Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Offener Brief an alle Bankhäuser

Samstag, 20. August 2011, 0:05 Uhr

Werte Entscheider bei den Kreditinstituten,

ihnen ist sicherlich bekannt, wie groß der durch Internet-Kriminalität angerichtete Schaden wirklich ist. Ich habe keine präzisen Zahlen, aber ich kann aus der Beobachtung einiger betrügerischer Vorgehensweisen erschließen, dass dieser Schaden groß sein muss.

Von daher muss es auch in ihrem Interesse liegen, im geschäftlich genutzten Internet ein Umfeld zu schaffen, in welchem Spammer, Phisher und sonstige Betrüger nicht leicht einen falschen Eindruck erwecken und ausbeuten können. Deshalb müssen sie doch alles dafür tun, dass niemals ein Spammer, Phisher oder sonstiger Betrüger ihren Kunden gegenüber erfolgreich den falschen Eindruck erwecken könnte, dass seine Mitteilungen von einem Kreditinstitut kommen.

So habe ich bislang immer gedacht.

Und deshalb habe ich hier, in diesem Blog über meine tägliche Spam, auch stets geschrieben, dass Banken alle technischen Möglichkeiten ausschöpfen würden, um zu verhindern, dass Kriminelle in betrügerischer Absicht den Eindruck erwecken könnten, ihre Mitteilungen seien die Mitteilungen einer Bank.

Dass es anders sein könnte, ist mir niemals in den Sinn gekommen.

Leider ist es – wenigstens in einigen Fällen – doch anders, wie mir vor wenigen Stunden von einem Leser mitgeteilt wurde. Dieser bekam von seiner Bank eine Mitteilung über E-Mail, die nicht kryptografisch signiert war. Ihm ist damit – neben dem für Laien eher unüblichen Blick in die Header der Mail – keine einfache Möglichkeit gegeben worden, die Authentizität des Absenders sicher festzustellen. Es wäre für einen „normalen“ Internetnutzer schwierig gewesen, zu entscheiden, ob der Absender echt ist, oder ob es sich um eine Fälschung handelt. Zudem ist ihm überhaupt keine Möglichkeit gegeben worden, die inhaltliche Integrität der Mitteilung zu überprüfen. Jeder Computer, über den diese Mail bei der Zustellung gelaufen ist, hätte unentdeckbare inhaltliche Manipulationen vornehmen können. Dass die Rechner im Internet, über die eine derartige Mail läuft, „Opferrechner“ sind, die vielfachen Angriffen unterliegen, gehört zu den Dingen, die wenigstens in ihrer IT-Abteilung wohlbekannt sein sollten.

Mit Verlaub: Ich finde diese Leichtfertigkeit unfassbar dumm.

Die Verwendung einer digitalen signierten Mail hätte sowohl die Authentizität des Absenders als auch die inhaltliche Integrität jenseits jeden vernünftigen Zweifels sicher gestellt.

Es handelt sich dabei nicht um eine schwer beherrschbare „Raketentechnologie“, sondern um einen Standard des Internet, für den bewährte Softwarewerkzeuge zur Verfügung stehen. Die Verwendung digitaler Signaturen lässt sich in gängige Mailsoftware integrieren. Sie lässt sich ebenso leicht in automatisierte Prozesse integrieren. Beides verursacht nicht einmal große Kosten. Die Verwendung ist aus Nutzersicht einfach. Es entstehen auch keine Nachteile, wenn ein Kunde aus irgendeinem Grund eine Mailsoftware benutzt, die keine digitalen Signaturen verarbeiten kann, wenn man von einer Passage wie…

—–BEGIN PGP SIGNATURE—–
Version: GnuPG v1.4.11 (GNU/Linux)
Comment: Using GnuPG with Mozilla – http://enigmail.mozdev.org/

EiYEARECAAYFAk5vOvQACgkQKuT/O4qfc5oOLgCfX6j8AYedTd5Gp/Y7yQsDbxS1
vfAAoJFNBsp1vsfcg+MrhOTj0WII4iSr
=sg5k
—–END PGP SIGNATURE—–

…am Ende der Mail einmal absieht. (Hier am Beispiel einer PGP-Signatur dargestellt.) Selbst diese zunächst unschön aussehende Passage gibt nach Benutzung einer Internet-Suchmaschine immer noch Aufschluss darüber, dass Absender und Inhalt der Mail überprüft werden können. Die Verwendung digitaler Signaturen hat nur Vorteile. In geschäftlichen Beziehungen, in denen es um das doch immer etwas heikle Thema Geld geht, erachte ich es als ein Muss, dass Quelle und Inhalt der Kommunikation gesichert sind. Ich kann mir keinen einzigen Grund vorstellen, warum ein auf Seriosität und das Vertrauen seiner Kunden – und damit natürlich auch auf „gefühlte“ Sicherheit – bedachtes Kreditinstitut in diesen wichtigen Punkten zu einer anderen Auffassung kommen kann.

Die namentliche Ansprache des Kunden nebst Kontonummer und die Aufführung seiner Adressdaten führt hingegen zu keinerlei Sicherheit. Allein in diesem Jahr sind viele Millionen vollständige Datensätze mit Name, Anschrift, E-Mail-Adresse und Bankdaten wegen der Fahrlässigkeit einiger Unternehmen in die Hände von Kriminellen gelangt, was auch zu einem gewissen Medienecho führte. In wie vielen Fällen solche Daten unbemerkt und damit auch ohne Medienecho abgegriffen werden und auf einem illegalen Markt in die Verfügungsgewalt zwielichtiger Zeitgenossen gelangen, gehört zu den Dingen, über die nur spekuliert werden kann.

Sie müssen als Kreditinstitut davon ausgehen, dass sie zurzeit etliche Kunden haben, von denen in Kreisen der organisierten Kriminalität bekannt ist, dass es sich um ihre Kunden handelt, wie diese Kunden heißen, wann diese geboren wurden, welche Mailadresse und Kontonummer sie haben und wo sie wohnen. Selbst eine individuelle Ansprache ihrer Kunden ist damit in vielen Fällen leicht zu fälschen, um den Eindruck zu erwecken, eine E-Mail stamme von ihrem Kreditinstitut. Die Personalisierung der Mitteilungen ist also bei Weitem nicht hinreichend, um eine Mail in einen ihrer Kunden als authentisch zu kennzeichnen. Kurz und noch einmal das Gleiche: Es gibt keine Alternative zur digitalen Signatur in der elektronischen Kommunikation.

Da ist es doch umso besser, dass es sich um einen gut funktionierenden Standard handelt, der kaum zusätzliche Kosten verursacht und mit Leichtigkeit anzuwenden ist. Für den es getesteten, bewährten und robusten Bibliothekscode für jede Programmiersprache gibt, die sie in ihrem Haus vewenden. So dass die Verwendung digitaler Signaturen nicht das geringste Problem bereitet.

Zumal der Verzicht auf digital signierte Mail in der Kommunikation mit den Kunden einen schweren Nachteil hat. Ihre Kunden werden daran gewöhnt, dass der Absender und die inhaltliche Integrität ihrer Mails nicht überprüft werden kann; ihre Kunden werden auf diese Weise in einer Haltung der Gläubigkeit geschult. Auf der Grundlage dieser Gläubigkeit entsteht jedoch allzu leicht jene Leichtgläubigkeit, die von kriminellen Zeitgenossen für betrügerische Manipulationen ausgenutzt wird und die große Schäden verursachen kann. Das wahre Ausmaß dieser Schäden müsste ihnen bei den Kreditinstituten ja bekannt sein.

Ja, ich würde mich sogar zu der Aussage hinreißen lassen: Wenn sie als Kreditinstitut nicht grundsätzlich jede Mail an ihre Kunden digital signieren, sind sie am Phishing über E-Mail-Spam zu einem erheblichen Anteil mitschuldig. Ich kann mir übrigens als juristischer Laie vorstellen, dass ein Jurist zu einem ähnlichen Urteil kommt, wenn er den Unterschied zwischen der Interpretation eines technischen Mailheaders in einer Quelltextansicht der Mail und einer in die Mailsoftware nahtlos integrierten Anzeige der korrekten Signatur und einer Schlüsselverwaltung in einer grafischen Benutzeroberfläche beurteilen soll – zumal die Verwendung digitaler Signaturen alles andere als eine unzumutbare technische Herausforderung ist.

Denken sie bitte darüber nach, bevor die inzwischen massenhaft verfügbaren Datensätze für perfide kriminelle Angriffe benutzt werden! Und treffen sie eine gute Entscheidung, beginnen sie damit, die Mails an ihre Kunden digital zu signieren!

Mit freundlichen Grüßen

Der Nachtwächter

4 Kommentare für Offener Brief an alle Bankhäuser

  1. cassiel sagt:

    -> Unser täglich Spam » Informatives

    Tja, das ist so eine Sache mit der Kryptographie. Ich benutze ja schon PGP seit der legendären Version 2.6.3 und aktuell GnuPG. Aber diejenigen die sowohl in der Lage als auch willens sind damit mit mir zu kommunizieren kann ich an einer Hand abzählen. Und durchgesetzt hat sich das im Alltagsgebrauch selbst bei diesen nicht.

    Ich habe auch mal versucht das jemandem mit „normalen“ IT-Fähigkeiten (kein DAU) zu vermitteln. Es war ein totales Fiasko. Und wenn ich bei meiner Bank aktuell lese, dass sie keinen Support für Browser unter Linux anbieten, dann brauche ich denen mit verschlüsselten und signierten E-Mails gar nicht erst kommen.

    Man macht sich als jemand für den Verschlüsselung das Normalste auf der Welt ist (oder sein könnte) keine Vorstellung was das für ein Buch mit sieben Siegeln für „normale“ User (Banken eingeschlossen) ist.
    Das ist mMn auch ein Problem der Entwickler: sie machen sich keine Vorstellung wie kompliziert ihre Programme für einfache Anwender sind und welche realen Bedürfnisse diese jenseits der Entwickler-Paranoia haben. Und wenn man praktikable Konzepte wie das des Briefumschlags vorschlägt, erntet man nur Unverständnis und will weiter paranoid Tresore für Staatsgeheimnisse verschicken. Unter diesen Voraussetzungen wird sich an dieser verfahrenen Situation nicht viel ändern.

    Und wo wir hier schon beim Thema Spam sind: diese Problematik scheint an den Entwicklern von GnuPG vollkommen vorbei gegangen zu sein. Noch immer muss ich für eine Schlüsselpaar-Generierung eine E-Mail Adresse angeben. Dass ich mit Veröffentlichung des öffentlichen Schlüssels diese damit zum Abschuß freigebe, kommt denen nicht in den Sinn. Es hat schon seinen Grund warum in praktisch allen Blogs und Foren – so auch hier – E-Mail Adressen nicht mehr veröffentlicht werden. Und so bleibt die E-Signatur auch hier außen vor. Eigentlich könnte man sich mittels PGP/GnuPG Signatur im ganzen Netz eindeutige Identitäten zulegen. Nur dazu müssten die Schlüsselpaare von E-Mail Adressen unabhängig sein. Ironischerweise wird gerade die E-Mail Adresse mittlerweile als pseudo-geheimes Passwort zur unsicheren User-Identifikation verwendet.

  2. […] was rege ich mich schon wieder auf! Warum solltest du es auch besser machen als diese ganzen anderen Banken, die nicht so sehr auf Internet machen?! […]

  3. […] wäre an den Geschäftstreibenden im Internet, die Situation zu verbessern. Die konsequente Verwendung digital signierter Mails in der Kommunikation und die Aufklärung der Kunden über Zweck und Nutzung digitaler Signaturen würde den Phishern […]

  4. […] bei Em­pfän­gern von kri­mi­nellen Phishing-Spams zu ver­hin­dern, habe ich schon vor vier Jahren ge­schrie­ben und werde es hier nicht wie­der­holen. Dass die meis­ten Banken immer noch nichts tun, […]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert