Ich kann es nicht mehr hören! Phishing hier, Phishing da und Phishing dort. Jüngstes Beispiel: die RSA Security Konferenz in Barcelona. Keine Keynote, ohne dass der Sprecher ausführlich erklärt hätte, was es mit dem Phishing auf sich hat (was das versammelte Fachpublikum aus der Security-Branche natürlich völlig unvorbereitet getroffen hat) und warum das so eine große Gefahr sei.
Phishing ist im Moment in aller Munde. Anders als andere Sicherheitsprobleme lässt es sich selbst Tante Trudchen verständlich machen: "SQL Injektionen? Ach hör mir auf...". Jeder kann was dazu erzählen: "Gestern hab ich wieder so eine komische eBay-Mail bekommen." Man kann sich und anderen seine Intelligenz im Umgang mit dem Medium beweisen: "... hab ich natürlich gleich gelöscht." und sich über die Dummheit der anderen amüsieren: "Wer auf so was reinfällt, hat es nicht anders verdient."
Bei so viel Begeisterung gehen schon mal die Relationen verloren. In Deutschland sind gerade mal rund ein Dutzend Fälle bekannt, in denen tatsächlich aktiv versucht wurde, mit gephishten Daten Geld zu klauen. Die Fälle, in denen es nicht gelang, die Überweisung rückgängig zu machen, lassen sich an einer Hand abzählen. Dem stehen 64.507 registrierte Betrugsfälle mit EC- und Kreditkarten aus der polizeilichen Kriminalitätstatistik für 2003 gegenüber und ein Schaden von über 600.000 Euro allein in Meck-Pomm. Um das Banker-Vokabular zu benutzen: Bisher geht es bei den Phish-Zügen nur um Peanuts.
Dafür eignet sich Phishing vorzüglich, um von den Problemen von Online-Angeboten abzulenken, auf denen viel zu oft tausende Kreditkartennummern unzureichend gesichert herumliegen. Schließlich ist Phishing endlich ein Sicherheitsproblem, für das im Wesentlichen die "dummen User" verantwortlich sind. Wozu soll man viel Zeit, Energie und vor allem Geld investieren, um komplexe Web-Applikationen abzusichern, wo doch jeder weiß, dass sich die dummen User die Daten ohnehin schon durch ein paar holperige Mails abluchsen lassen?
Ein Beispiel gefällig? In seiner Eröffnungsrede zu "Europas rennomiertestem Information Security Event" ließ sich Howard Schmidt, seines Zeichens Chief Security Officer von eBay, lang und breit darüber aus, wie schlimm das mit dem Identitätsklau doch sei. Mit keinem Wort erwähnte er jedoch, dass bei eBay im Prinzip jeder mit ein bißchen JavaScript eine Auktion aufsetzen kann, mit der er die Passwörter aller Bieter ausspioniert. Und dass seine Firma das zwar seit geraumer Zeit weiß, es aber nicht unterbindet.
Statt dessen ändert man die AGBs und verbietet "böses JavaScript". Die technisch saubere Lösung, JavaScript in Auktionsseiten zu unterbinden, kommt für das Online-Auktionshaus jedoch nicht in Frage. Schließlich lieben die Power-Seller das Scripting -- und die generieren richtig Umsatz. Kein Wunder, dass sich Security-Chef Howard Schmidt in Interviews jegliche Fragen zu eBay verbat und statt vor seiner eigenen Tür zu kehren, lieber über die Notwendigkeit referierte, Endanwender zu mehr Sicherheitsbewusstsein zu erziehen. Dumm nur, dass die kaum eine Möglichkeit haben, sich gegen den möglichen Passwortklau auf eBay zu schützen (JavaScript abzuschalten ist nur selten eine praktikable Lösung).
Um keine Missverständnisse aufkommen zu lassen: Phishing ist ein aktuelles Problem, das man nicht auf die leichte Schulter nehmen darf. Es aber zu instrumentalisieren, um von anderen drängenden Problemen abzulenken, ist der falsche Weg.
Cheers
@JAcki:ysmn: