber der Seite gehen besonders dreist vor, wenn es um das gesetzlich verankerte Widerrufsrecht geht. Nutzer müssen vor Absenden des Formulars ausdrücklich auf das Widerrufsrecht verzichten. “In keinem Fall soll man der Zahlungsaufforderung nachkommen. Mahnungen sollten ebenfalls ignoriert werden”, sagt Fieber. Dieser Auffassung schließen sich auch deutsche Verbraucherschutzzentrale an. Selbst wenn mit Klagen gedroht wird, soll man sich nicht einschüchtern lassen. “Bislang ist ein derartiger Fall noch nie vor Gericht gekommen”, berichtet Fieber, obwohl das für die Verbraucherschützer durchaus wünschenswert wäre. “Hier existieren rechtliche Bereiche, die nicht eindeutig formuliert sind. Daher wäre es ein Glücksfall für uns, wenn diese Fragen einmal geklärt würden”, sagt der Verbraucherschützer.

“Kein Unternehmen, das einen kostenlosen Dienst anbietet, verlangt derart ausführliche persönliche Informationen”, so Fieber. Dieser Umstand allein sollte bereits alle Alarmglocken aktivieren. Die Software sollte immer vom Anbieter direkt bezogen werden. Im Fall von skype.at zielt der Betreiber jedoch genau auf diese vermeintliche Sicherheit ab.

Content Service Ltd. war für eine Stellungnahme nicht zu erreichen. Die kostenpflichtige Rufnummer verweist lediglich auf eine weitere Service-Firma ohne Telefonnummer, die für Support sowie Kundenanfragen zuständig sei. Quelle: VoIPphones.de – Das deutschsprachige Voice over IP Magazin

Jedes zweite Unternehmen in der Bundesrepublik ignoriert behördlich vorgeschlagene IT-Sicherheitsstandards und geht dabei ein erhebliches Risiko ein. Gelangen zum Beispiel hochvertrauliche Daten von Kunden ungewollt an die Öffentlichkeit, entsteht nicht nur ein Wettbewerbsnachteil für das betroffene Unternehmen. Wird von Behörden nachgewiesen, dass sich ein Geschäftsführer Sicherheitsvorgaben wissentlich nicht zu Herzen genommen hat, drohen zudem Strafen bis hin zu Schadenersatzforderungen. “Sicherheitskonzepte des Bundesamts für Sicherheit in der Informationstechnik plädieren lediglich dafür, geeignete Maßnahmen zur Risikovermeidung zu treffen. Dies ist eine zu dehnbare Formulierung”, erklärt Hans Zeger, Obmann der Arge Daten.

Laut dem Experten sei es für Institutionen wie beispielsweise öffentliche Verwaltungen, wo mit Kundendaten umgegangen wird, sinnvoll, bestimmte Mindestvorgaben in Hinblick auf IT-Security zu geben. “Auch mit dem sogenannten IT-Sicherheitshandbuch für Österreich existieren keine Vorschriften, sondern lediglich Empfehlungen”, fügt Zeger auf Nachfrage hinzu. Wie die aktuelle Erhebung “IT-Security 2008″ der InformationWeek in Kooperation mit der Steria Mummert Consulting ergab, hat sich der Anteil der vorsorgenden Betriebe im abgelaufenen Jahr im Vergleich zu 2007 noch immer nicht erhöht. IT-Insider führen diese Negativentwicklung aber nicht primär auf die durch einen Ausbau der IT-Infrastruktur anfallenden Finanzbelastungen zurück.

“Geld spielt zwar eine wichtige, aber bei diesem Thema fast nie zentrale Rolle. Was ich seit einigen Jahren beobachte, ist, dass Investitionen von Unternehmen in ihre IT-Struktur häufig in die falsche Richtung gehen. So werden einzelne analysierte Probleme oft übertrieben stark abgesichert, an einem umfassenden Gesamtkonzept hapert es jedoch”, unterstreicht Zeger im Gespräch. Wie die Steria-Mummert-Consulting-Studie zudem anführt, liegt der Anteil der Unternehmen, die ein IT-Risikomanagement besitzen, das die Vorsorgegebote des Bundesamts für Sicherheit in der Informationstechnik erfüllt, bei nur rund einem Drittel und damit nahezu unverändert gegenüber 2007. Kaum überraschend, da Gesetzeszwang zum Aufbau einer unternehmensweiten IT-Sicherheitsarchitektur existiert.

In Hinblick auf die gesetzliche Lage der Handlungs- und Haftungsverpflichtungen innerhalb der Bundesrepublik ist vor allem das Gesetz zur Kontrolle und Transparenz bei Unternehmen (KonTraG) zu nennen. Zudem besteht im Bundesdatenschutzgesetz eine weitere Grundlage für Schadenersatzansprüche gegen Unternehmen. Demnach sind sowohl alle erhobenen als auch genutzten Kundendaten durch organisatorische und technische Schutzmaßnahmen zu sichern. “Firmen, die Kontrollsysteme eingeführt haben, reduzieren ihr Schadenersatzrisiko”, sagt Wolfgang Nickel, IT-Sicherheitsexperte bei Steria Mummert. Dem Experten nach würden zusätzliche IT-Sicherheitsmaßnahmen das Kundenvertrauen fördern, was gerade in wirtschaftlich schwierigen Zeiten wie diesen einen Imageschaden vermeiden könnte.