Hin und wieder befinden sich in unseren Posteingängen suspekte E-Mails. Schlechtes Deutsch, dutzendweise Ausrufezeichen – glasklar: Wieder eine dieser Betrugsmails, um an sensible Daten zu gelangen. Was ist jedoch, wenn sie so gut gemacht sind, dass plötzlich die gesamte Uni am Haken hängt? Michael Menge arbeitet beim Zentrum für Datenverarbeitung (ZDV) an der Universität Tübingen und ist für unser Mailsystem zuständig. In einem Interview legt er das Phishing-Handwerk von Cyberkriminellen offen und erklärt, wie wir es schaffen, unsere Universität besser zu schützen.
Kupferblau: Herr Menge, räumen wir zunächst einmal mit den Gerüchten auf. September 2020 gab es an unserer Universität eine Phishing-Kampagne. IT-Expert*innen vermuteten, die verantwortliche Hackergruppe hatte eine Verbindung zu dem iranischen Geheimdienst. Es konnte nie bewiesen werden. Auch eine Universität in NRW soll 2003 von der NSA bespäht worden sein. Was hat es damit auf sich? Wieso sind unsere Daten interessant für Geheimdienste?
Herr Menge: Grundsätzlich: An einer Universität wird geforscht. Daher, das muss man einfach sagen, gibt es Informationen, die von Interesse für andere Länder sind. Edward Snowden hat aufgezeigt, dass Geheimdienste weltweit sehr aktiv sind, was die Überwachung von Nutzern angeht. Daher gehe ich davon aus, dass durchaus auch an Universitäten spioniert wird. Aber gezielt nachweisen lässt sich das, wie Sie gesagt haben, vermutlich nicht ohne Weiteres. Während ein Angriff durch klassische Phishing-Mails relativ offensichtlich ist, fällt lange Zeit überhaupt nicht auf, dass sich Geheimdienste im System befinden. Die Kriminellen haben das Ziel, schnell Geld zu machen. Geheimdienste hingegen haben den längeren Atem, mehr Geld und bessere Hardware, die sie zum gezielten Angriff nutzen können. Von daher ist es, was Geheimdienste angeht, viel Spekulation. Um tatsächlich genaue Sachen zu erfahren, benötigt es Whistleblower, die darüber Auskunft geben.
Geheimdienste sind die eine Sache, „klassische Betrüger“ eine andere. Wer steckt hinter ihnen?
Das Erste, was ich vermute, sind kriminelle Organisationen, die über Betrugsmails an Geld kommen möchten. Wer eigentlich hinter einem Angriff steckt, ist nicht wirklich feststellbar. Es ist ein generelles Problem im Internet. Wir sehen, dass zum Beispiel von missbrauchten Accounts anderer Einrichtungen Phishing-Mails an unsere Nutzer versandt werden. Die Zugriffe zum Versand der Mails kommen von Rechnern aus China, Russland, Amerika. Aber das sind dann im Zweifelsfall auch wieder nur gehackte Rechner, die selbst dazu missbraucht wurden, Angriffe zu starten. Anhand des Ursprungs einer Mail lässt sich also nicht sagen, wo der Angriff herkommt, geschweige denn, wer dahintersteckt.
Und was ist das Ziel der Betrüger?
Es geht bei den meisten Betrugsmails darum, direkt an Geld ranzukommen, oder aber an relevante Informationen zur Gestaltung besserer Betrugsmails. Schließlich dient letzteres auch nur dazu, Geld zu machen.
Das erinnert mich an eine E-Mail, die uns das ZDV im November letzten Jahres zukommen ließ. Uns wurde mitgeteilt, dass LinkedIn-Daten abgeflossen sind.
Genau. Die haben wir verschickt, weil wir Hinweise bekommen haben, dass auch unsere Nutzer davon betroffen sind. Mit diesen Informationen verfassen Betrüger authentischere Betrugsmails. Um ein Beispiel anzubringen: Eine E-Mail mit Schadsoftware sah so aus, als wäre sie eine Antwort auf eine Nachricht bezüglich eines Bauprojekts. Allein, dass der Text der Original-Mail in der Betrugsmail integriert war, erhöhte die Wahrscheinlichkeit, dass man dachte, das Projekt kenne ich. Dann klickt man auf den Link, oder öffnet den Anhang und schon hat man sich Schadsoftware eingefangen.
Ich habe mich auf der Webseite des ZDV umgeschaut. Dort gibt es eine Anleitung zur Erkennung von Phishing-Mails. Diese ist von 2012. Hat sich in der Praxis der Betrüger*innen in den letzten 10 Jahren etwas verändert?
Es gibt immer wieder Variationen von Phishing-Mails. Aber vom Grundkonzept her sind sie konstant geblieben. Betrüger versuchen, die Empfänger der Phishing-Mail unter einen zeitlichen Druck zu bringen, um diese zu einer unüberlegten Aktion zu bewegen. Wenn man nicht sofort innerhalb von 24 Stunden reagiert, können keine E-Mails mehr empfangen werden. Wird mit einer sofortigen Sperrung gedroht, ist das schon das erste Verdachtszeichen, dass es sich hierbei um eine Phishing-Mail handelt. Normalerweise haben die Vorgänge an einer Universität nämlich einen gewissen Vorlauf, weil wir wissen: Verträge und Semester werden nicht immer rechtzeitig verlängert. Es gibt also nur wenige Gründe, wieso wir Accounts sofort sperren. In der Vergangenheit war zudem eine geläufige Taktik, dass Nutzer Benutzernamen und Passwort in der E-Mail selbst angeben sollten. In der letzten Zeit hat das abgenommen, weil eine solche Vorgehensweise mit Filtern abgefangen werden konnte. Heutzutage enthalten Phishing-Mails einen Link, mit dem die Nutzer auf eine Login-Seite gelangen. Diese ist der echten Login-Seite des Webmailers nachempfunden. Wenn man sich dort einloggt, sind die Zugangsdaten weg.
Worst-Case-Szenario: Ein Angriff findet erfolgreich statt und es werden massenhaft Daten abgegriffen. Ist ein solcher Schaden im Nachhinein überhaupt quantifizierbar?
Was an Daten abhandenkommt, ist schwer einzuschätzen. Vielleicht fällt ein Angriff auch gar nicht erst auf: Publiziert eine andere Universität bestimmte Forschungsergebnisse vorher, dann hat sie “zufälligerweise” im selben Bereich geforscht und war einen Tick schneller- oder auch nicht. Da hat man leider keinen handfesten Beweis. Gerade Grundlagenforschung lässt sich kaum in Zahlen übersetzen, da sie erst zu einem verkaufsfähigen Produkt weiterentwickelt werden muss. Daher sind die Unsicherheiten und Dunkelziffern im Bereich der unterschlagenen Forschung relativ groß. Sicherlich größer als bei der Industriespionage in Firmen, wo man dann wirklich Zahlen nennen kann.
Finden zurzeit Angriffe auf Ihrem Mailserver statt?
Jeder Server, der im Internet erreichbar ist, wird angegriffen. Das lässt sich realistisch gesehen nicht vermeiden. Das wäre genauso, als würde man fragen: Findet weltweit irgendwo ein Verbrechen statt? Da muss man nur unterscheiden, was man als Angriff wertet. Es wird oftmals versucht, mit Standard-Benutzernamen und -passwort auf Rechner zuzugreifen. Das ist so, als wenn jemand an Häuser geht und schaut, ob die Haustür zufälligerweise gerade auf ist. Auch Sicherheitsfirmen, die sich einen Überblick über mögliche Sicherheitslücken verschaffen möchten, linsen mal rein. Die Frage ist, ob man das schon als Angriff zählt. Also dieses Grundrauschen an Zugriffsversuchen ist immer da und Angriffe über Phishing-Mails finden täglich statt.
Und damit kommen wir schon zum nächsten Punkt: Meine studentische E-Mail-Adresse wurde vor einem halben Jahr auch verwendet, um Login- Daten anderer zu stehlen. Mitbekommen habe ich das nur an der Oberfläche. Vielleicht können Sie mir erklären, was sich da im Hintergrund abgespielt hat.
Als erstes stellt sich für mich natürlich die Frage, wie sind die Betrüger an Ihre Zugangsdaten gekommen? Es gibt zwei Hauptangriffswege, die ich in der Praxis sehe. Einer über die Phishing-Mails. Der andere über Schadsoftwares auf dem Computer, mit denen Passwörter abgefangen werden. Haben die Angreifer einmal Zugriff auf Ihre Zugangsdaten, können sie sich natürlich bei sämtlichen Diensten der Universität authentifizieren. Sie können ihre ganzen E-Mails durchsuchen, sehen, mit wem Sie kommunizieren und durch diese Informationen weitere Angriffe authentischer gestalten. Im Zweifelsfall werden 20.000, 30.000, manchmal auch 100.000 E-Mails versandt. Das ist ein großes Problem für die Universität, weil andere Einrichtungen E-Mails von uns nicht mehr entgegennehmen. Es gibt im Internet sogenannte „Blacklists“, die Systeme auflisten, die in der Vergangenheit negativ aufgefallen sind. Vor etlichen Jahren sind wir auf der Microsoft-Blacklist gelandet, sodass die gesamte Universität 14 Tage lang keine E-Mails an dessen Dienste verschicken konnte. Daher haben wir einen Automatismus eingeführt: Sobald ein Account ungewöhnlich viele Empfänger innerhalb kurzer Zeit anschreibt, hält er Mails automatisch zurück. Das ist bei Ihrem Account auch geschehen. Da wurden vermutlich um die 500 Mails versandt, bis der Mechanismus zugegriffen hat.
Wurden Professor*innen und Mitarbeitende, die mit meinem Account angeschrieben wurden, über den Angriff benachrichtigt?
Wir benachrichtigen nicht alle, die angeschrieben werden. Das ist ein zu großer Aufwand. Und bis man mitbekommen hat, was da passiert ist, wurde die Mail im Zweifelsfall schon gelesen. Die Angreifer nutzen diese Zeitspanne gerne aus und führen ihre Angriffe bevorzugt am Freitagnachmittag aus, um einfach das Wochenende ungestört zu sein.
Das war bei mir ja genauso! Der Zeitpunkt ist also gar nicht beliebig?
Die Angreifer wissen, was wir normalerweise für Arbeitszeiten haben. Manchmal unterlaufen ihnen Fehler bezüglich der Zeitzone, aber es kommt regelmäßig vor, dass Angriffe abends, nachts oder übers Wochenende laufen. Deswegen können wir mit dem Automatismus, der Mails auch über das Wochenende zurückhält, Schaden begrenzen.
Gibt es noch andere Techniken, abgesehen von diesem Automatismus? Sie hatten eben auch Filter angesprochen.
Das Problem ist, dass die Filterung nur besonders gut gegen bekannten Inhalt und Schadsoftware funktioniert. Eine leichte Variation kann schon nicht mehr erkannt werden. Grob gesagt untersuchen Filter, ob eine Mail bestimmte Formalien erfüllt. Hat der Absender eine entsprechende Reputation – sprich ist er auf der Blacklist? Weist die Mail verdächtigen Inhalt auf, d.h. sind überwiegend Großbuchstaben im Betreff? Sind Verschleierungstechniken verwendet worden, um die enthaltenen Links nicht so gut nachvollziehbar zu machen? Normale Spam-Mails kriegt man damit gut. Aber eine Betrugsmail versucht auszusehen wie eine reguläre Mail. Stammt diese dann auch noch von einem missbrauchten Account einer anderen Hochschule mit entsprechend guter Reputation, greifen Filter hier nicht.
Das heißt, es ist unmöglich die Sicherheitslücke bezüglich der Betrugsmails zu schließen?
Absolute Sicherheit im Netz gibt es nicht. Es ist eine Abwägung zwischen: Muss ich bestimmte Dienstleistungen haben und wie viele Einbuße im Komfort und in den Nutzungsmöglichkeiten kann ich hinnehmen? Wenn wir keine E-Mails mehr von außen entgegennehmen würden, wäre unser Mailsystem natürlich sicherer – aber es wäre auch kein Mailsystem mehr. Es gibt immer irgendwelche Sicherheitslücken und Ideen, mit denen Angreifer dann doch noch zum Ziel kommen. Natürlich leistet das Rechenzentrum entsprechende Arbeit. Wir sperren missbrauchte Accounts zeitig und versuchen, auch Webseiten vom Netz zu nehmen, wo bestimmte Phishing-Seiten gehostet werden. Wir können jedoch nicht verhindern, dass Betrugsmails zugestellt werden und ich gehe auch davon aus, dass ich 2022 wieder Accounts sperren muss. Den Nutzern mache ich da aber keinen Vorwurf, wenn sie auf Betrugsmails reinfallen. Die Angreifer setzen Social-Engineering ein – sprich sie nutzen die Eigenheiten des Menschen in der Wahrnehmung und dem Verhalten aus, um sie zu übertölpeln. Was ich dann immer hoffe ist, dass es maximal einmal passiert (lacht).
Die Nutzer*innen tragen dahingehend auch eine gewisse Verantwortung. Welche Tipps haben Sie für unsere Leser*innen, um Phishing-Mails erfolgreich zu erkennen?
E-Mail-Adressen fälschen ist relativ einfach. Das ist so einfach wie das Fälschen von der Absender-Adresse auf dem Briefumschlag. Es gibt aber Sicherheitsmaßnahmen, mit denen überprüft wird, ob es plausibel ist, dass die Mail mit einer bestimmten Absender-Adresse versandt wird. Das ist so ähnlich, als wenn man sagt, in der Absender-Adresse steht eine Münchner Adresse drin – das erste Post-Verteilzentrum ist aber in Berlin. Da stimmt etwas nicht. Deshalb verwenden Angreifer heutzutage eben auch missbrauchte Accounts, wo dann die Mails tatsächlich von den eigentlichen Einrichtungen kommen, um einfach diese Problematik der leicht durchschaubaren E-Mail-Adressen zu umgehen. Häufig zeigen E-Mail-Programme eine Adresse gar nicht mehr vollständig an, sondern nur einen Anzeigenamen. Da muss man einfach mit der Maus über die E-Mail-Adresse hovern, um zu sehen, ob die Mail tatsächlich von dem Absender oder der Absenderin stammt, von dem man sie erwartet. Das Gleiche gilt auch für Links. Und grundsätzlich: Unsere Zugangsdaten werden nur auf Webseiten, wo die Domäne auf „uni-tuebingen.de“ endet, verwendet. Man muss schon gucken, dass sie zur Universität Tübingen gehören und nicht woanders gehostet werden. Ist man sich dennoch unsicher, kann es nicht schaden, verdächtige Mails bei postmaster@uni-tuebingen.de, einem Service der ZDV, zu melden.
In diesem Sinne, haben Sie noch einen Appell an unsere Leser*innen?
Passend zur heutigen Zeit: Gesund bleiben. Sich selbst, den Rechner und seine Zugangsdaten schützen.
Vor Viren (lacht).
Absoluten Schutz gibt es weder gegen Corona noch gegen Betrugsmails. Aber man muss sich so gut wie möglich schützen. Und je mehr man sich selbst schützt, desto mehr schützt man auch andere, weil sich dann entsprechend weniger Schädliches verteilt. Von daher gesund bleiben.
Vielen herzlichen Dank für das Interview, Herr Menge!
Fotos:
Unsplash: Photo by Philipp Katzenber
Unsplash: Photo by Markus Spiske
Titelbild:
pixabay @mohammed_hassan
[…] Unis an der Angel – Wie mit Phishing-Mails Fortschritt geklaut wird […]