Mit moderner Technologie gegen Online-Betrug
Wie sich Identitäten zuverlässig schützen lassen
Daten- und Identitätsdiebstahl stellen sowohl für private als auch berufliche Internetnutzer ein allgegenwärtiges Sicherheitsrisiko dar. Oftmals reichen bereits Name und Postanschrift einer real existierenden Person, damit sich Betrüger illegal bereichern können. Als Phishing wird dabei das gezielte Abgreifen von sensiblen Nutzerdaten bezeichnet – die Methoden der Betrüger hierfür sind vielfältig und werden ständig ausgebaut. Um diesen Gefahren zu begegnen, können innovative, dennoch im Alltag einfach einzusetzende Technologien genutzt werden – dazu gehören eine digitale Identität, elektronische Signaturen und elektronische Siegel.
Bei jeder Online-Registrierung mit Nutzername und Passwort wird jeweils ein eigenständiger digitaler Account erzeugt. Das hat einerseits zur Folge, dass sich über die Jahre der Internetnutzung bei den meisten Anwendern unzählige Login-Kombinationen angesammelt haben. Aus Bequemlichkeit tendieren Nutzer dazu, dasselbe Passwort mehrfach, möglichst einfache Buchstaben-Zahlen-Kombinationen oder sogar beides gleichzeitig zu verwenden. Dieses Problem lässt sich zwar mit der Nutzung eines Passwort-Managers vermeiden, doch oftmals spielt hier der Datenschutz eine Rolle: Jeder der neu angelegten Accounts wird wiederum dazu verwendet, Daten über die Nutzer zu sammeln, die letztlich wieder in die Hände von Kriminellen gelangen können.
Dieser Gefahr lässt sich mit einer selbstverwalteten Identität (Self Sovereign Identity, SSI) begegnen, da diese nach dem Grundsatz der Datensparsamkeit arbeitet. Hinter diesem Konzept steckt ein sogenanntes Vertrauensdreieck aus Herausgeber, Besitzer und Prüfer von Identitäten. Herausgeber bezeichnet die Quelle der Referenzen, beispielsweise staatliche Einrichtungen (Ausweise), Finanzinstitute (Kreditkarten), Universitäten (Abschlüsse), Unternehmen (Arbeitszeugnisse) oder NGOs (Mitgliedsausweise). Besitzer verfügen über diese Referenzen, bewahren sie in digitalen Wallets auf und können sie bei Bedarf vorlegen. Besitzer von Referenzen können Anfragen von Prüfern allerdings auch jederzeit ablehnen. Außerdem müssen nicht die vollständigen Referenzen übermittelt werden, sondern es lassen sich daraus die relevanten Informationen extrahieren – beispielsweise eine bestimmte Note in einem Zeugnis. Innerhalb des Vertrauensdreiecks findet keine direkte Kommunikation zwischen Herausgeber und Prüfer statt. Das wäre etwa bei Arbeitszeugnissen wichtig: Arbeitnehmer möchten in bestimmten Fällen vermeiden, dass der (noch) aktuelle Arbeitgeber erfährt, an welches Unternehmen die nächste Job-Bewerbung eingeschickt wird.
Herkunft von Anschreiben sicher verifizieren
Wie der Branchenverband der deutschen Informations- und Telekommunikationsbranche Bitkom errechnet hat, bekam im Jahr 2021 jeder zweite Berufstätige in Deutschland über 26 Mails pro Tag. Bei allem technischen Aufwand, der betrieben wird, um E-Mail-Virenfilter und Co. konsequent „up to date“ zu halten, ist und bleibt der Mensch das größte „Datenleck“. Gerade für Unternehmen als Arbeitgeber gilt die traurige Realität, dass das größte Risiko für Cyberkriminalität von den Mitarbeitern selbst ausgeht.
Daher fließt im Zuge von Spam- und Phishing-Aktivitäten viel kriminelle Energie in das Fälschen möglichst seriös wirkender Kommunikation zwischen Betrüger und potenziellem Opfer. Dabei gehen die Kriminellen immer professioneller vor und zum Beispiel betrügerische Mails oder SMS sind nicht direkt erkennbar.
Um digitale Kommunikation zweifelsfrei einer Person oder einem Unternehmen zuzuordnen, können elektronische Signaturen (FES – fortgeschrittene elektronische Signatur beziehungsweise QES – qualifizierte elektronische Signatur) oder elektronische Siegel zum Einsatz kommen. Die Signatur ist dabei an eine natürliche Person geknüpft – etwa einem Mitarbeiter im Unternehmen, während ein Siegel einer juristischen Person oder Institution zugeordnet ist, sprich dem Unternehmen selbst. Das Funktionsprinzip hinter beiden Varianten, die sogenannte asymmetrische Kryptografie, klingt zuerst sehr kompliziert, lässt sich aber einfach darstellen. Für die Erstellung einer QES oder eines elektronischen Siegels (Verschlüsselung) wird ein privater Schlüssel benötigt. Zum Prüfen dieses Nachweises (Entschlüsseln) dient ein öffentlicher Schlüssel. Der Zusammenhang zwischen den Schlüsselpaaren wird über eine schwer umkehrbare mathematische Operation hergestellt, die einen enormen Rechenaufwand bedeutet. Das heißt: wer vom öffentlichen Schlüssel auf den privaten Schlüssel schließen will, müsste über einen Supercomputer und sehr viel Zeit verfügen. Daher lohnt es sich in der Praxis schlicht nicht, dieses System anzugreifen. Das macht die asymmetrische Kryptografie so sicher. Denn grundsätzlich gilt: qualifizierte elektronische Signaturen sind einer Unterschrift auf Papier rechtlich in vielen Fällen gleichgestellt, was allen involvierten Parteien nicht nur ein Gefühl von Sicherheit gibt.
Nicht zu verwechseln sind die hier beschriebenen elektronischen Signaturen im Zuge von E-Mail-Verkehr mit der oftmals üblichen E-Mail-Signatur unter dem geschriebenen Email-Text, wie sie meist in der beruflichen Kommunikation stattfindet. Diese gilt als einfache elektronische Signatur (EES) und enthält lediglich Kontaktinformationen des Absenders, erfüllt aber keine Funktion im Sinne einer sicheren digitalen Kommunikation.
Flächendeckende Anwendung notwendig
Wer eine dienstliche E-Mail elektronisch signiert, zeigt Kunden, Partnern und Kollegen, dass das Thema Sicherheit in der Geschäftskommunikation die notwendige Beachtung findet. Das schafft letztlich Sicherheit und damit beiderseitiges Vertrauen. Wer zusätzlich noch seine Login-Daten mit einer selbstverwalteten Identität schützt, tut viel, um den Herausforderungen im Zuge der Daten- und Identitätssicherheit zu begegnen. Denn diese innovativen Technologien helfen sowohl Unternehmen als auch Privatpersonen, um Betrügern einen Schritt voraus zu sein.
Dr. Paul Muntean, Senior Cyber Security Solution Architect bei Swisscom Trust Services