Aus Liebe zur Sicherheit: IT-Gedanken zum Valentinstag

Ein romantisches Secutorial von Dr. Julia Kerscher

I love you – Ein Brief geht viral

Vor knapp 20 Jahren ging das sogenannte „I love you“-Virus um: ein Wurm, der sich als „Loveletter“ tarnte und vortäuschte, von bekannten Absendern zu stammen, indem er sich an Empfänger aus dem persönlichen Adressbuch verschickte. Seinem Dateinamen LOVE-LETTER-FOR-YOU.TXT.vbs wäre die fragwürdige Herkunft des Liebesbriefs theoretisch zu entnehmen gewesen („vbs“ steht für „Visual Basic Scripting“ und eben nicht für eine Textdatei) – allerdings wird diese Erweiterung in Standard-Windows-Installationen nicht angezeigt.

Das „I love you“-Virus kombinierte erstmals Social Engineering – den angeblichen Liebesbrief – mit einer raffinierten Technik, die sich im E-Mail-Adressbuch neue Opfer suchte. Der Schaden, den der Wurm angerichtet hatte, war immens: Geschätzte 5,5 Milliarden Dollar kostete es, die 50 Millionen befallenen Computer wieder instand zu setzen.

Liebe und IT-Sicherheit sind überhaupt ein interessantes Paar:

Vor 10 Jahren, am 14. Februar 2009, sollte der Valentinstag zum Aufbau eines Botnetzes genutzt werden: Mithilfe einer Spam-Welle von gefälschten Liebes-Mails sollten Anwender in die Falle gelockt werden: Die vermeintlichen Valentinsgrüße enthielten Links zu Webseiten, die beim Besuch Bilder mit Herzmotiven anzeigten. Ließ man sich zum Klick auf die Herzen verleiten, führte dies zur Installation des Waledac-Wurms.

Valentinstag – mit unfreundlichen Grüßen

Auch zum diesjährigen Valentinstag werden wieder zahlreiche elektronische Liebesgrüße verschickt und Valentinstagsgeschenke online be- und erworben. Das machen sich Cyberkriminelle zu Nutze, indem sie im Namen der Liebe gefährliche Dateianhänge, Phishing-Links oder verschleiernde Kurz-URLs versenden oder im Zeichen der Hilfe Last-Minute-Geschenke-Spam mit vermeintlichen Schnäppchen-Angeboten verschicken. Bei beliebten Valentinstagsgeschenken, die via E-Mail zu besonders günstigen Preisen angeboten werden, ist die Wahrscheinlichkeit hoch, gefälschte oder gar keine Ware zu bekommen, obwohl der Kaufpreis bezahlt wurde.

Sicherheitsforscher entdecken jedes Jahr wieder vor dem Valentinstag große Mengen an gefährlicher Software, die durch den falschen Klick auf eine fingierte Webseite mit Sonderangeboten oder einen dubiosen E-Mail-Anhang aktiviert werden können. Die Online-Speisekarte mit dem Valentinstagsmenü oder das Reiseangebot für den romantischen Urlaub öffnen dann nicht die Tür zum Herzen des oder der Geliebten, sondern installieren auf dem PC eine Backdoor für Angreifer.

Online-Dating – Liebe mit Sicherheit?

Gerade der Valentinstag dürfte manch Unentschlossene/n dazu motivieren, es einem Drittel der erwachsenen Bevölkerung in Deutschland gleich zu tun und die Partnersuche auch ins Internet zu verlagern. Laut einer Umfrage des IT-Verbandes Bitkom haben 2018 drei von zehn Internetnutzern (29 Prozent; 2017: 26 Prozent) das dauerhafte Liebesglück oder auch den schnellen Flirt online gesucht. Wer ernsthaft auf der Suche ist, hat ein ernstes Problem: Er/sie will sich authentisch und attraktiv präsentieren – und legt damit seine/ihre Privatsphäre auch potentiellen Cyberkriminellen offen. Drei Viertel der Nutzer von Online-Dating-Plattformen fügen ihrem Account persönliche Informationen wie Alter (64 Prozent), Beruf (49 Prozent), den vollständigen Namen (22 Prozent), ihre E-Mail-Adresse (10 Prozent) oder die berufliche Adresse (7 Prozent) hinzu. Diese Informationen – und dies gilt gleichermaßen für das Geburtsdatum oder die Telefonnummer – können Kriminelle zum Identitätsdiebstahl nutzen.

Aber auch, wer wachsam genug ist, sich nicht mit Ghost-Datern einzulassen (weil er/sie das Kommunikationsmedium wechselt), wer auf Liebes-Scams nicht eingeht (weil er/sie die Bitte um Geld als Finte erkennt), wer Fragen, die klassischerweise für Passwörter und Sicherheitsabfragen verwendet werden, nicht beantwortet und wer sich vor Lösegeldforderungen schützt (indem er/sie keine intimen Bilder teilt), datet noch lange nicht sicher. Je nach den Datenschutzbestimmungen der Dating-Apps sowie gemäß den Berechtigungen, die die Liebessuchenden ihren Apps zuweisen, können diese auf GPS-Tracking-Services der Geräte zugreifen oder werden Werbenetzwerke unterstützt. Häufig besteht Zugriff auf Social-Media-Anwendungen sowie auf SMS- bzw. Benachrichtigungsfeatures und nicht selten können der Kalender sowie das Adressbuch eingesehen werden.

Liebe 2.0 – Safety first

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt folgende Hinweise zur digitalen Sicherheit beim Online-Dating:

  • IT-Sicherheit der Online-Dienste prüfen: Nutzt die Plattform verschlüsselte Datenübertragung? Stimme ich den Nutzungsbedingungen zu?
  • Auf Sicherheitsupdates achten: Sind mein Browser, mein Betriebssystem und die Dating-Apps auf dem aktuellsten Stand?
  • Sicheres Passwort verwenden: Hat mein Passwort mindestens acht Zeichen? Habe ich Groß-, Kleinbuchstaben, Sonderzeichen und Ziffern kombiniert?
  • Digitale Identität schützen: Trenne ich meine Online-Profile? Verwende ich einen separaten E-Mail-Account?

Wir ergänzen speziell zum heutigen Valentinstag:

  • Nutzen Sie auch auf Online-Dating-Plattformen sichere Passwörter, die nicht in Wörterbüchern vorkommen, nicht durch Wissen über Ihre Person zu erraten sind und die der Maxime folgen: Länge schlägt Komplexität.
  • Kaufen Sie Ihre Liebespräsente nur in seriösen Online-Shops, informieren Sie sich über die allgemeinen Geschäftsbedingungen sowie Versand- und eventuelle Zusatzkosten.
  • Achten Sie auch bei der Bezahlung von Last-Minute-Geschenken aus Webshops auf ein möglichst sicheres Zwei-Wege-Authentifizierungsverfahren.
  • Lassen Sie Vorsicht walten bei Nachrichten von unbekannten Social Media-Kontakten und agieren Sie nach dem Motto: Lieber einen Valentinstagsgruß ignoriert als Schadcode importiert.
  • Geben Sie keine vertraulichen Informationen über Ihre Kreditkarte o.ä. preis – auch wenn Sie tatsächlich online einen Strauß Rosen bestellt haben und ein vermeintlicher Florist Sie dazu auffordert.
  • Und last but not least: Bedenken Sie die Vorzüge der analogen Liebe. Informationen, die nicht im Netz sind, können nicht geklaut werden. Lassen Sie sich lieber Ihr Herz stehlen!

In diesem Sinne wünscht die SySS GmbH Ihnen einen sicheren Valentinstag!


Termine

04.06.2019 - 06.06.2019
Hack3: Angriffe auf Windows-basierte Netzwerke
02.07.2019 - 04.07.2019
Secu2: Incident Response
09.07.2019 - 10.07.2019
Hack5: Exploit Development
11.07.2019
Secu5: Planung und Durchführung von Penetrationstests