Das Internet ist zwar nichts Neues mehr und entwickelte sich in einem rasanten Tempo, dennoch herrschen dort nach wie vor regelrechte Wildwest-Manieren, wenn es darum geht, den Nutzer auszuspähen oder gar auszunehmen. Waren ursprünglich mal Cookies das große Übel, wurden die schon längst durch Tracker ersetzt. Phishing und Trojaner machen dem unbedarften Nutzer zudem das Leben schwer und weniger Versierte denken, sie seien mit einem guten Antivirusprogramm bestens geschützt. Ein Irrglaube, wie sich in der Vergangenheit oft zeigte, denn gerade diese Schutzprogramme erwiesen sich oft als Einfallstor für Trojaner. Außerdem schützen sie im Internet nur wenig bis gar nichts.
Der digitale Fingerabdruck
Das US-amerikanische National Institute of Standards and Technology (NIST) empfieht daher den Einsatz von risikobasierter Authentifizierungs-Technik. Die abgekürzt nur RBA genannte Technik soll Identitätsdiebstahl vorbeugen, ohne dabei auf die Mithilfe des Anwenders angewiesen zu sein. Dazu werden, ähnlich wie bei Werbetrackern auch, bestimmte Nutzerdaten wie zum Beispiel Browserversion, Bildschirmauflösung, Herkunftsland bis hin zu auf dem Rechner installierten Schriftarten oder der mittleren Tippgeschwindigkeit des Anwenders erhoben und als Art Identitätscharakteristika gespeichert. Mit diesem gesammelten Datenbestand wollen Anbieter wie Google, Amazon und Co. den richtigen Benutzer wiedererkennen und sollte eine Anfrage trotz korrektem Passwort zu weit von dieser Charakteriska, also dem digitalen Fingerabdruck, abweichen, schlägt RBA Alarm!
Bei Google wird meist eine Warnmail verschickt, die einen darüber aufklärt, dass sich jemand in seinem Account einloggte. War man das selbst, kann man die Mail geflissentlich ignorieren oder falls man das doch nicht war zumindest reagieren. Inwieweit Google dann darauf eingeht? Nichts genaues weiß man nicht, macht so etwas doch tatsächlich Mühe. Aber lassen wir den Spaß beiseite. Weicht der digitale Fingerabdruck noch weiter von der gespeicherten Vorlage ab, dann greifen andere Sicherheitsmerkmale, wie zum Beispiel eine SMS mit einer Codenummer, die an die im Profil hinterlegte Handynummer geschickt wird. Nur wer diesen Code eingeben kann, wird zu seinem Account durchgelassen. Diese Form der Zwei-Faktoren-Authentifizierung klingt also sehr sicher, wobei man bedenken sollte, dass zur Erstellung eines solchen digitalen Fingerabdrucks nunmal viele Daten des Nutzers gesammelt werden, was die RBA selbst allerdings auch in Datenschutzhinsicht bedenklich macht. Wie genau die RBA bei den Anbietern umgesetzt wird und welchen klar definierten Regeln sie unterliegt, darüber schweigt die Onlinewelt sich gerne aus. Ein derart klandestiner Umgang muss aber auch nichts Schlechtes sein, denn wenn man seine Geheimnisse allzu offen preisgibt, kann man auch gleich dem Einbrecher einen Schlüssel an die Haustür kleben.
Genesis: Wolle Identität kaufe?
Wie immer, wenn sich eine neue Technik ergibt, versuchen Hacker deren Schwachstelle zu finden und Kriminelle nutzen diese dann aus. Und so hat sich die Szene schon längst auf das Knacken von RBA eingeschossen. Der Sicherheitsexperte Kaspersky berichtete schon 2019 von dem „Genesis Marktplatz", einem Onlinehändler für digitale Identitäten, der mit der sogenannten Impersonation-as-a-Service (ImpaaS) Technik eine besonders perfide Art des Identitätsdiebstahls Kasse macht. Man kann auf dem Genesis Marktplatz schon ab ca. 40 $ komplette Fingerabdrücke eines ausgespähten Nutzers erwerben und sich so problemlos als nahezu perfektem Doppelgänger ausgeben. So ist es ein leichtes zum Beispiel bei Amazon etwas zu bestellen, an eine abweichende Adresse liefern zu lassen und das mit dem PayPal-Konto des ahnungslosen Accountinhabers bezahlen zu lassen. Durch die Umgehung von RBA und anderen Identifizierungsmaßnahmen wird es schwer sein, dem Händler oder Zahlungsdienstleister gegenüber seine Unschuld zu beweisen. Somit bleiben betroffene Nutzer am Ende auf dem Schaden sitzen und die Kriminellen freuen sich. Natürlich muss man auch erst einmal in solche gestohlenen Identitäten investieren. Auf Genesis werden mannigfaltige Zugänge gespeichert von einfachen Onlineshops bis hin zu Krypto-Marktplätzen wie Coinbase, die für Cyberkriminelle besonders interessant zu sein scheinen. Solche Fingerabdrücke sind dann natürlich deutlich teurer und können mehrere hundert Dollar kosten. Angesichts dessen, was man dafür einnehmen kann, eine lohnende Ausgabe.
Das trojanische Pferd
Aber wie kommt man überhaupt an solche Daten heran? Durch einen Trojaner. Der war bis vor kurzem ein mittlerweile Bekannter namens AZORult. Diesen Trojaner fing man sich gerne durch kostenlose Angebote im Internet ein, bspw. ein animiertes GIF verkleinern oder ein Video konvertieren etc. Kostenlose Dienste, die mit einem Download einhergehen sind da immer stark dabei, vor allem, wenn sie aus eher obskuren Quellen stammen. Lautet eine Domain auf eine Länderkennung wie .ml oder .tl würde ich lieber die Finger davon lassen. Leider sind auch Streamingdienste eine gern genutzte Virenschleuder. Und beileibe nicht nur gewisse Pornoportale. Die Entwicklung von AZORult wurde aber offensichtlich eingestellt, nachdem er zu bekannt und vor allem zu erkennbar wurde. Ersetzt wurde dieser Trojaner offenbar durch einen anderen bislang nicht erkennbaren Trojaner. Experten rätseln noch immer, wie sich dieser verbreitet und wo er sich auf den Geräten versteckt. Das Spektrum der Möglichkeiten reicht dabei von Malspam-Kampagnen bis hin zu Pay-per-Install-Deals. Ein wirksames Mittel dagegen haben sie bis heute (Stand: März 2021) noch nicht gefunden.
Was heißt das für uns?
Die neuen Umstände bedingen also, dass man sich an eine neue, andere und vielleicht sicherere Authenfizierung einstellen müsste. Die Zwei-Faktoren-Authentifizierung, die immer noch von vielen Loginmuffeln als zu mühselig empfunden und daher nicht genutzt wird, sollte einer Multifaktor-Authentifizierung weichen. Aber auch die basiert meist auf lokal gespeicherten Daten und auch die können ausgelesen werden. Der Aufwand dazu wäre bestimmt größer, aber es ist nicht unmöglich und deshalb wäre auch hier nur der Diebstahl der Identität aufgeschoben. Seit einigen Jahren wird an einer Technik namens FIDO2 gearbeitet, die auf einem sog. Challenge-Response-Verfahren aufbaut. Da gibt es keine gespeicherten Daten, die gesendet oder sonstwie abgegriffen werden könnten. Man muss schon physische Kontrolle über den Sicherheitsschlüssel haben, wie zum Beispiel via USB-Sticks oder PCs, Laptops und Smartphones in deren Hardware FIDO2 implementiert wäre. Mit der heutigen RBA reduziert man zwar die Anzahl der Missbrauchsfälle, aber genaugenommen ist das auch nur ein Tropfen auf den heißen Stein. Mit dem Einsatz von FIDO2 könnte man das Netz sicherer und es den Kriminellen schwerer machen. Auch wenn ich persönlich da weniger optimistisch in die Zukunft schaue, denn wie eingangs erwähnt, wird es wohl nur eine Frage der Zeit sein, bis man auch hier eine Schwachstelle findet, die man dann ausnutzt.
Wie denkt ihr darüber? Ich würde mich über eure Ansichten in den Kommentaren freuen.