Ausgespähte Hotmail E-Mail-Konten belegen unzureichendes Sicherheitsbewusstsein bei Computernutzern

Oktober 07, 2009 Sophos Press Release

Cyberkriminelle gelangten an die Zugangsdaten von 10.028 Nutzern der Microsoft Online-Dienste, wie Microsoft Live, MSN, and Hotmail, und stellten diese ins Internet. Hierfür war kein ausgeklügelte Hacking-Attacke nötig - einfache Phishing-Mails, die massenweise an Accounts dieser Dienste geschickt wurden, genügten, um den Usern die Passwörter zu entlocken. Die Anwender wurden in dem E-Mail aufgefordert, auf einer gefälschten Website ihre Zugangsdaten zu aktualisieren. Laut Sophos, einem der führenden Anbieter von Lösungen für Computer- und Datensicherheit, wurden die E-Mail-Adressen vermutlich mithilfe eines alphabetischen und für Phisher typischen Verfahrens automatisch generiert - dies erkläre, warum nur Accounts, deren E-Mail-Adressen mit A und B beginnen, von dem Angriff betroffen sind. Die Computersicherheitsexperten sehen in dem Vorfall einen Beleg dafür, dass sich Computeranwender noch immer nicht ausreichend der vielfältigen Sicherheitsgefahren im Web und nötigen Vorsichtsmaßnahmen bewusst sind.

Christoph Hardy, Senior Security Consultant bei Sophos, kommentiert: 'Cyberkriminelle werden bei ihren Attacken gegen Computernutzer und Unternehmen immer raffinierter. Umso erschreckender ist es, dass sie die Nutzer auch mithilfe einfacher Phishing-Methoden noch immer erfolgreich hinters Licht führen können. Der nun bekannt gewordene Vorfall ist hier sicherlich nur die Spitze des Eisbergs.'

Sieben Tipps: So bleiben E-Mail-Konten sicher

1. Schwer zu knackende Passwörter einrichten: Bei der Wahl eines Passworts sollte auf Begriffe verzichtet werden, die im Wörterbuch stehen oder sich einfach erraten lassen. Als sichere Variante gilt ein Mix aus mindestens zehn Ziffern, Buchstaben oder Sonderzeichen. Nutzer sollten dabei beachten, für jede geschützte Online-Anwendung Zugang ein anderes Passwort zu verwenden.

2. Geben Sie niemals das Passwort für Ihren E-Mail-Account preis - schon gar nicht, wenn Sie per E-Mail dazu aufgefordert werden: Weder seriöse E-Mail-Provider noch Online-Shops oder Banken fragen persönliche Daten, wie Passwörter, PIN- und TAN-Nummern per E-Mail ab - entsprechende Anfragen sollten deshalb nicht beantwortet werden.

3. Vorsicht bei Eingabe sensibler Daten im Internet: Wenn Sie dennoch auf eine im E-Mail verlinkte Webseite gegangen sind, überprüfen Sie, ob Sie dort die mittlerweile üblichen Sicherheitsmechanismen vorfinden: HTTPS-Verschlüsselung und Verifzierung der Seite. Moderne Browser zeigen dies mittlerweile deutlich an. Geben Sie nie persönliche Daten auf unverifizierten, unverschlüsselten Seiten ein.

4. Überlegen Sie genau, wem Sie Ihre E-Mail-Adresse mitteilen. Je mehr Ihre E-Mail-Adresse im Internet Verbreitung findet, desto größer ist Wahrscheinlichkeit, dass sie in Hände von Phishern und Spammern gelangt.

5. Nutzen Sie mehrere E-Mail-Konten: Legen Sie zum Beispiel eine Haupt-E-Mail-Adresse an, die Sie nur Verwandten, Freunden und vertrauenswürdigen Personen nennen, aber nicht im Internet veröffentlichen. Weitere E-Mail-Accounts können dann zum Anmelden in Foren, Online-Shops oder Social Communities verwendet werden.

6. Verwenden Sie einen Browser, der keine Passwörter speichert: Stellen Sie Ihren Browser so ein, dass sich bei jedem Schließen automatisch sämtliche Formulardaten und der Cache löschen.

7. Nutzen Sie stets aktuelle Schutz-Software gegen Malware, Phishing und Spam, die sich selbst regelmäßig aktualisiert, um die neuesten Bedrohungen zu erkennen, sowie mindestens eine aktivierte Firewall.

Unternehmen sollten einen umfassenden und integrierten Schutz ihrer IT-Systeme sicher stellen, der bereits am Gateway beginnt. Phishing- und Spam-Mails sowie infizierte E-Mails lassen sich direkt am Gateway abfangen, ohne die Posteingänge der Mitarbeiter zu blockieren oder Computer und das Netzwerk zu gefährden. Darüber hinaus sollten Unternehmen ihre Mitarbeiter in Sachen IT- und Datensicherheit aufklären und klare Regeln zum Umgang mit Daten, E-Mail und Internet definieren und durchsetzen.