Julie J. C. H. Ryan / Cade Kamachi E-Mail Hacking · sendet. Hacker haben E-Mails längst als Angriffsziel ausgemacht und nutzen die Unwissenheit und Be-quemlichkeit der Nutzer aus

Julie J. C. H. Ryan / Cade Kamachi

E-MailSchützen Sie Ihr E-Mail-Postfach vor Trojanern, Viren und gefährlichen Anhängen.

Hacking

Sicherheit für alle E-Mail-

NutzerOhne technische Vorkenntnisse

„Ich schick's dir gleich per E-Mail“ – und schon ist dieE-Mail im Postfach des Empfängers. 196,3 MilliardenE-Mails wurden im Jahr 2014 täglich in der Welt ver-sendet. Hacker haben E-Mails längst als Angriffszielausgemacht und nutzen die Unwissenheit und Be-quemlichkeit der Nutzer aus. Die dadurch entstehen-den Schäden sind riesig. Mit etwas Hintergrund-wissen können Sie beruhigter Ihre E-Mails öffnen,Ihre Daten schützen und ruhiger schlafen.

Wenige Regeln für mehr Sicherheit beim MailenEs passiert immer wieder, und jeden kann es treffen: Einevermeintlich harmlose E-Mail entpuppt sich als Schädling.Auch wenn der Inhalt der E-Mail nur einen Klick entfernt ist:Sie sollten die E-Mail vorher prüfen. Was sind schädliche E-Mails, und welche Arten gibt es? Anhand von Beispielen lernen Sie solche E-Mails kennen, und Sie erfahren, wie Siediese E-Mails erkennen. Mit etwas technischem Hinter-grundwissen können Sie eine E-Mail schnell kontrollierenund besser einschätzen, ob Sie dem Absender vertrauenkönnen oder eben nicht.

Julie J. C. H. Ryan Cade Kamachi

30,– EUR [D] / 30,90 EUR [A]ISBN 978-3-645-60392-8

E-MailHacking

Ryan /

Kam

achi

E-Mail H

acking

Aus dem Inhalt:• Definition und Kategorien von schädlichen E-Mails

• Beispiele für schädliche E-Mails

• E-Mail-Exploits

• Lernen Sie Ihren Feind kennen

• E-Mail-Grundlagen und -Protokolle

• Passwortstruktur

• Zweite E-Mail-Adresse

• Zugriff auf verborgene Informationen

• Schädliche E-Mail-Nachrichten erkennen

• Gestaffeltes Schutzsystem

Besuchen Sie unsere Website www.franzis.de

Besonderheiten auf mobilen Endgeräten werden auch behandelt.

„Vorsicht bei vermeintlichenE-Mails von der DeutschenBank: Derzeit wollen Betrü-ger unter falschem Namendie Bankdaten von Kundenergattern. Die Anfragensollte man am besten direkt löschen.“ (SPIEGEL ONLINE, 22.06.2015)

„Beim Cyberangriff auf denDeutschen Bundestag sindauch E-Mail-Daten kopiertworden. Das bestätigt einParlamentssprecher nun.“(SPIEGEL ONLINE, 19.06.2015)



� Schädliche E-Mails anhand von realen Beispielen erklärt� Aufbau und Funktionsweise von E-Mails verständlich dargestellt� Besonderheiten mobiler Endgeräte verstehen

60392-8 U1+U4 2 07.07.15 13:55 Seite 1


E-Mail Hacking

60392-8 Titelei_X 07.07.15 13:56 Seite 1


Schützen Sie Ihr E-Mail-Postfach vor Trojanern, Viren und gefährlichen Anhängen.

E-MailHacking

60392-8 Titelei_X 07.07.15 13:56 Seite 3

Bibliografische Information der Deutschen Bibliothek

Die Deutsche Bibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie;detaillierte Daten sind im Internet über http://dnb.ddb.de abrufbar.

Alle Angaben in diesem Buch wurden vom Autor mit größter Sorgfalt erarbeitet bzw. zusammengestellt und unterEinschaltung wirksamer Kontrollmaßnahmen reproduziert. Trotzdem sind Fehler nicht ganz auszuschließen. DerVerlag und der Autor sehen sich deshalb gezwungen, darauf hinzuweisen, dass sie weder eine Garantie noch diejuristische Verantwortung oder irgendeine Haftung für Folgen, die auf fehlerhafte Angaben zurückgehen, über-nehmen können. Für die Mitteilung etwaiger Fehler sind Verlag und Autor jederzeit dankbar. Internetadressenoder Versionsnummern stellen den bei Redaktionsschluss verfügbaren Informationsstand dar. Verlag und Autorübernehmen keinerlei Verantwortung oder Haftung für Veränderungen, die sich aus nicht von ihnen zu vertreten-den Umständen ergeben. Evtl. beigefügte oder zum Download angebotene Dateien und Informationen dienen aus-schließlich der nicht gewerblichen Nutzung. Eine gewerbliche Nutzung ist nur mit Zustimmung des Lizenzinha-bers möglich.

This edition of Detecting and Combating Malicious Email by Julie Ryan, Cade Kamachi is published by arrangementwith ELSEVIER INC., a Delaware corporation having its principal place of business at 360 Park Avenue South, New York,NY 10010, USA

ISBN der englischen Originalausgabe: 978-0128001103

Texte von der Redaktion: Der E-Mail-Exploit (S. 59 - S. 66), Senden und Empfangen von E-Mails (S. 85 - S. 109), erweitertes Glossar (S. 144 - S. 155)

© 2015 Franzis Verlag GmbH, 85540 Haar bei München

Alle Rechte vorbehalten, auch die der fotomechanischen Wiedergabe und der Speicherung in elektronischen Medien.Das Erstellen und Verbreiten von Kopien auf Papier, auf Datenträgern oder im Internet, insbesondere als PDF, istnur mit ausdrücklicher Genehmigung des Verlags gestattet und wird widrigenfalls strafrechtlich verfolgt.

Die meisten Produktbezeichnungen von Hard- und Software sowie Firmennamen und Firmenlogos, die in diesemWerk genannt werden, sind in der Regel gleichzeitig auch eingetragene Warenzeichen und sollten als solche betrachtet werden. Der Verlag folgt bei den Produktbezeichnungen im Wesentlichen den Schreibweisen der Hersteller.

Programmleitung: Dr. Markus StäubleRedaktion: Thomas Riegler, Dr. Markus StäubleSatz und Übersetzung: G&U Language & Publishing Services GmbHart & design: www.ideehoch2.deDruck: C.H. Beck, NördlingenPrinted in Germany

ISBN 978-3-645-60392-8

60392-8 Titelei_X 07.07.15 13:56 Seite 4

5

Inhaltsverzeichnis

Vorwort.......................................................................................7

DieAutoren.................................................................................9

DerFachgutachter.......................................................................9

1. Einleitung.................................................................................. 11

1.1 EinbisschenGeschichte................................................. 13

1.2 SchädlicheelektronischeNachrichten–wasistdas?..... 16

2. ArtenvonschädlichenNachrichten...........................................22

2.1 ArtenvonschädlichenNachrichten................................ 26

2.1.1 AnsprechenderGefühle................................................. 26

2.1.2 Trickserei........................................................................ 27

2.1.3 GetarnteLinks................................................................ 27

2.1.4 GetarnteAnhänge.......................................................... 28

2.1.5 EinezusätzlicheSchwierigkeit........................................ 29

2.2 BeispielefürschädlicheNachrichten.............................. 30

2.2.1 AnsprechenderGefühle................................................. 30

2.2.2 DieEinladung................................................................. 37

2.2.3 DasGeldangebot............................................................ 41

2.2.4 DieWarnung................................................................... 45

2.2.5 DieInsidermeldung........................................................ 50

2.2.6 DiemaskierteE-Mail....................................................... 52

2.2.7 DiegroßeLüge............................................................... 52

2.2.8 DiekleineLüge............................................................... 56

6 Inhaltsverzeichnis

2.3 DerE-Mail-Exploit........................................................... 59

2.3.1 KategorienvonE-Mail-Exploits....................................... 59

2.3.2 SchutzvorExploits......................................................... 64

3. DenFeindkennen.....................................................................67

4. DieinternenMechanismen:DasVerborgenesichtbar machen.....................................................................................73

4.1 E-Mail-Grundlagen.......................................................... 74

4.2 DerKopf(Header)........................................................... 74

4.3 DerNachrichtenrumpf.................................................... 79

4.4 Anhänge......................................................................... 82

4.5 SendenundEmpfangenvonE-Mails.............................. 85

4.5.1 E-Mail-Protokolle............................................................ 86

4.5.2 E-Mailssynchronisieren.................................................. 96

4.5.3 AlternativezumVerschickenvonDaten.......................... 97

4.5.4 Passwortstruktur............................................................ 99

4.5.5 ZweiteE-Mail-Adresse.................................................. 103

4.6 ZugriffaufverborgeneInformationen........................... 109

5. SchrittezumErkennenschädlicherNachrichten..................... 112

5.1 UnterstützungdurchdieTechnik.................................. 123

5.2 EskommtaufdieKonfigurationan............................... 126

6. EingestaffeltesSchutzsystemgegenschädliche Nachrichten............................................................................. 130

6.1 WarumeinegestaffelteVorgehensweise?.....................131

7. Schlusswort............................................................................ 142

8. Glossar.................................................................................... 144

7

Vorwort

Dieses Buch ist für ganz normale Benutzer gedacht, die keine tief greifenden technischen Kenntnisse über Computer und Netzwerke haben. Es ist in ei-ner einfachen Sprache geschrieben und soll Ihnen das erforderliche Wissen vermitteln, um sich gegen Angreifer zu schützen, ohne Sie mit technischen Einzelheiten zu verwirren. Sie können es von vorn bis hinten durchlesen, aber auch gezielt die Kapitel aufschlagen, an denen Sie besonders interes-siert sind. Wenn Sie sich um die technischen Einzelheiten nicht kümmern wollen, können Sie Kapitel 4 getrost überschlagen. Leser, die keine Manage-mentverantwortung tragen, können Kapitel 6 auslassen.

In Kapitel 1 beschäftigen wir uns damit, was schädliche Nachrichten über-haupt sind, um das Feld für die ausführlichere Erörterung in den anschlie-ßenden Kapiteln abzustecken. Systeme zur Nachrichtenübermittlung für schädliche Zwecke einzusetzen, ist keine neue Erfindung: Beispiele für den Missbrauch der Post lassen sich bis 1838 zurückverfolgen. Da die Absender es darauf anlegen, die Empfänger von der Echtheit ihrer Nachrichten zu überzeugen, stellt es eine echte Herausforderung dar, schädliche Nachrich-ten als solche zu erkennen und ihnen nicht zum Opfer zu fallen.

Kapitel 2 erklärt ausführlich die verschiedenen Arten von schädlichen Nachrichten anhand von realen Beispielen. Hier lernen Sie die Elemente der Nachrichten kennen, die Hinweise auf die schädliche Natur geben. Das ist sehr nützlich, um einen Angriff zu erkennen und nicht auf ihn herein-zufallen.

In Kapitel 3 konzentrieren wir uns auf die Absichten der Absender. Zu wissen, welche psychologischen Tricks in schädlichen Nachrichten angewandt werden, kann ebenso zum Schutz beitragen wie technische Werkzeuge und Sicherheitsanalysen. Hier werden die beiden Hauptziele von Angreifern und ihre Vorgehensweisen zum Erreichen dieser Ziele beschrieben.

8 Vorwort

Kapitel 4 geht auf die technischen Aspekte ein. Hier lernen Sie den Aufbau von E-Mails kennen und erfahren, wie Sie diese Struktur nutzen, um zu bestimmen, ob eine empfangene E-Mail schädlich oder harmlos ist. Die Elemente im Kopf und Rumpf der Nachricht und die Anhänge werden besprochen.

In Kapitel 5 geht es um den Erkennungsprozess. Die beschriebene Vorge-hensweise lässt sich auf alle Problemstellungen anwenden, bei denen irgend-etwas aufgespürt werden muss, wird hier aber im Zusammenhang mit dem Erkennen von schädlichen Nachrichten dargestellt. Außerdem erfahren Sie, wie Ihre Erfahrungen dazu beitragen, Ihre Fähigkeiten zum Erkennen von schädlichen Nachrichten zu verbessern.

Kapitel 6 richtet sich an Leser, die die Verantwortung für das Problem schäd-licher Nachrichten nicht nur für sich allein tragen. Hier wird ein Grund-gerüst für eine Schutzstruktur vorgestellt, die Unternehmen eine Abwehr mit Breiten- und Tiefenwirkung erlaubt. In diesem Grundgerüst werden sowohl die technischen Aspekte der Verteidigung als auch die betroffenen Menschen berücksichtigt.

Kapitel 7 bietet einige abschließende Gedanken und Empfehlungen. Zu wissen, was Sie tun müssen, wenn Sie das Opfer einer schädlichen Nach-richt geworden sind, ist ebenso wichtig wie die Kenntnisse zur Vorbeugung gegen diese Gefahren. Daher geht es in diesem Kapitel um die Reaktion auf Angriffe und um Maßnahmen zur Wiederherstellung.

Für Dozenten kann dieses Buch als Ausgangspunkt dienen, um das Bewusst-sein für die Gefahren zu schärfen, die in elektronischer Nachrichtenübermitt-lung lauern. Manager können es als Eckpfeiler eines Schulungsprogramms nutzen, mit dem die Sicherheit im Unternehmen verbessert und sichere Ver-haltensmuster im Umgang mit Computern etabliert werden sollen. Eltern können es heranziehen, um mit Ihren Kindern über die Gefahren im Zusam-menhang mit der Online-Kommunikation zu sprechen.

9

DieAutoren

Julie Ryan ist Privatdozentin an der George Washington University in Was-hington, D.C:, wo sie über Informationssicherheit, Systemdynamik und Mensch-Maschine-Interaktion forscht und lehrt. Dr. Ryan hat einen Grad als Bachelor of Science von der US Air Force Academy, einen Mastergrad in interdisziplinärer Technologie von der Eastern Michigan University und einen Doktorgrad in Naturwissenschaft von der George Washington Uni-versity. Sie ist Coautorin von »Defending Your Digital Assets Against Hak-kers, Crackers, Spies and Thieves« (2000) und Herausgeberin von »Leading Issues in Information Warfare and Security«.

Cade Kamachi hält einen akamedischen Grad in Computerinformations-technologie von der Brigham Young University in Idaho sowie einen MBA-Grad der Idaho State University. Während seiner Zeit an der Idaho State University führte er im Rahmen des National Information Assurance Training and Education Center (NIATEC) Forschungen durch und ent-wickelte Schulungen. Cade hat auf den Gebieten Technologie und Infor-mationssicherheit sowohl für die Industrie als auch für staatliche Behör-den gearbeitet, wobei seine Pflichten von technischer Einrichtung bis zum Aufstellen von Richtlinien reichten. Außerdem hat er bei der Entwicklung und Umsetzung von IT-Sicherheitsübungen für akademische, wirtschaft-liche und staatliche Einrichtungen geholfen.

DerFachgutachter

Corey Schou ist ein Fulbright-Stipendiat und aktiver Forscher, der häufig als öffentlicher Redner auftritt und als Autor auf über 300 Bücher, Forschungsarbeiten, Artikel und andere Veröffentlichungen zurückblicken kann. Zu seinen Interessen gehören Informationssicherheit, Risiko-

10 Der Fachgutachter

management, Softwareentwicklung, Entwicklung sicherer Anwendungen, Sicherheit und Datenschutz und gemeinsame Entscheidungsfindung.

In der Presse wurde er als Vater des Wissensschatzes bezeichnet, der heute weltweit zur Einrichtung von Computer- und Informationssicherheit verwendet wird. Unter anderem war er für die Aufstellung und Bearbeitung der Normen für die Computersicherheitsschulung der US-Regierung zuständig.

2003 wurde er als erster Träger für den Ehrentitel des »University Professor« der Idaho State University ausgewählt. Er leitet das Informatics Research Institute und das National Information Assurance Training and Education Center. Sein Programm wurde von der US-Regierung als »Center of Academic Excellence in Information Assurance« ausgezeichnet und gehört zu den führenden Instituten des Programms »CyberCorps/Scholarship for Service«.

Neben seinen akademischen Leistungen hält er eine breite Palette an Zertifikaten, darunter als CCFP (Certified Cyber Forensics Professional), CSSLP (Certified Secure Software Lifecycle Professional), HCISPP (HealthCare Information Security and Privacy Practitioner), CISSP-ISSAP (CISSP Information Systems Security Architecture Professional) und CISSP-ISSMP (CISSP Information Systems Security Management Professional).

Im Laufe seiner Karriere wurde er von vielen Organisationen gewürdigt, unter anderem von der Federal Information Systems Security Educators Association, die ihn 1996 zum »Lehrer des Jahres« kürte. Seine Forschungs-arbeiten und seine Schulungseinrichtung wurden von der Information System Security Association als herausragende Beiträge zum Berufsstand genannt. 1997 erhielt er den TechLearn-Preis für Beiträge zur Fernschulung.

Für sein Lebenswerk wurde er zum Ehren-CISSP (Certified Information Systems Security Professional) vorgeschlagen und gewählt. Im Jahr 2001 wählte ihn das Information Systems Security Certification Consortium [(ISC)2] für seine Beiträge zur Informationssicherheitsbranche zum zweiten Empfänger des Tipton-Preises. 2007 wurde er zum Mitglied des (ISC)2 ernannt.

5SchrittezumErkennenschädlicherNachrichten

Die beiden wichtigsten Gebote zum Erkennen und Bekämpfen schädlicher E-Mails lauten: Nutzen Sie so viel unterstützende Technologie wie möglich und schalten Sie Ihr Gehirn ein. Wissenschaftler und Forscher wenden alle verfügbaren Tricks an, um schädliche E-Mails zu bekämpfen, und konnten dabei bereits erhebliche Fortschritte erzielen. Aber die Täter reagieren auf diese Maßnahmen und ändern ihre Vorgehensweisen, um der Erkennung zu entgehen. Ihr Gehirn ist daher ein entscheidender Bestandteil Ihrer Verteidigungseinrichtungen.

Wie in Kapitel 1 festgestellt, lauten die Grundregeln wie folgt:

1. Halten Sie keine Nachricht, die Sie empfangen, von vornherein für seriös! Behandeln Sie sie mit Argwohn.

2. Schalten Sie Ihren Verstand ein: Prüfen Sie die Nachricht auf ungereim-ten Inhalt, Rechtschreibfehler und andere Anomalien.

113

3. Klicken Sie nicht auf eingebettete Links.

4. Öffnen Sie keine Anhänge.

5. Schenken Sie Märchen, Versprechungen von schnellem Reichtum und Verschwörungstheorien keinen Glauben.

6. Halten Sie Ihre Antivirussoftware auf dem neuesten Stand.

Die meisten dieser Punkte haben wir bereits besprochen, aber es sind noch einige weitere Erörterungen dazu angebracht. Ein wichtiger Punkt ist, dass Sie sich zum Schutz vor Problemen nicht auf die Erkennung verlassen dürfen, denn zu dem Zeitpunkt, an dem Sie das Problem erkennen, ist es bereits geschehen oder beginnt gerade zu geschehen. Besser wäre es, das Problem erst gar nicht auftreten zu lassen. Das wäre der Idealfall, aber die Welt ist nun einmal nicht ideal. Probleme treten auf, weshalb es durchaus wichtig ist, sich mit dem Vorgang der Erkennung vertraut zu machen, um auf Probleme aufmerksam zu werden und sie zeitnah einzudämmen. Dies bietet außerdem den zusätzlichen Nutzen, dass Sie ein Gefühl und ausführ-liche Kenntnisse darüber entwickeln, wie die Probleme zustande kommen, was Ihnen dann tatsächlich dabei hilft, das Auftreten vieler Probleme von vornherein zu verhindern und diejenigen abzumildern, die durch die Ma-schen schlüpfen. In diesem Kapitel besprechen wir zunächst den Zeitver-lauf der Erkennung, wobei wir auch alles abdecken, was zum Erkennen und Eindämmen von Problemen gehört. Anschließend besprechen wir, was im Voraus getan werden kann, um Probleme abzuschwächen, bevor sie sich zu richtigen Problemen auswachsen.

Ein guter Schutz gegen das psychologische Element beginnt einem gewissen Situationsbewusstsein. Das bedeutet einfach, dass Sie sich dessen bewusst sein müssen, was um Sie herum vor sich geht. Wenn Sie Auto fahren, sind Sie sich beispielsweise bewusst, welche anderen Autos sich in Ihrer Umgebung befinden und was sie tun (zumindest sollten sie sich dessen bewusst sein). Sie sind sich der Autos bewusst, deren Fahrer mit dem Handy telefonieren, die sich in den Verkehrsstrom ein- und ausfädeln und deren Fahrrichtungs-anzeiger blinken. Jedes dieser Autos stellt eine potenzielle Gefahr da, und ein Bewusstsein für deren Verhaltensmuster ist ein wichtiger Aspekt des defen-siven Fahrens. Auch wenn Sie im Cyberspace »unterwegs« sind, sollten Sie

114 Kapitel 5: Schritte zum Erkennen schädlicher Nachrichten

ein solches Situationsbewusstsein mitbringen. Das heißt nicht, dass Sie ein Sicherheitsexperte sein müssen, sondern dass Sie sich der Gefahren und der Angriffsstrategien bewusst sein sollen. Zu überlegen, was schiefgehen kann, ist ein erster und wichtiger Schritt, um Situationsbewusstsein aufzubauen und zu pflegen.

Die Erkennung ist eine wichtige Grundlage für weitere technische Maßnah-men zur Abschwächung von Gefahren. Dadurch gewinnen wir Kenntnisse, um potenzielle Angriffe zu verhindern und andere zu warnen. Beim Erken-nen geht es nicht nur darum, einen gerade ablaufenden Angriff zu bemer-ken. Der Vorgang lässt sich in drei Phasen einteilen, nämlich Tätigkeiten vor, während und nach dem Angriff. Das ist nützlich, um die drei verschiedenen Gelegenheiten zu unterscheiden, in denen Sie die Bedrohung durch einen Angriff oder ein Problem identifizieren, analysieren und verstehen können.

Eine schädliche Nachricht als solche zu entlarven bedeutet, dass wir die Wahrscheinlichkeit dafür erkennen, dass etwas mit dieser Nachricht nicht stimmt, und angemessene Schritte durchführen, um das Problem zu verifi-zieren, zu charakterisieren und zu neutralisieren. Dieser Prozess gilt für alle Formen der Problemerkennung, aber wir wollen uns hier auf die Probleme durch schädliche Nachrichten konzentrieren. Sehen wir uns diesen Prozess nun im Einzelnen an.

Den Erkennungsvorgang betrachten wir entlang einer Zeitachse. Einige Ereignisse gehen anderen Ereignissen im absoluten Zeitablauf voraus. Die Schritte, die Sie zum Erkennen eines Problems und zur Reaktion darauf unternehmen, folgen aber nur teilweise diesem Zeitablauf. Das Ziel des Erkennungsprozesses besteht darin, den zeitlichen Abstand zwischen den Schritten auf ein Minimum zu verkürzen, sodass die Gesamtzeit vom Auf-treten des Problems bis zur Lösung so kurz wie möglich ist. Das kann hel-fen, den Gesamtschaden zu verringern, und trägt auf jeden Fall dazu bei, den Normalzustand schneller wiederherzustellen.

In der Phase »vor dem Angriff« kann es einige wenige Indizien dafür geben, dass ein Problem auftreten wird. Wenn Sie über umfassende Werkzeuge zur Netzwerkbeobachtung verfügen, was bei großen Organisationen gewöhn-

115

lich der Fall ist, können Analyseberichte zeigen, dass Sie auf irgendeine Weise ausgekundschaftet worden sind. Solche Berichte lassen sich manch-mal nur schwer interpretieren und sind auch nicht immer ganz genau. Es ist wichtig zu beachten, dass es in dieser Phase weniger darum geht, aktive Angreifer aufzuspüren, sondern vielmehr die Wahrscheinlichkeit dafür zu erkennen, dass Probleme im Entstehen begriffen sind, und im Zusammen-hang mit den bekannten Schwachstellen Ihrer Umgebung zu betrachten.

Der Einsatz von Technologie ist in der Phase »während des Angriffs« am nützlichsten. Hier kann sie viel wirkungsvoller angewendet werden, um verdächtige oder problematische Aktivitäten zu entdecken und auszufil-tern, z. B. Computerviren. Es ist schon viel Arbeit investiert worden, um es zu ermöglichen, schädliche Nachrichten in dieser Phase wirkungsvoller und effizienter zu entdecken und zu melden. Das kann z. B. die automati-sche Analyse des Inhalts von Nachrichten einschließlich Links und Anhän-gen umfassen.

Die letzte Erkennungsphase, »nach dem Angriff«, ist vor allem der Analyse gewidmet. Das bedeutet nichts anderes, als zu untersuchen, was geschehen ist, und Beweise zu sichern. Beispielsweise kann eine computerforensische Untersuchung aufdecken, wie ein Netzwerkangriff abgelaufen ist, warum er passieren konnte und was getan werden kann, um ähnliche Angriffe in Zu-kunft zu verhindern. Die Einsichtnahme der System- und Datenverkehrspro-tokolle, sofern vorhanden, kann auch Anzeichen eines zuvor unbemerkten Angriffs zutage fördern. Aus dieser Art von nachträglicher Untersuchung können Sie viele Einzelheiten über Bedrohungen und Schwachstellen lernen, was Ihnen wiederum hilft, zukünftigen Angriffen einen Riegel vorzuschieben. Natürlich hängt dies alles von den verfügbaren Fähigkeiten und Ressourcen an: Große Unternehmen können es sich leisten, umfangreiche Untersuchun-gen anzustellen, während Einzelpersonen nur das tun können, was in ihrer Macht steht. Sie müssen das Problem in dem Maßstab handhaben, der Ihnen zur Verfügung steht.

Wir sprechen zwar von den Phasen »vor«, »während« und »nach« dem Angriff, aber dabei ist es wichtig, sich darüber im Klaren zu sein, dass die Erkennung eines Angriffs oder Problems diesen Phasen nicht chronolo-


gisch folgt. Stattdessen beginnt die Erkennung gewöhnlich während des Angriffs und teilt sich dann in zwei Analysephasen auf, die die Phasen vor und nach dem Angriff abdecken. Die gemachten Erfahrungen sollten dann in unsere Gesamtstrategie zur Verteidigung einfließen, sodass wir zukünftige Angriffe und Probleme früher und schneller erkennen können.

Die ersten Indizien dafür, dass etwas passiert ist oder irgendetwas nicht stimmt, lassen sich gewöhnlich am besten als Symptome oder Anhalts-punkte beschreiben. Der erste Schritt ist die Entdeckung, dass irgendetwas nicht stimmt. In der folgenden Abbildung können Sie erkennen, dass das Indiz erst nach dem eigentlichen Problemereignis sichtbar wird. Das ist ins-besondere dann heikel, wenn es nur wenige solcher Indizien gibt oder wenn sie in die falsche Richtung weisen.

to t i

Indizerkannt

He! Irgendetwas stimmt nicht!

Ereignis

Zeit

Die Feststellung, dass »irgendetwas nicht stimmt«, kann einfach nur heißen, dass Sie in einer E-Mail eine merkwürdige Betreffzeile entdeckt haben, aber auch, dass Ihre Facebook-Freunde sich bei Ihnen darüber beschweren, dass Sie sonderbare Links in deren Chronik gestellt haben. Die Reaktion auf das Indiz ist ein erster Schritt, um die möglicherweise schädliche Aktivität zu

117

bekämpfen. Wenn Ihnen eine obskure Betreffzeile auffällt und Sie die E-Mail daher mit Vorsicht behandeln, verhindern Sie damit möglicherweise, dass ein schwerwiegenderes Problem auftritt. Das ist natürlich das Beste, was passieren kann, nämlich dass Sie die schädliche Aktivität im Keim er-sticken, bevor sie zu einem echten Problem wird. Das können Sie deutlich bei dem zweiten Beispiel erkennen, denn dort zeigt Ihnen das Indiz, nämlich die Beschwerden von Ihren Freunden, dass das Problem – welcher Natur es auch immer sein mag – schon Ihrer unmittelbaren Kontrolle entschlüpft ist. Für die weitere Besprechung des Erkennungsablaufs greifen wir zur Veran-schaulichung auf dieses Beispiel zurück.

Das führt uns zum zweiten Schritt im Erkennungsprozess, nämlich der Charakterisierung des Ereignisses. Dabei versuchen Sie anhand der An-haltspunkte herauszufinden, was geschehen ist, wann es geschehen ist und ob es weiterhin geschieht.

to tct i

Ereignis

Indizerkannt

Ereignis charakterisiert

Was ist geschehen? Wann ist es geschehen? Geschieht es immer noch?

Zeit

Zu Anfang dieses Prozesses haben Sie verschiedene Fakten zur Verfügung, die direkten Beobachtungsergebnisse. In unserem Beispiel können Sie von zwei Tatsachen ausgehen: Erstens, Ihr Facebook-Profil wurde benutzt, um Links zu posten. Zweitens, Sie selbst haben diese Links nicht eingestellt.


Daraus folgt, dass es jemand anderes getan haben muss. Das sind nur sehr wenige Fakten, aber sie geben Ihnen einen Ausgangspunkt, um herauszu-finden, was wirklich passiert ist. Außerdem können Sie dadurch Daten zu zwei wichtigen anderen Fragen sammeln, nämlich wann das Problem ge-nau angefangen hat und ob es aufgehört hat oder immer noch geschieht. Die Beantwortung beider Fragen ist wichtig, um zu entscheiden, wie Sie im nächsten Schritt vorgehen müssen.

to trt i t c

Ereignis

Indizerkannt


Jetzt weiß ich, was passiert

ist!

Zeit

Was mache ich jetzt?

Jetzt haben Sie Informationen darüber, was geschehen ist, wann es wahr-scheinlich angefangen hat und ob es aufgehört hat oder noch im Gange ist, und müssen als Nächstes entscheiden, wie Sie darauf reagieren sollen. Diese Reaktion muss natürlich der Natur und dem Umfang des Problems ange-messen sein. Bei einem umfangreichen Problem sind sicherlich weit mehr Reaktionen erforderlich als bei einem kleinen.

119

trt it 0 t c

Ereignis

KrisenmanagementSchadensbegrenzungTriage, WiederherstellungUntersuchungForensische Datenerhebung, administrative Prozesse, GefährdungsanalyseZivil oder strafrechtliche SchritteEntlassung von MitarbeiternAnzeige erstattenAufrechterhaltung des BetriebsAufrechterhaltung eines NotfallbetriebsGeschäftliche WiederherstellungRückkehr zur vollen Kapazität

Reaktionen

Indizerkannt


Schnell! Tu etwas! Repariere es!

Zeit

Zu den Reaktionen, die Sie in Betracht ziehen müssen, können Dinge wie Krisenmanagement, Schadensbegrenzung und Untersuchungen gehören, möglicherweise sogar forensische Datenerfassung, Anzeigen bei der Polizei, Klagen wegen grober Fahrlässigkeit sowie Vorkehrungen, um einen Not-fallbetrieb aufrechtzuerhalten. Bei Einzelpersonen fallen die Reaktionen offensichtlich viel einfacher aus als bei großen Organisationen und kön-nen sich auf eine oberflächliche Untersuchung mit unsicheren Ergebnissen, eine Entschuldigung oder Erklärung gegenüber den betroffenen Kontakten und eine Änderung des Passworts beschränken. Bei Gruppen von Perso-nen müssen die Reaktionen viel stärker koordiniert sein, um beispielsweise Informationen darüber, wann und wo die Probleme aufgetaucht sind, zu sammeln und zu vergleichen. In großen Unternehmen sind häufig intensi-ve Untersuchungen erforderlich, sowohl um den Umfang des Problems zu erkennen, als auch um Möglichkeiten zu finden, es einzudämmen.


tatitr

t 0 tc

Ereignis

Reaktionen

Indizerkannt

Ereignis charakteri

siert Schaden bewertet

Hat es aufgehört? Wie schlimm ist

es?

Wenn Sie herausgefunden haben, welcher Schaden angerichtet wurde und ob er sich weiter ausbreitet oder nicht – was ziemlich knifflig sein kann, wenn jemand Ihre Identität oder Anmeldeinformationen für finan-zielle Dienstleistungen gestohlen hat –, stellt sich die Frage, ob Sie irgend-jemanden darüber benachrichtigen sollten. Bei Einzelpersonen lautet die Antwort gewöhnlich Nein. Das kann jedoch zu einem Ja werden, wenn sich der Schaden lawinenartig weiterverbreiten könnte, z. B. wenn Ihr E-Mail-Konto geknackt und von dort schädliche Nachrichten unter Ih-rem Namen geendet wurden. Die Antwort lautet ebenfalls Ja, wenn Ihr Computer betroffen ist und Sie Hilfe zur Reparatur benötigen. Größere Organisationen oder Unternehmen in regulierten Branchen können zur Berichterstattung verpflichtet sein. In einem solchen Fall sind die Richtli-nien der Organisation eine Entscheidungshilfe. Das gilt auch dann, wenn das Problem auf einem Computer zu Hause aufgetreten ist, über den ein Zugriff auf das Firmennetzwerk möglich ist, da sich der Schaden darüber weiterverbreiten kann.

121

tztitr

t 0 tc ta

Ereignis

Reaktionen

Indizerkannt


Schaden bewertet

Ereignisbericht

Soll ich irgendjemand informieren?

Zeit

Wenn Sie sich um alles gekümmert haben, dann bleibt Ihnen die Gele-genheit, sich die wichtigste Frage von allen zu stellen: Was um alles in der Welt ist geschehen, und wieso ist es mir passiert? Wie die folgende Abbildung zeigt, müssen die Täter vor der eigentlichen Ausführung ihres Angriffs bestimmen, an wen sie ihn richten und wie sie das tun.


titr

t 0 tc ta tz

Ereignis

Reaktionen

Indizerkannt


Schaden bewertet

Ereignisbericht

Zeit

Vorbereitungen auf den Angriff

Wie und warum

werde ich als Ziel ausgewählt?

Bei nicht zielgerichteten schädlichen Nachrichten kann die Antwort auf diese Frage einfach lauten: »Weil es mich gibt.« Phishing-Versuche werden oft an alle Personen gesandt, deren Adresse die Angreifer auf Social- Media-Websites finden können. Bei Angriffen, die sich gezielter an bestimmte Personen richten, sind die Vorbereitungen ausführlicher und lassen sich manchmal sogar erkennen. Dazu müssen Sie sich die folgenden wichtigen Fragen stellen: Ist vor dem Angriff irgendetwas Merkwürdiges passiert? Wurde irgendetwas in meine Umgebung einschleust, z. B. ein USB-Stick, den jemand auf dem Fußboden gefunden hat? Habe ich merkwürdige Telefonanrufe bekommen? Habe ich mich für irgendeinen neuen Dienst registriert? Wenn Sie sich diese Fragen stellen, können Sie wichtige Ein-sichten darin gewinnen, wie Sie ähnliche Probleme in Zukunft vermeiden können. Außerdem können Sie damit Freunden, Angehörigen und Kolle-gen Rat geben.

123Unterstützung durch die Technik

5.1 UnterstützungdurchdieTechnik

Die blinkenden Lämpchen und ausgefeilten Werkzeuge, die von Schrift-stellern und von Hollywood besungen werden, sind nicht immer so sen-sationelle Lösungen, wie sie dargestellt werden. Allerdings erleichtern die großen Fortschritte auf dem Gebiet der Sicherheitstools den Einsatz von technischen Hilfsmitteln zu unserem Schutz. Zu den heute verfüg-baren Werkzeugen gehören so exotische Technologien wie dynamische Schnittstellen, selbstlernende Erkennungsalgorithmen, eine ständige Überwachung der Umgebung, durch die Schwachstellen nahezu in Echt-zeit aufgedeckt werden können, und Techniken, die riesige Datenmengen durchforsten, um Trends aufzuspüren, aus denen Analytiker praktische Schlüsse ziehen können. Darüber hinaus gibt es jedoch auch Technologi-en für Endverbraucher, die benutzerfreundlich und fertig verfügbar sind. Die heutigen Werkzeuge sind schneller und zuverlässiger und können aus größeren Datenmengen bessere Indizien ableiten als jemals zuvor in der Geschichte. Vor allem aber sind weitere Fortschritte bei den Schutzwerk-zeugen zu erwarten. Wir können davon ausgehen, dass sie im Lauf der Zeit immer effizienter und präziser werden, sodass wir mit unseren Geg-nern Schritt halten können.

Auch Sie können Technologie zu Ihrem Schutz einsetzen. Um Probleme zu vermeiden, ist es wichtig, sich gut mit den Aspekten der Konfiguration auszukennen. Wenn sie angemessen geplant und konfiguriert sind, bieten die technischen Lösungen den Vorteil peinlicher Genauigkeit in der An-wendung ihrer Methoden, Zuverlässigkeit und Vorhersagbarkeit. Um eines klarzustellen: Es gibt kein Werkzeug, dass allein einen hundertprozentig er-folgreichen Schutz für ein einzelnes System oder ein Netzwerk bieten kann. Selbst beim kombinierten Einsatz mehrerer Werkzeuge stellt sich zwar eine sehr hohe Erfolgquote ein, aber keine absolute Sicherheit. Merken Sie sich daher, dass solche Werkzeuge, so nützlich sie auch sind, letzten Endes nur Werkzeuge sind und keine Lösungen. Ungeachtet dieser Einschränkungen spielt die Technik jedoch eine wichtige und sehr nutzbringende Rolle, um Sie online zu schützen. Sehen wir uns diese Rolle daher etwas genauer an.


»Warum machen sie nichts gegen Spam?«, fragt ein Benutzer. »Was kann ich tun? Bei wem muss ich mich beschweren?«, fragt ein anderer. In unse-rem Fall sind »sie« die unbekannten Helden der Informationstechnologie – die armen Knechte, die Informationssysteme einrichten, verwalten und ihre Funktionsfähigkeit erhalten. All denjenigen, die von einer ruhmrei-chen Karriere auf dem Gebiet der Informationssicherheit schwärmen, sei gesagt, dass der Großteil der Zeit in Wirklichkeit darauf verwendet wird, Benutzersysteme einzurichten, den Opfern der verschiedensten Probleme beizustehen und Unternehmen dabei zu helfen, sich von den Auswirkungen von Angriffen zu erholen. Das ist alles nicht gerade ruhmreich, aber äußerst wichtig. Die meisten Probleme und Angriffe werden vom durchschnittli-chen Benutzer nicht einmal bemerkt, doch sobald es um schädliche E-Mails geht, werden alle aufmerksam. Das liegt daran, dass der Angriff an einer sehr persönlichen Stelle erfolgt, nämlich in Ihrem Posteingang.

Die gute Nachricht ist, dass »sie« tatsächlich etwas gegen das Problem un-ternehmen. Die Menge an schädlichen E-Mails, die bereits von den Pro-vidern abgefangen wird, ist erstaunlich groß im Vergleich zu dem, was bis zu den Endbenutzern durchkommt. Trotzdem reicht das, was durch die Maschen schlüpft, immer noch aus, um die Benutzer auf die Palme zu bringen, vor allem diejenigen, die jahrelang dieselbe E-Mail-Adresse verwenden. Die langfristige Beibehaltung der E-Mail-Adresse hat durch-aus ihre Vorteile: Ihre Kontakte wissen, an welche Adresse sie sich wenden müssen, und neigen weniger schnell dazu, eine falsche einzugeben. Es gibt aber auch einen Nachteil: Je länger, sie eine E-Mail-Adresse beibehalten, umso wahrscheinlicher ist es, dass sie auf eine Adressenliste gelangt, die für Zwecke wie Betrug, Spam und Schlimmeres weiterverkauft wird. Es gibt eine direkte Beziehung zwischen dem Alter einer E-Mail-Adresse und der Menge an eingehenden unerwünschten E-Mails: Die ältesten existie-renden Adressen erhalten bei Weitem die größte Menge an nervtötenden E-Mails, während die jüngeren relativ spamfrei sind. In der heutigen Zeit, in der die E-Mail-Adresse manchmal die einzige Möglichkeit ist, um Kon-takt mit Ihnen aufzunehmen, ist es leider nicht machbar, diese Adresse alle sechs Monate zu ändern.

125Unterstützung durch die Technik

Die unbefriedigende Situation auf dem Gebiet der E-Mail haben wir ei-nem einfachen Marktgesetz zu verdanken: Die Belohnung dafür, schädli-che E-Mails an die Endverbraucher durchzubekommen, ist für die Täter so lukrativ, dass sie hart arbeiten, um Möglichkeiten zu finden, die automa-tische Erkennung und Filterung unerwünschter E-Mails zu umgehen. Ein Verständnis dieses Zusammenhangs ist der Schlüssel dafür, das Problem in seinem eigenen Bereich zu bekämpfen.

Schädliche E-Mails sind zunächst einmal E-Mails. Die erste Schutzmaßnah-me besteht daher darin, das Muster Ihrer persönlichen E-Mail-Kommunika-tion zu kennen. Eine wichtige Fähigkeit besteht darin, schon auf beim ersten Anblick Ihrer E-Mails abschätzen zu können, was wahrscheinlich echt und was schädlich ist. Sie können jedoch schon etwas tun, bevor es zu diesem ersten Anblick kommt, nämlich die Möglichkeiten Ihrer E-Mail-Software dazu nutzen, einige der unerwünschten E-Mails aus Ihrem Posteingang zu entfernen, bevor Sie sie überhaupt zu sehen bekommen.

Die Forschung arbeitet fortgesetzt daran, automatisierte Werkzeuge zum Identifizieren und Filtern von E-Mails bereitzustellen, um Unternehmen darin zu unterstützen, mit der enormen Menge an empfangenen E-Mails fertig zu werden, um Benutzern zu helfen, unerwünschte E-Mails aus ihren Postfächern zu entfernen, und um die Möglichkeiten der Spammer zu ver-ringern, E-Mail-Systeme erfolgreich zu infiltrieren. Je nachdem, welche Maßnahmen Ihr E-Mail-Provider ergreift, können die an Sie gerichteten Mails verschiedene dieser Werkzeuge durchlaufen. Beispielsweise ist es mög-lich, dass Ihr Provider das SPF (Sender Policy Framework) implementiert hat, das dazu entwickelt wurde, das Problem gefälschter Absender adressen anzugehen.1 Ihr Provider kann sich auch an einem Reputationsdienst betei-ligen, der eine lange Liste von zu blockierenden Adressen unterhält. In Ih-rem Unternehmen kann eine Technologie zum Einsatz kommen, die Bedro-hungen erkennt, z. B. ein Antispam-System. Wenn Sie wissen wollen, welche Einrichtungen in Ihrem Unternehmen oder von Ihrem Provider eingesetzt werden, können Sie sich wie in Kapitel 3 beschrieben die E-Mail-Header ansehen.

1 Weitere Informationen über das SPF-Projekt finden Sie auf der zugehörigen Website unter hptt://www.openspf.org/.


Diese Werkzeuge und Vorkehrungen haben im Kampf gegen schädliche E-Mails schon viel Hilfe geleistet. Sie sind aber nicht perfekt. Außerdem haben die Täter ein großes Interesse daran, herauszufinden, wie sie die Technologien und Schutzmaßnahmen umgehen können, um ihre Ziele zu erreichen. Das bedeutet leider, dass der Kampf weitergeht und dass irgend-wann doch schädliche E-Mails in Ihrem Posteingang landen. Wenn das geschieht, müssen Sie wissen, was zu tun ist.

In manchen Systemen ist von vornherein ein Spamblocker enthalten, in anderen müssen Sie eine solche Filterung erst einschalten. Um herauszufin-den, was in Ihrem System der Fall ist, schauen Sie nach, was die Hilfefunk-tion darüber zu sagen hat. Beispielsweise filtern die meisten der großen kostenlosen E-Mail-Provider wie Google und Yahoo nicht nur Spam oder Junk-E-Mail aus, sondern ermöglichen es Ihnen auch, E-Mails als Spam zu kennzeichnen und die Leistung dadurch zu verbessern. Wenn eine solche Filterung bei Ihrem Provider nicht automatisch aktiviert ist, sollten Sie in der Hilfefunktion nachsehen, wie Sie sie einschalten. Bietet der Provider überhaupt keine Filterung an, sollten Sie eine E-Mail-Software mit ein-gebauten Filterfunktionen verwenden. Es gibt für alle Plattformen viele E-Mail-Clientanwendungen. Die meisten davon sind kostenlos.

5.2 EskommtaufdieKonfigurationan

Unabhängig davon, welche Form der Spamfilterung Ihnen zur Verfügung steht, können Sie eine Menge einfach dadurch ausrichten, dass Sie Ihre E-Mail-Voreinstellungen so einrichten, dass sie mehr Sicherheit bieten. Dadurch können Sie einige der Tricks unwirksam machen, die in schäd-lichen E-Mails genutzt werden. Dazu gehört es nicht nur, fortschrittliche Technologien wie die Filterung einzuschalten, sondern auch manche Op-tionen auszuschalten, z. B. das automatische Laden von Bildern. Das hat zwar den Nachteil, dass die Mails weniger attraktiv aussehen, allerdings ist dies nur ein vorübergehender Effekt, da Sie diese Optionen bei E-Mails aus vertrauenswürdigen Quellen manuell wieder einschalten können.

127Es kommt auf die Konfiguration an

Die wichtigsten Konfigurationseinstellungen drehen sich um Anzeige-optionen: die Anzeige von HTML-Inhalten, das automatische Laden von Bildern und die Anzeige des Absenders.

E-Mails im HTML-Format: HTML steht für Hypertext Markup Language. Dies ist eine Möglichkeit, um Anweisungen zur Darstellung der Informa-tionen einzubetten. Beispielsweise kann ein solcher eingebetteter Befehl den Computer anweisen, bestimmten Text fett anzuzeigen oder mit einem Link zu verknüpfen. In dem folgenden Beispiel sehen Sie ein und dieselbe E-Mail in zwei verschiedenen Anzeigeformaten, links als HTML und rechts mit ausgeschalteter Formatierung, wobei die eingebetteten Befehle sichtbar werden. Der Pfeil verbindet den eingebetteten Link, der angeblich zur Web-site von Chase Online Banking führt, zu dem tatsächlichen URL im Text. In der unformatierten Mail ist sofort deutlich, dass der Link überhaupt nicht zu Chase Online Banking führt, sondern zu einer Website, die in keinerlei Beziehung zu Chase steht.

Der Nachteil beim Verzicht auf die Anzeige im HTML-Format besteht darin, dass Sie sich durch all diese Befehle hindurchkämpfen müssen, um das zu finden, was Ihnen eigentlich mitgeteilt werden soll. Allerdings zeigt es sich, dass die Deaktivierung der HTML-Formatierung bei legitimen E-Mails die Lesbarkeit des Inhalts nicht sehr stark beeinträchtigt, wobei das


jedoch auch immer ein bisschen vom Absender abhängt. Es kann sogar sein, dass E-Mails von Leuten, die sich auffälliges Design um jeden Preis auf die Fahne geschrieben haben, durch die Deaktivierung der HTML-Anzeige sogar leichter lesen lassen.

Nicht alle E-Mail-Anwendungen gestatten es, die Anzeige von E-Mails im HTML-Format auszuschalten. Bei manchen können Sie nur das auto-matische Laden von Bildern in HTML-Nachrichten deaktivieren. Wenn es in Ihrem Programm jedoch möglich ist, die Anzeige auszuschalten, so sollten Sie das tun. Wenn nicht, so nutzen Sie die Möglichkeiten, um sich den Quelltext der Nachricht anzusehen, um den tatsächlichen Inhalt zu untersuchen und sicherzustellen, dass nicht irgendetwas Dubioses hinter der Formatierung versteckt worden ist. Da es so viele verschiedene E-Mail-Anwendungen gibt, ist es hier nicht möglich, detaillierte Anweisungen zu geben.

Automatisches Laden von Bildern: Richten Sie Ihren E-Mail-Client so ein, dass er Bilder in HTML-E-Mails nicht automatisch lädt und anzeigt. Warum? Wenn Sie solche eingebetteten Bilder mit dem Rest des Inhalts anzeigen, laden Sie in Wirklichkeit Dateien von einem anderen Computer herunter. Bei der Verwendung des HTML-Formats ist es diesem anderen Computer dabei auch möglich, Informationen von Ihrem Rechner abzurufen. Eine der gerissensten Möglichkeiten, um Informationen abzuschöpfen, besteht sogar darin, ein Bild mit einer Größe von einem Pixel einzubetten. Dieses Bild ist nicht sichtbar, bietet aber alle Möglichkeiten von Bildern zum Abruf von Informationen. Dieser Trick wird als »Zählpixel«, aber auch als »Clear GIF«, »Web Beacon« oder »Web Bug« bezeichnet.2

»Intelligente« Absenderanzeige: Manche E-Mail-Clients zeigen in den Kopf-zeilen einer E-Mail Kontaktnamen anstelle der tatsächlichen Namen und Adressen an. Das kann gefälschte Angaben verschleiern. Da Sie so viele Daten über die E-Mails zur Verfügung haben sollten wie möglich, sollten Sie diese »intelligente« Absenderanzeige ausschalten.

2 Eine sehr gute, wenn auch ältere Erörterung u diesem Thema finden Sie auf der Website der Electronic Fron-tier Foundation als »The Web Bug FAQ« unter http://w2.eff.org/Privacy/Marketing/web_bug.html. Auch die Wikipedia-Artikel sind recht gut, z. B. http://de.wikipedia.org/wiki/Zählpixel.

129Es kommt auf die Konfiguration an

Antivirussoftware ist ein absolutes Muss auf Ihrem Computer. Dabei reicht es jedoch nicht aus, die Software einfach nur zu haben – Sie müssen sie auch regelmäßig aktualisieren. Wie oft? Täglich ist eine gute Faustregel. Sie können die Software auch so einstellen, dass sie automatisch aktualisiert wird, sodass Sie sich nicht mehr darum kümmern müssen. Trotz wieder-holter Meldungen, die ein Ende der Ära von Antivirussoftware voraussa-gen, ist sie immer noch ein unverzichtbares Instrument. Sie ist nicht teuer, leicht zu handhaben und alarmiert Sie über viele verschiedene Arten von häufig auftretenden Problemen.

Zum Schluss noch ein Wort zum Thema Passwörter. Ja, diese Vorgehenswei-se zum Absichern von Systemen ist mangelhaft, aber wir müssen vorläufig nun einmal damit leben. Verwenden Sie ein gutes Passwort und ändern Sie es regelmäßig (insbesondere für Systeme, die einen hohen Wert darstellen, z. B. bei Ihrer Bank). Verwenden Sie nicht ein und dasselbe Passwort für viele verschiedene Systeme. Für jedes Konto sollte ein eigenes, einzigartiges Passwort reserviert sein. Da Sie nicht in der Lage sein werden, sich all diese Passwörter zu merken, sollten Sie in einen Passwortsafe investieren. Dabei handelt es sich um eine Anwendung, die Ihre sensiblen Daten verschlüsselt. Sie öffnen sie, geben Ihre Passwörter ein, und schließen sie wieder. Wenn Sie sich nicht mehr an Ihr Passwort erinnern können, rufen Sie es von dort ab. Alternativ können Sie Ihre Passwörter auch aufschreiben und die Nie-derschrift dann in einem echten Safe lagern.

Es ist auch wichtig, andere in Ihrem Umfeld zu unterrichten. Ihre Kinder und Ihre Kollegen müssen sich über die hier angesprochenen Probleme im Klaren sein. Zwar müssen nicht alle über den gleichen Kenntnisstand verfügen, aber sie müssen doch zumindest die Natur des Problems ken-nen und wissen, wie sie sich und andere schützen können, die sich auf sie verlassen. Im nächsten Kapitel lernen Sie eine Vorgehensweise kennen, um einen solchen Schutz einzurichten.

144

Glossar

Anhang Eine Computerdatei, die zusammen mit einer E-Mail-Nachricht gesendet wird.

Antivirussoftware Software, die dazu dient, Viren, Würmer und trojani-sche Pferde aufzuspüren, zu blockieren und zu entfernen.

Antwortadresse Die E-Mail-Adresse, die für eine Antwort auf die Nach-richt verwendet wird. Wenn Sie eine E-Mail erhalten und auf Antworten klicken, legt Ihr E-Mail-Client eine E-Mail mit der Antwortadresse als Empfänger an.

APT (Advanced Persistent Threat) Wörtlich »fortgeschrittene, dauer-hafte Bedrohung«: Ein extrem raffinierter Gegner.

Authentifizierung Der Vorgang, durch den die Identität einer Person, eines Computers oder Prozesses überprüft und bestätigt wird.

BCC »Blind carbon kopie«, also »Blindkopie«: Weitere E-Mail-Adressen neben dem eigentlichen Empfänger, an die eine Kopie der E-Mail gesendet wird, ohne dass die Adressen den anderen Empfängern angezeigt werden.

Bedrohung Die mögliche Gefahr, dass eine Schwachstelle ausgenutzt werden kann, um die Sicherheit eines Computersystems zu unterlaufen und dadurch Schaden anzurichten.

Betreff (Subject) Die Angabe des Themas der E-Mail, entsprechend der Betreffzeile in einem herkömmlichen Brief. Der Betreff gehört zum Header der E-Mail.

Blacklist (Schwarze Liste) Ein einfacher Mechanismus zur Zugriffssteue-rung, der alle Elemente (wie E-Mail-Adressen, Benutzer, URLs usw.) außer denen zulässt, die ausdrücklich auf der Liste erwähnt sind. Das Gegenstück

145Glossar

dazu ist eine Whitelist, bei der nur die Elemente zugelassen werden, die ausdrücklich in der Liste erwähnt werden. Die meisten E-Mail-Provider verwenden schwarze Listen, um unerwünschte Absenderadressen oder ganze E-Mail-Server (insbesondere offene Relays) auszusperren.

CC »Carbon copy«, also eigentlich »Durchschlag«: Weitere E-Mail-Adressen neben dem eigentlichen Empfänger, an die eine Kopie der E-Mail gesendet wird.

CDS (Categorical Defense Structure) Eine nach Kategorien geordnete Verteidigungsstruktur, wie sie vor allem in großen Unternehmen anzutref-fen ist. Siehe auch GSSN.

Chat Elektronische Kommunikation, die im Gegensatz zu E-Mails in Echtzeit erfolgt. Neben den ursprünglichen reinen Textchats gibt es auch Chats mit Bild- und Tonübertragung, sogenannte Video- und Audiochats.

Client Ein Computerprogramm, das auf einem Endgerät in einem Netzwerks läuft und mit dem zugehörigen Serverprogramm auf einem Server kommuniziert. Beispielsweise ist ein E-Mail-Client eine Anwendung wie Outlook oder Thunderbird, die Kontakt mit einem E-Mail-Server aufnimmt, um E-Mails von ihm abzuholen oder über ihn zu senden.

Dateinamenerweiterung Auch Dateiendung genannt. Der letzte Teil eines Dateinamens, der mit einem Punkt abgetrennt wird und in den meisten Fällen drei Buchstaben umfasst. Die Dateinamenerweiterung gibt das Format der Datei an, damit sie gleich mit dem passenden Programm geöffnet werden kann.

Denial-of-Service-Angriff (DoS) Wörtlich »Dienstverweigerung«: Ein Angriff, bei dem ein Dienst auf einem Server mit eine solchen Menge an Anforderungen überflutet wird, dass er sie nicht mehr verarbeiten kann, weshalb legitime Anforderungen nicht mehr oder nur noch sehr langsam bedient werden können.

146 Glossar

DNS (Domain Name System) Ein hierachisches, verteiltes Namenssystem für Computer, Dienste und jegliche anderen Ressourcen, die mit dem Internet oder einem privaten Netzw4erk verbunden sind. Insbesondere dient der DNS-Dienst dazu, für Menschen lesbare Domänennamen in die numerischen IP-Adressen zu übersetzen, die Computerdienste und Geräte nutzen.

Domäne (Domain) Ein Bereich administrativer Selbstständigkeit, Auto-rität oder Steuerung innerhalb des Internets. Bezeichnet werden Domänen mit Domänennamen nach den Regeln des Domain Name System (DNS).

E-Mail Kurz für electronic mail, also »elektronische Post«. Auf elektroni-schem Wege über Computernetzwerke übertragene Nachrichten, die sich vor allem durch ihre Ähnlichkeit mit dem klassischen Brief gegenüber anderen elektronischen Kommunikationsformen (siehe SMS und Chat) abgrenzt.

Exploit Eine Software, eine Datenmenge oder eine Befehlsfolge, mit der ein Bug oder eine Schwachstelle ausgenutzt wird, um unerwartete Vorgän-ge in Software oder Hardware auszulösen, insbesondere, um die Kontrolle über ein Computersystem zu übernehmen, die eigenen Rechte zu erhöhen oder Denial-of-Service-Angriffe auszuführen.

Firewall Ein System zur Netzwerksicherheit, dass den eingehenden und ausgehenden Netzwerkdatenverkehr auf der Grundlage von Regeln steuert. Sie bildet eine Barriere zwischen einem vertrauenswürdigen, sicheren internen Netzwerk und einem als nicht sicher und nicht vertrauenswürdig eingestuften externen Netzwerk (z. B. dem Internet). Firewalls gibt es in der Form als Software, die auf üblicher Hardware läuft, und als dedizierte Hardware.

GSSN (Gestaffeltes Schutzsystem gegen schädliche Nachrichten) Ein System für eine Defensivstruktur aus sechs Schichten, die auf zwei Hauptzonen aufgeteilt sind. Es bietet eine Richtschnur, um die Verteidigung des Netzwerks besser planen und durchführen zu können. Die »technische

147Glossar

Zone« besteht aus Schichten mit automatischen Werkzeugen, die mögliche Gefahren erkennen und verhindern und die Benutzer davor warnen sollen, in der zweiten Zone geht es um alle menschlichen Aspekte.

Header (Kopfzeilen) Die Angaben am Anfang einer E-Mail, die zum größten Teil nicht angezeigt werden. Dazu gehören Adressinformationen (Absender- und Empfängeradresse), Datum und Uhrzeit und Angaben der Route, die die Nachricht genommen hat.

HTML (HyperText Markup Language) Eine Vorgehensweise, um An-weisungen einzubetten, die dem Computer mitteilen, wie er Informationen anzeigen soll. Die einzelnen Elemente werden dabei mithilfe von sogenann-ten Tags gekennzeichnet, die festlegen, wie sie zu formatieren sind.

IMAP (Internet Message Access Protocol) Ein Protokoll, um E-Mails abzurufen und zu speichern, das als Alternative zu POP entwickelt wur-de. Im Gegensatz zu POP ermöglicht es IMAP insbesondere, mit mehreren Clients gleichzeitig auf dasselbe Postfach zuzugreifen.

Intrusion-Detection-System Ein Gerät oder eine Software, die ein Netz-werk oder ein System auf schädliche Aktivitäten und die Verletzung von Richtlinien überwacht und an eine verantwortliche Stelle meldet.

Junk-E-Mail Siehe Unsolicited Bulk Email (UBE)

Kettenbriefe Ein Brief oder eine E-Mail, in dem dazu aufgefordert wird, die Nachricht zu kopieren und an weitere Empfänger zu senden. Meistens wird der Empfänger entweder moralisch unter Druck gesetzt, um die Nachricht weiterzuleiten, es wird ihm eine erhebliche Belohnung versprochen oder es werden gefährliche Folgen angedroht, wenn er der Aufforderung nicht nachkommt. Kettenbriefe dienen dazu, Mitteilungen zu verbreiten (Spendenaufrufe, religiöse oder politische Inhalte, geschmacklose Scherze usw.), E-Mail-Adressen zu sammeln, Kommunikationsdienste zu stören, Einrichten oder Personen zu belästigen, Werbung zu treiben usw.

148 Glossar

Kommentar Ein Hinweis im Quelltext, der nicht verarbeitet und in der normalen Darstellung einer E-Mail nicht angezeigt wird. Angegeben werden Kommentare zwischen den Tags .

Komprimierung Die Verkleinerung einer elektronischen Datei, um den erforderlichen Speicherplatz zu verringern und die Übertragungszeit der Daten zu verkürzen. Eines der wichtigsten Formate für komprimierte Dateien ist die Zip-Datei.

Kurznachrichten Siehe SMS.

Like-Farming Der Versuch, die Anzahl von Personen zu erhöhen, die von bestimmten Social-Media-Webseiten erreicht werden. Dabei werden Nach-richten verschickt, die gewöhnlich einen Appell an unser Mitgefühl und eine Aufforderung enthalten, sie auf Social-Media-Sites zu teilen.

Link Auch Hyperlink oder Verknüpfung genannt. Ein Querverweis in einem elektronischen Dokument, der es ermöglicht, zu einem Dokument oder zu einer anderen Stelle desselben Dokuments zu springen. Beim Aus-führen des Links (Anklicken) wird automatisch das angegebene Ziel aufge-rufen. In HTML werden Links mit dem Tag <a href=Adresse>Linktext</a> angegeben. Der sichtbare Linktext kann dabei beliebig formuliert werden und muss nicht mit der tatsächlichen Zieladresse des Links identisch sein.

MIME (Multipurpose Internet Mail Extensions) Eine Erweiterung des ursprünglichen E-Mail-Protokolls, mit dem die Übertragung zusätzlicher Arten von Dateien wie Audio, Video, Bildern usw. über das Internet möglich ist. Zu Beginn der Übertragung fügt der Server den MIME-Header ein, anhand dessen der Client die passende Anwendung für die angegebene Art von Daten auswählt.

Nachrichten-ID Die eindeutige Kennung einer E-Mail. Um sie eindeutig zu machen, werden häufig das Datum und die Uhrzeit darin aufgenom-men.

149Glossar

Nigeria-Betrug Eine weit verbreitete Betrugsmasche, bei der der Täter Kontakt mit dem Opfer aufnimmt und es um Hilfe für eine grenzüber-schreitende Geschäftsbeziehung oder seine ersten Schritte in einem frem-den Land bittet. Manchmal wird eine betrügerische Natur von Anfang an offensichtlich gemacht, etwa wenn der Absender um Beihilfe bittet, um ein Vermögen außer Landes zu schmuggeln und dem Empfänger verspricht, für dessen Hilfe eine große Summe springen zu lassen. Beachten Sie aber, dass diese E-Mails nicht zwangsläufig aus Nigeria stammen müssen. Auch als Vorschussbetrug bezeichnet.

Offenes Relay Siehe Relay-Server.

Organisationskultur Die Normen und ungeschriebenen Verhaltens-gesetze, denen die Mitglieder einer Organisation gehorchen. Diese Kul-tur hat Auswirkung darauf, welche Haltung die Mitglieder gegenüber der Organisation und gegenüber einander einnehmen, und kann die wahr-scheinlichen Handlungsweisen der Personen beeinflussen und die Loyalität und den Einsatz für die Organisation bestimmen.

Passwort Eine geheime Zeichenfolge zur Authentifizierung, durch die die Identität des Benutzers nachgewiesen wird, um Zugriff auf eine Ressource zu erhalten.

Phishing Wird genauso ausgesprochen wie das englische Wort »fishing«, also »Fischen« oder »Angeln«, und bezeichnet Handlungen, die die Opfer dazu bringen, vertrauliche Daten preiszugeben, z. B. Informationen über ihr Bankkonto, Anmeldeinformationen, Passwörter oder ausführliche per-sönliche Angaben. Die Angreifer fischen also sozusagen Informationen ab. Phishing wird gewöhnlich nach dem »Schrotschuss-Prinzip« mit einer sehr großen Menge von Empfängern versucht. Eine ähnliche, aber gezieltere Vorgehensweise wird als »Spear-Phishing« bezeichnet.

POP3 (Post Office Protocol) Ein Standardprotokoll, mit dem lokale E-Mail-Clients über eine Internetverbindung E-Mails von einem Server herunterladen können. Der Funktionsumfang ist sehr beschränkt und

150 Glossar

ermöglicht es nur, die auf dem Server befindlichen E-Mails aufzulisten, herunterzuladen und zu löschen. Für ausgefeiltere Funktionen muss ein Protokoll wie IMAP verwendet werden.

Port Eine durch eine Nummer gekennzeichnete Datenverbindung, über die ein Computer Informationen mit anderen Geräten oder Software aus-tauschen kann. Da es sich bei der Portnummer um eine 16-Bit-Ganzzahl handelt, sind Nummern von 0 bis 65535 möglich. 1024 mögliche Portnum-mern sind als Standardports für gängige Netzwerkdienste reserviert, z. B. 25 für SMTP, 80 für HTTP (das Protokoll für das Web), 110 für POP, 143 für IMAP und 443 für HTTPS (sicheres HTTP).

Protokoll Eine Vereinbarung, die bestimmt, wie die Übertragung von Daten zwischen den Computern in einem Netzwerk abläuft. Diese Vereinbarung besteht aus einem Satz von Regeln und Formaten, die das Verhalten der miteinander kommunizierenden Parteien bestimmen. Für den Austausch von Nachrichten müssen oft mehrere verschiedene Protokolle eingesetzt werden, die jeweils unterschiedliche Aufgaben übernehmen.

Provider Englisch »Internet Service Provider«, kurz ISP, wörtlich »Internetdienstanbieter«: Anbieter von Dienstleistungen oder Inhalten, die zur Nutzung von Diensten im Internet erforderlich sind, z. B. für den E-Mail-Verkehr.

Quelltext Der unformatierte Rohtext einer E-Mail-Nachricht.

Relay-Server Ein Servercomputer, der E-Mails von einem Computer zu einem anderen überträgt. Bei einem offenen Relay ist dieser Server so eingerichtet, dass darüber beliebige Nachrichten verschickt werden können, nicht nur solche, die von bekannten Benutzern stammen oder an sie gerichtet sind. Das war früher die Standardkonfiguration, allerdings wurden solche offenen Relays oft für die Verbreitung von Spam und Würmern missbraucht. Viele Relay-Server sind heute geschlossen. Offene Relays stehen oft auf den Blockierlisten anderer Server.

151Glossar

Reputationsdienst Ein Dienst, der einen Wert für die Vertrauenswürdig-keit von Elementen in einer Domäne (z. B. Server, Dienste oder Websites) ermittelt und zur Verfügung stellt. Dieser Wert gründet sich gewöhnlich auf Bewertungen, die von Benutzern eingereicht wurden.

RFC (Request for Comments) Wörtlich »Bitte um Kommentierung«: Eine Veröffentlichung der IETF (Internet Engineering Task Force), in der Ingenieure und Informatiker Methoden, Verhaltensweisen, Forschungsergebnisse und Erfindungen im Zusammenhang mit dem Internet darstellen und zur Überprüfung oder einfach nur zur Vorstellung neuer Konzepte und Informationen einreichen. Die IETF übernimmt einige der als RFCs eingereichten Vorschläge als Internetstandards.

Rumpf Der Hauptteil einer E-Mail nach dem Header, der den eigentlichen Inhalt (Nachrichtentext) umfasst. Er kann darüber hinaus jedoch auch alle möglichen Arten von versteckten Elementen enthalten, die in der normalen Darstellung nicht angezeigt werden. Der Rumpf kann aus reinem Text, aber auch aus formatiertem Text (z. B. im Format HTML) bestehen.

Schädliche Nachricht Eine Nachricht in elektronischer Form, die über automatisierte Informationsverarbeitungssysteme übermittelt wird und dazu gestaltet oder entworfen wurde, um beim Erreichen eines Ziels zu helfen, das das Wohlergehen des Empfängers auf eine oder mehrere Weisen gefährdet.

Schwachstelle Eine Sicherheitslücke in Form eines Softwarefehlers, durch die Schadprogramme oder Angreifer Zugang zu einem Computersystem gewinnen können.

Sender Policy Framework (SPF) Ein System zum Erkennen gefälschter E-Mails. Es ermöglicht E-Mail-Servern zu prüfen, ob eingehende Mails aus einer Domäne tatsächlich von einem Host stammen, der vom Administrator der betreffenden Domäne autorisiert ist. Die Liste der autorisierten Hosts für eine Domäne ist Form besonderer Texteinträge in den DNS-Einträgen der Domäne hinterlegt.

152 Glossar

Server Software oder Hardware für den Zugriff auf zentrale Ressourcen oder Dienste in einem Netzwerk. Bei Serversoftware handelt es sich um ein Programm, das mit einem anderen Programm (Client) kommuniziert, um ihm besondere Dienste zur Verfügung zu stellen. Als Server wird jedoch auch ein Computer bezeichnet, auf dem Serversoftware ausgeführt wird

Situationsbewusstsein Die Wahrnehmung von Elementen in der Umgebung im zeitlichen oder räumlichen Bezug, das Verständnis ihrer Bedeutung und die Voraussage Ihres Zustands nach der Änderung einer Variable, etwa der Zeit, oder nach dem Eintreten eines bestimmten Ereginisses. Situationsbewusstsein bedeutet, sich darüber bewusst zu sein, was in der Umgebung geschieht, um zu verstehen, wie sich Informationen, Ereignisse und eigene Handlungsweisen sowohl unmittelbar als auch langfristig auf Ziele auswirken.

SMS (Short Message Service) Ein Dienst zur elektronischen Übertragung von Nachrichten, die nicht als E-Mails, sondern als Textnachrichten oder Kurznachrichten bezeichnet werden. Der Inhalt einer solchen Nachricht ist auf einen Umfang von 160 Zeichen beschränkt.

SMTP (Simple Mail Transfer Protocol) Ein Protokoll zur Übertragung von E-Mails. Server verwenden SMTP sowohl zum Senden als auch zum Empfangen von E-Mails, doch Benutzeranwendungen greifen nur darauf zurück, um Mails zur Weiterleitung an den Server zu schicken. Für den Empfang von E-Mails wird in solchen Anwendungen POP3 oder IMAP verwendet.

Social Engineering Die psychologische Manipulation von Personen, um sie dazu zu bringen, bestimmte Handlungen auszuführen oder vertrauliche Informationen preiszugeben.

Spam Siehe Unsolicited Bulk Email (UBE)

Spamscore Die von Antispamsystemen berechnete Maßangabe dafür, wie sehr die E-Mail die Eigenschaften aufweist, die häufig in Spamnach-richten anzutreffen sind.

153Glossar

Spanischer Gefangener Eine Betrugsmasche, der Vorläufer des Nigeria-Betrugs.

Spear-Phishing Eine Variante des Phishings, die jedoch auf ein bestimm-tes Opfer abzielt und genau darauf zugeschnitten ist.

Tag In Auszeichnungssprachen (Markupsprachen) wie HTML sind Tags die in spitzen Klammern eingeschlossenen Kürzel, mit denen Textelemente zur Formatierung ausgezeichnet werden. Sie treten fast immer paarweise mit einem öffnenden und einem schließenden Tag auf: <tag>Element</tag>. Es gibt wenige Ausnahmen, die für sich allein stehen können, z. B. das Tag für einen Zeilenumbruch, <br />

Textnachrichten Siehe SMS.

TME (Targeted Malicious Email) »Gezielte schädliche E-Mail«. Dies sind E-Mails, die genau auf eine einzelne Person ausgerichtet und sehr persönlich gestaltet sind, um möglichst wirkungsvoll zu sein. Es ist sehr kostspielig, die Informationen über eine Einzelperson einzuholen, die für einen wirkungsvollen TME-Angriff erforderlich sind. So viel Aufwand ist gewöhnlich nur für äußerst lukrative Ziele reserviert. Siehe auch Spear-Phishing.

Trojanisches Pferd Meistens kurz »Trojaner« genannt (was historisch-mythologisch gesehen jedoch unsinnig ist, da es sich bei den Trojanern, also den Einwohnern von Troja, ja um die Opfer des Trojanischen Pferdes handelte). Ein schädliches Computerprogramm, das als nützliche Anwendung getarnt ist, in Wirklichkeit aber ohne Wissen des Benutzers andere Funktionen ausführt.

Unsolicited Bulk Email (UBE) »Unerwünschte Massen-E-Mail«: Ähnlich wie die Ramschpost, die Sie in Ihrem Briefkasten finden, werden solche E-Mail-Nachrichten als unerwünschte Massen-E-Mails an viele, viele E-Mail-Adressen gesendet. Dabei kann es sich um kommerzielle Angebote, politische Aufrufe oder sonstige Botschaften handeln, die der Absender an

154 Glossar

möglichst viele Personen schicken will. Dies wird auch als Junk-E-Mail oder Spam bezeichnet.

Unsolicited Commercial Email (UCE) »Unerwünschte kommerzielle E-Mail«: E-Mails, die an viele Personen gesandt werden, um ein kommerzielles Produkt zu bewerben. Dies wird gewöhnlich als Spam bezeichnet und ähnelt UBE.

URL (Uniform Resource Locator) URLs sind die Links zu Websites und anderen Elementen, die im Web adressierbar sind, z. B. Bilder oder Dateien. Gewöhnlich werden URLs auch als Webadressen oder Weblinks bezeichnet.

UTME (UnTargeted Malicious Email) »Nicht zielgerichtete schädliche E-Mail«. Dies sind schädliche E-Mails, die mit wenig Aufwand an so viele Menschen wie möglich verschickt werden, um eine möglichst breite Streu-ung zu erreichen.

Virus Ein sich selbst verbreitendes Computerprogramm, das sich in an-dere Computerprogramme einschleust und selbst reproduziert. Es kann an der Hardware, am Betriebssystem und an sonstiger Software Änderungen vornehmen, die nicht mehr der Kontrolle des rechtmäßigen Computer-benutzers unterliegen, und beeinträchtigt damit die Computersicherheit.

Vorschussbetrug Siehe Nigeria-Betrug.

Wurm Ein Schadprogramm, das sich selbst vervielfältigt. Im Gegensatz zu einem Virus verbreitet sich der Wurm, ohne fremde Dateien mit seinem Code zu infizieren. Würmer verbreiten sich über Netzwerke oder über Wechselmedien (z. B. USB-Sticks).

Zip-Datei Ein Format für komprimierte Dateien, das nicht nur den Speicherplatzbedarf verringert, sondern auch als Behälter fungiert, in dem mehrere Dateien oder Verzeichnisse untergebracht werden können. Die Dateiendung lautet .zip.

155

A

AbsenderadresseGefälscht 29, 46, 69Headerinformationen 76Intelligente Absenderanzeige 128Reply-To 76Wahre Adresse herausfinden 76, 78

Advanced Persistent Threats 19Anhänge

Ausführbare Programme 28Dateinamenerweiterungen 28Empfänger zum Öffnen verleiten 49Getarnt 28Öffnen 28, 84Schädliche Anhänge 21Schadsoftware 50Zip-Dateien 82

Anthrax 14Antivirussoftware 129Apple-Produkte 37APT 19Asetou, Mother 32Atmosphäre des Vertrauens 141Ausführbare Programme 28Automatisches Laden von Bildern 128

B

Bankkonto 61Bank of America 53Belohnungssystem 140Betrugsmaschen

Einladung 37Eskalationsmaschen 18Gaddafi-Tochter 30Geldangebot 41

Hilfegesuche 30Ich habe dein Profil online gesehen 18Insidermeldung 50Like-Farming 58Maskierte E-Mails 52Mother Asetou 32Netflix 71Nigeria-Betrug 17Rabattierte Apple-Produkte 37Stromzählerschwindel 71Vorschussbetrug 17Warnung vor Kontosperung 45

bitly 20Bot

Erkennung 65Botnet. Siehe Bot-NetzwerkBotnetze 71Bot-Netzwerk 63Briefbomben 14Browser

Chrome. Siehe ChromeFirefox. Siehe FirefoxInternet Explorer. Siehe Internet Explo-

rerOpera. Siehe Opera

C

Capital One 45Categorical Defense Structure 135CDS 135Chrome 65Cloud 89Computerforensik 115Computervirus 60Content Delivery Networks. Siehe CDN

Stichwortverzeichnis

156 Stichwortverzeichnis

D

Dateianhang 61Dateinamenerweiterungen 28

Zip 50, 82Dating-Mails. Siehe SpamDauerhafter Zugriff. Siehe Nacharbeiten,

HintertürenDenial of Service 60, 62Denial-of-Service-Angriffe 71Distributed Denial of Service 60, 62

E

E-MailDateianhang 97Erstatzadresse 103Exploit 59. Siehe E-Mail-ExploitIMAP. Siehe IMAPInbox. Siehe InboxOffline 89Phising. Siehe PhishingPOP3. Siehe POP3Postausgangsserver. Siehe SMTPProtokolle 86Synchronisierung 96Wegwerfadresse. Siehe Wegwerfadresse

E-Mail-Exploit 59Bedeutung 59Checkliste 65Denial of Service. Siehe Denial of Ser-

viceDistributed Denial of Service. Siehe

Distributed Denial of ServiceFlooder Denial of Service. Siehe Flooder

Denial of ServiceKategorien 59Malware. Siehe MalwarePhising. Siehe PhishingSchutz 64Spam. Siehe Spam

E-MailsAbsenderangabe 29, 46Antwortadresse 76Aufbau 74Automatisches Laden von Bildern 128Eigene E-Mail-Adresse wechseln 124Gefälschte Absenderangabe 69Getarnte Links 20Grafische Darstellung 20Header 74HTML-Format 127Intelligente Absenderanzeige 128Konfigurationseinstellungen 127Kopfzeilen 74Künstlich aufgeblähter Inhalt 81Maskiert 52Message-ID 77Quelltext anzeigen 110Quelltext untersuchen 80Rumpf 79Wahre Absenderadresse herausfinden 78Wahres Ziel von Links herausfinden 110

ErkennungsprozessAngriffe melden 120Charakterisierung des Ereignisses 117Einführung 114Indizien 116Nach dem Angriff 115Reaktionen 119Technische Hilfsmittel 114Vor dem Angriff 114Während des Angriffs 114

Eskalationsmaschen 18Exploit. Siehe E-Mail-Exploit

Erkennung 65

F

Firefox 65Firewall 59Flooder Denial of Service 60, 63Freemail 105Fristen 43

157Stichwortverzeichnis

G

Gaddafi, Hanna 30Gefühle ansprechen 16Gefühle (Ausnutzung durch Täter)

Arten von Gefühlen 26Bitte um Hilfe 30Empfänger zum Öffnen von Anhängen

verleiten 49Fristen 43Reizwörter 40Religiöse Gefühle 32Spontane emotionale Wirkung erzielen

42Verschwörerisches Element 43

Geldangebot 41Geschichte 13Gestaffeltes Schutzsystem

Breite und Tiefe 133, 135CDS 135Einführung 130Gründe 131Kategoriale Verteidigungsstruktur 135Kategorien 134Kombination mehrerer Maßnahmen

136Menschliche Zone 134Schichten 134

Grant, James 14

H

Hacker 61Header

Anzeigen 109Message-ID 77Reply-To 76Versteckte Angaben 75

href 81HTML-Format 127

I

Identitätsdiebstahl 58IMAP 90

Anwendung 91Datenvolumen 93Geschwindigkeit 93Offline 92Sicherheit 93SSL. Siehe IMAPS

IMAPS 94Inbox 92Insidermeldung 50Intelligente Absenderanzeige 128Internet-Banking 99Internet Explorer 65Internet Message Access Protocol. Siehe

IMAP

J

Junk-Mails. Siehe Spam

K

Kaczynski, Theodore 14Kategoriale Verteidigungsstruktur 135Kettenbriefe

Schädliche Fehlinformationen 56Verbreitung von Falschdarstellungen 52

Konfiguration 126Kopfzeilen. Siehe Header

L

Like-Farming 58Links

Gefälschte Websites 48Getarnt 20, 27, 41href 81In Texteditor kopieren 110Möglichkeiten verschiedener Plattformen,

das wahre Ziel herauszufinden 27Phishing 48URL und Anzeigetext 81Verwendung für schädliche Zwecke 19Wahres Ziel herausfinden 81, 110


M

Mallory 58Malware 60Maskierte E-Mails 52Maßnahmen

Angriffe melden 120Antivirussoftware 129Eigene E-Mail-Adresse wechseln 124Erkennungsprozess 114Gestaffeltes Schutzsystem 130Grundlegende Vorsichtsmaßnahmen 12,

112Header anzeigen 109Header untersuchen 74Kentnisse vermitteln 129Kombination mehrerer Maßnahmen

136Konfiguration 126Kritische Analyse des Nachrichteninhalts

37Muster der persönlichen E-Mail-Kom-

munikation kennen 125Nach einem Angriff 13, 142Passwörter 129Quelltext anzeigen 110Quelltext untersuchen 80Reaktionen 119Rückfrage beim Absender 84

McCumbers, John 135McMillan 54Medikamente 51Memetische Angriffe 69Mem-Propaganda 69Message-ID 77Mother Asetou 32MTA 95

N

National Rifle Association 53Netflix 71

Nigeria-BetrugPrinzip 17Täter 70

Notebook 90

O

Onlinedating 18, 52Opera 65Organisationskultur

Akzeptanz von Änderungen 138Atmosphäre des Vertrauens 141Belohnungssystem 140Positive und negative Auswirkungen 139

P

Passwort 65Aufbau 100Generierung 101Struktur 99

Passwörter 129Phishing 60, 61

Capital One 48Definition 16, 24Netflix 71Psychologie 67Spear-Phishing 68Stromzählerschwindel 71

PIN 57POP3 88

Funktionsweise 88Sicherheit 93SSL. Siehe POP3S

POP3S 94Postausgangsserver. Siehe SMTPPosteingangsserver. Siehe POP3Post Office Protocol. Siehe POP3

Q

Quelltext 80, 110

159Stichwortverzeichnis

R

Rechtschreibung 40, 44Religiöse Gefühle 32Reply-To 76RfC

1939 882595 943501 905321 94

Risikomanagement 135Rizin 14Rohdaten untersuchen

Header 74, 109Links 81, 111Möglichkeiten auf den verschiedenen

Plattformen 21, 110Quelltext 80, 110Rumpf 79

S

Schädliche NachrichtenAbsender 69Absichten 71Arten 26Arten von Inhalten 69Ausrichtung auf das Ziel 68Beispiele 30Definition 22Erkennen 114Gefälschte Absenderangabe 29, 46, 69Grundlegende Vorsichtsmaßnahmen 12,

112Hauptziele 68Indizien 116Kritische Analyse 37Nachahmungen legitimer E-Mails 27Vorgehensweisen 25Widersprüche 36

SchadsoftwareAnhänge 50Antivirussoftware 129

Secure Sockets Layer. Siehe SSLSicherheit

Anhänge öffnen 28, 84Antivirussoftware 129Automatisches Laden von Bildern 128Eigene E-Mail-Adresse wechseln 124Gestaffeltes Schutzsystem 130Grundlegende Maßnahmen 12, 112HTML-Format 127Intelligente Absenderanzeige 128Konfiguration 126Muster der persönlichen E-Mail-Kom-

munikation kennen 125Passwörter 129Rückfrage beim Absender 84Situationsbewusstsein 113Technische Hilfsmittel 137Umgang mit Anhängen 83Wahre Absenderadresse herausfinden 78Wahres Ziel von Links herausfinden 81,

110Simple Mail Transfer Protocol. Siehe

SMTPSituationsbewusstsein 113Smartphone 90SMTP 94Social Media 18

Like-Farming 58Spam 25, 60, 61

Spamscore 76Technische Hilfsmittel 125Tricks, um Software zur Spamerkennung

zu verwirren 39Spanischer Gefangener 17Spear-Phishing 68Speicherplatz 89Spendenaufrufe 17Spontane emotionale Wirkung 42Spyware 60SSL 87Stromzählerschwindel 71


T

Tablet 90Targeted Malicious Email 68Täter 69Technische Hilfsmittel

Akzeptanz in der Organisation 138Einführung 123Einsatz während eines Angriffs 114Finanzielle Aspekte 137Grenzen 133Konfiguration 126Spamfilterung 125Staffelung 137

tinyurl 20TLS 87TME 68Transport Layer Security. Siehe TLSTrojaner 59, 60, 63

U

UCE. Siehe SpamUmgekehrte PIN-Eingabe 57Unprofessionelles Aussehen 40Unsolicited Commercial Email. Siehe

SpamUnTargeted Malicious Email 68URL-Shortener. Siehe KurzlinksUS-Postgesetz 15UTME 68

V

Verbreitungskanäle 19Verschwörerisches Element 43Virus 63Vitale, Adam 70VoIP 65Vorschussbetrug. Siehe Nigeria-Betrug

W

Webserver 63Wegwerfadresse 106Wells Fargo 49WeTransfer 89Widersprüche erkennen 36, 47WLAN 65

X

X-SpamScore 76

Y

YARPP. Siehe Yet Another Related Posts Plugin

Yohimbe 52

Z

Zed Attack Proxy. Siehe ZAPZip-Dateien 50, 82Zombie-Rechner 62Zufallstext 39


E-MailSchützen Sie Ihr E-Mail-Postfach vor Trojanern,Viren und gefährlichen Anhängen.

Hacking

Sicherheitfür alle E-Mail-


„Ich schick's dir gleich per E-Mail“ – und schon ist dieE-Mail im Postfach des Empfängers. 196,3 MilliardenE-Mails wurden im Jahr 2014 täglich in der Welt ver-sendet. Hacker haben E-Mails längst als Angriffszielausgemacht und nutzen die Unwissenheit und Be-quemlichkeit der Nutzer aus. Die dadurch entstehen-den Schäden sind riesig. Mit etwas Hintergrund-wissen können Sie beruhigter Ihre E-Mails öffnen,Ihre Daten schützen und ruhiger schlafen.

Wenige Regeln für mehr Sicherheit beim MailenEs passiert immer wieder, und jeden kann es treffen: Einevermeintlich harmlose E-Mail entpuppt sich als Schädling.Auch wenn der Inhalt der E-Mail nur einen Klick entfernt ist:Sie sollten die E-Mail vorher prüfen. Was sind schädliche E-Mails, und welche Arten gibt es? Anhand von Beispielen lernen Sie solche E-Mails kennen, und Sie erfahren, wie Siediese E-Mails erkennen. Mit etwas technischem Hinter-grundwissen können Sie eine E-Mail schnell kontrollierenund besser einschätzen, ob Sie dem Absender vertrauenkönnen oder eben nicht.

Julie J. C. H. Ryan Cade Kamachi

E-MailHacking

Ryan

/Kam

achi

E-Mail H

acking

Aus dem Inhalt:• Definition und Kategorienvon schädlichen E-Mails

• Beispiele für schädlicheE-Mails

• E-Mail-Exploits

• Lernen Sie Ihren Feind kennen

• E-Mail-Grundlagenund -Protokolle

• Passwortstruktur

• Zweite E-Mail-Adresse

• Zugriff auf verborgeneInformationen

• Schädliche E-Mail-Nachrichten erkennen

• Gestaffeltes Schutzsystem

Besuchen Sie unsere Website www.franzis.de

Besonderheiten auf mobilen Endgeräten werden auch behandelt.

„Vorsicht bei vermeintlichenE-Mails von der DeutschenBank: Derzeit wollen Betrü-ger unter falschem Namendie Bankdaten von Kundenergattern. Die Anfragensollte man am besten direkt löschen.“ (SPIEGEL ONLINE, 22.06.2015)

„Beim Cyberangriff auf denDeutschen Bundestag sindauch E-Mail-Daten kopiertworden. Das bestätigt einParlamentssprecher nun.“(SPIEGEL ONLINE, 19.06.2015)



� Schädliche E-Mails anhand von realen Beispielen erklärt� Aufbau und Funktionsweise von E-Mails verständlich dargestellt� Besonderheiten mobiler Endgeräte verstehen

60392-8 U1+U4 2 07.07.15 13:55 Seite 1

Documents

Julie J. C. H. Ryan / Cade Kamachi E-Mail Hacking · sendet. Hacker haben E-Mails längst als Angriffsziel ausgemacht und nutzen die Unwissenheit und Be-quemlichkeit der Nutzer aus