Abwehr von Man-in-the-Middle-Attacken
Techniken gegen Onlinebetrug
Vor dem Abschluss von Onlinetransaktionen einen Moment zu zögern und nach Anzeichen von Identitätsbetrug zu suchen, ist heute für den Anwender fast schon selbstverständlich. Allerdings sind betrügerische Machenschaften für den durchschnittlichen Onlinebenutzer immer schwieriger zu erkennen. So sind vor allem die Betreiber von Onlinediensten gefordert, ihre Kunden durch geeignete Technik zu schützen.
Spätestens seit dem Erfolg einer trickreichen Man-in-the-Middle-Attacke (MITM) gegen den
Citibusiness-Service der Citibank geht die Branche davon aus, dass ein durchschnittlicher
Onlinekunde kaum noch eine Chance hat, die aktuellsten Methoden des Onlinebetrugs zu erkennen.
MITM-Strategien erlauben es dem Angreifer, sich in den Informationsfluss zwischen Onlineangebot und
Benutzer einzuschalten und die ausgetauschten Informationen zu lesen, zu modifizieren oder zu
ergänzen – gewöhnlich so, dass beide Seiten nichts davon merken. Der Betrüger, der sich dem
Endkunden gegenüber wie der legitime Anbieter verhält, erlangt als unsichtbare Schaltstelle Zugriff
auf die Anmeldedaten des Anwenders und verschafft sich möglichst uneingeschränkte Nutzerrechte, mit
denen er persönliche Informationen einsehen und Banktransaktionen einleiten kann.
Kombination mit Phishing
MITM-Attacken sind heute oft mit traditionellen Phishing-Methoden kombiniert, wobei
professionell gefälschte E-Mails und Webseiten dazu dienen, Anwendernamen, Kennwörter, Finanzdaten
und sogar Einmalkennwörter von zeitsynchronen Tokens abzufangen – agiert der Angreifer schnell
genug, kann er selbst diese Daten noch für betrügerische Transaktionen verwenden.
Im Fall der Citibank umgingen die Betrüger nicht nur die Token-Authentifizierung – sie gingen
sogar so weit, die vom Opfer eingegebenen persönlichen Daten mittels der echten Citibank-Site zu
prüfen. Gab es einen Eingabefehler, zeigte folglich auch die Betrügerseite eine fehlerhafte
Anmeldung an. So erschien diese noch glaubwürdiger.
Der Citibank-Betrug zeigt, dass selbst Zweifaktorauthentifizierung per Token keine
hundertprozentige Sicherheit bietet. Unternehmen können allerdings über die Authentifizierung
hinaus noch andere Methoden einsetzen, um das Betrugsrisiko für ihre Kunden zu senken. Besonders
großen Vorschub leistet dem Identitätsbetrug allerdings die Tatsache, dass sich einige Unternehmen
beim Zugangsschutz noch immer auf Kennwörter allein verlassen.
In dieser Hinsicht Verbesserungen einzuführen, müsste bei den entsprechenden Institutionen
oberste Priorität genießen. Ein im Juni 2006 erschienener Report der Aite Group, einer unabhängigen
Marktforschungs- und Beratungsorganisation für Unternehmenstechnologie, ergab Verluste von 4,1
Millionen Dollar im Jahr 2005, die durch Betrug verursacht waren.
Für die nächsten Jahre rechnet Aite mit einem jährlichen Anstieg entsprechender Verluste von 25
Prozent bei Betrugsfällen im Onlinebanking-Bereich. 2010 sollen 12 Millionen Dollar erreicht sein.
Der Report sagt auch aus, dass Unternehmen 2010 fast 88 Millionen Dollar für sicherere
Authentifizierung, Betrugserkennung und die Abwehr von Phishing-Attacken ausgeben werden. 2006
waren es gerade 22 Millionen.
Werkzeuge gegen MITM-Attacken
Der Markt bietet heute eine ganze Reihe von Mitteln an, die als wirkungsvoller Ersatz für
Kennwörter dienen können und MITM-Attacken abwehren. Die erste Methode setzt auf "
Challenge-und-Response"-Verfahren, die komplex genug sind, dass sich Sicherheitsfrage und Antwort
nicht vorhersehen lassen. MITM-Angriffe erschweren sie, weil die Angreifer im Normalfall nicht an
die richtigen "Challenges" der legitimen Onlineseiten gelangen können, um sie an die Benutzer
weiterzugeben.
Beispiele für diese Technik sind Grid-Authentifizierung und bestimmte
Challenge-und-Response-Tokens. Auch Techniken, die sich auf Public-Key-Infrastrukturen stützen,
sind sicher, weil sich der Anwender bei ihnen mit einer Response authentifiziert, für die er ein
zufälliges Token-Ergebnis mit seinem privaten Schlüssel signiert. Ein Betrüger kann Schlüssel und
Zufallsergebnis nicht mitschneiden.
Damit ist das Spektrum allerdings noch nicht ausgeschöpft: Eine sehr effektive Methode ist auch
der Einsatz der Out-of-Band-Authentifizierung (OOB), da MITM-Angreifer typischerweise nur einen
Kommunikationskanal protokollieren. OOB öffnet einen separaten Kanal für die Authentifizierung, um
Transaktionen mit höherem Risiko zu verifizieren und autorisieren zu lassen. Ein OOB-System teilt
dem Anwender Details der Transaktion beispielsweise via E-Mail, SMS oder Telefonie mit und verlangt
zur Bestätigung die Eingabe eines mitgelieferten Einmalkennworts. In diesem Fall nützt es einem
Angreifer nichts, wenn er die Anmeldeinformationen stiehlt.
High-Assurance-SSL-Zertifikate kontra MITM-Angriff
Ein ganz neues Mittel gegen Man-in-the-Middle-Attacken stellen die
High-Assurance-SSL-Zertifikate dar. Sie helfen dem Anwender, indem sie klar und deutlich sichtbar
machen, ob eine Seite nachweislich authentisch ist oder ob sie als betrügerisch beziehungsweise
verdächtig bekannt ist. Neue Funktionen in Browsern wie dem Internet Explorer 7.0 setzen bekannte
Methoden von Phishing-Sites, mit denen diese ihre Natur verbergen, außer Kraft. Ein Anwender kann
dann davon ausgehen, dass eine Webseite nicht vertrauenswürdig ist, falls deren Adresszeile nicht
grün dargestellt ist. Allerdings wird es noch eine Weile dauern, bis diese einfache Hilfe für viele
Anwender wirkt, denn noch hat nicht jeder die neueste Browser-Generation installiert.
Schließlich ist auch Betrugserkennungssoftware ein gutes Gegenmittel. Diese erkennt Anomalien,
die als Kennzeichen von MITM-Attacken gelten können. Selbst wenn ein Angreifer die gesamten
Anmeldedaten eines legitimen Anwenders in seine Gewalt bringen konnte, erkennen solche Programme
betrügerische Aktionen noch an Details: beispielsweise einem ungewöhnlichen Ort, von dem aus der
Anwender sich meldet, oder an der Höhe einer Überweisung beziehungsweise ihrem Ziel, falls diese
Daten für den Kunden ungewöhnlich sind. Organisationen – speziell Finanzinstitutionen – haben so
eine Chance, entsprechende Transaktionen zu stoppen und den legitimen Anwender zu
benachrichtigen.
Zero-Touch Fraud Detection schützt Identität
Einer der neuesten Ansätze zum Schutz der digitalen Identitäten von Onlineanwendern trägt den
Namen Zero-Touch Fraud Detection – berührungsfreie Betrugserkennung. Es geht hier um ein Verfahren,
das den Anwender gegen Onlinebetrug schützt, ohne dass dieser Einschränkungen bei der Benutzung
seiner Webanwendungen hinnehmen muss. Entsprechende Systeme arbeiten transparent, scannen das
Verhalten von Anwendern in Echtzeit auf Anomalien und kalkulieren gegebenenfalls auch das
Risiko-Level einer individuellen Transaktion.
Der Terminus "Zero Touch" bezieht sich sowohl auf die Bedienungsabläufe einer zu schützenden
Site als auch auf den Integrationsaufwand in Backend-Applikationen: In beiden Bereichen sind keine
Eingriffe nötig. Herkömmliche Betrugserkennungssysteme erfordern dagegen oft eine aufwändige
Anpassung der Applikationen, die sie schützen sollen: Die Anwendungen sind so zu verändern, dass
sie Daten für die Betrugserkennungssysteme exportieren können.
Beim Zero-Touch-Ansatz wird stattdessen passiv der Webtraffic zwischen Anwender und Applikation
gescannt. Das Verfahren analysiert sämtliche Transaktionsdaten und reagiert damit besonders
schnell. Zudem erleichtert es die Installation und vereinfacht die Anpassung an bislang unbekannte
Betrugsformen, die bei traditionellen Verfahren möglicherweise einen erneuten Eingriff der
Programmierer ins Backend erfordern.
Indizienkette
Indizien für Betrugsmuster, die ein entsprechendes Erkennungssystem auswertet, sind
beispielsweise der Login von einem unbekannten PC, eine als risikoreich bekannte IP-Adresse oder
ein entsprechender Ort, ein Transfer in ungewöhnlicher Höhe auf unbekannte Konten, eine Veränderung
der persönlichen Daten oder ein ungewöhnlicher Zugriffsversuch darauf. Sobald eine Transaktion mit
entsprechend erhöhtem Risiko auffällt, lässt sich ein Alarm samt Reporting auslösen, oder die
Sicherheitssoftware startet spezielle Business-Applikationen, um die Transaktion so lange
aufzuhalten, bis sie der legitime Anwender freigeben kann. Bis dahin bleibt dieser möglichst
unbehelligt.
Eine der häufigsten heute bekannten Attacken besteht darin, Geld mit betrügerischer Absicht vom
Finanzinstitut des Kunden auf fremde Konten zu transferieren. Professionelle Betrugserkennung
entdeckt nicht nur die verdächtigen Transfers selbst, sie kann vielmehr ihre Analysen auch über
mehrere Konten ausdehnen und auf diese Weise groß angelegte kriminelle Machenschaften
enttarnen.
Wenn beispielsweise ein einzelnes Konto Ziel mehrerer Überweisungen ist und zusätzlich eine
immer gleiche Summe oder grundsätzlich ein Wert am Limit des jeweiligen Quellkontos transferiert
werden, ist dies ein recht sicherer Anhaltspunkt für ausgedehnte Betrugsmachenschaften. Ein
gängiges Erkennungsmuster lässt sich also auch über viele Konten hinweg dazu nutzen, Betrug im
größeren Maßstab zu verhindern.
Eine hundertprozentige Sicherheit lässt sich allein mit diesem Ansatz seriöserweise allerdings
nicht versprechen: Auch wer gediegene Sicherheitsmaßnahmen wie stärkere Anwenderauthentifizierung
oder Betrugserkennung einsetzt, muss sich der Tatsache bewusst sein, dass die Betrüger ihre
Methoden und Ansätze stetig weiterentwickeln. Die Fähigkeit zur schnelle Reaktion ist in diesem
Zusammenhang eine wichtige Forderung: Statische Maßnahmen und Systeme, die dabei nicht mithalten,
bringen ihre Anwender schnell ins Hintertreffen.
Authentifizierungssysteme sollten deshalb möglichst viele verschiedene Verfahren beherrschen und
über die Authentifizierung per Tokens hinaus beispielsweise zusätzliche Autorisierungsschritte
gegen Man-in-the-Middle-Attacken unterstützen. Beherrscht eine Lösung noch keine
Out-of-Band-Authentifizierung oder entsprechende Transaktionsfreigaben, muss sich der Betreiber
möglicherweise auf neue Implementierungskosten gefasst machen, während seine Anwender einem
erhöhtem Risiko ausgesetzt sind
Flexible Anpassung an neue Betrugsmuster
Am besten geeignet erscheinen Systeme, bei denen sich zusätzliche Authentifizierungsfaktoren
einfach per zentrale Policy aktivieren lassen: Erfordert es die Situation, schaltet der
Administrator einfach die Out-of-Band-Authentifizierung als Zusatzmaßnahme hinzu. Rollout und
Softwareinstallationen – sofern überhaupt notwendig – sollten automatisch ablaufen. Nur mit dieser
Flexibilität können die "Guten" mit den "Bösen" Schritt halten.
Die Tricks der Betrüger variieren
Ähnliche Flexibilität benötigen auch Betrugserkennungssysteme. Im Vordergrund sollen dabei auch
der reibungslose Ablauf und die Integration in den IT-Alltag stehen: Betrugsmuster müssen sich im
laufenden Betrieb neu aufspielen oder modifizieren lassen, sobald sich die Tricks der Betrüger
ändern.
Dabei kann das Verfahren der Webtraffic-Analyse seine Stärken ausspielen. Es entlastet die
Betreiber dabei von der Notwendigkeit, beim Auftreten neuer Betrugsstrategien angepasste
Exportschnittstellen für ihre Anwendungen zu programmieren. Dies senkt wiederum die Reaktionszeit,
gleichermaßen allerdings auch die anfallenden Kosten. Zero-Touch-Systeme machen es möglich, das
Update an einer einzigen Stelle durchzuführen und sofort zu nutzen.
Lesen Sie mehr zum Thema
