Das Schloss auf einem Login im Browser nach aufruf über eine Phishing-eMail vermittelt Sicherheit. Die gibt es da aber nicht. Selbst VeriSign gibt lowlevel Zertifikate einfach so aus, ohne zu kontrollieren, wer das abfordert.

Alles, was sich als Zertifizierung geriert ist eigentlich nur Kauderwelsch, das für sich unverständlich und letztlich nutzlos ist. Aber das Gefühl von Sicherheit wird darüber vermittelt. Da gibt es nur eins: traue keinem Zertifikat im Internet.

Die Frage ist, was kann man am Browser verändern, um Phishing zu verhindern. Die W3C-Organisation will die Browserentwickler zusammenbringen, damit Browser ggf. so zusammengeschrumpft werden in ihrer Funktionalität, dass man Phishing beherrschen kann. Das kann aber nur mit allen Browserentwicklern zusammen bewerkstelligt werden, da andernfalls eine Wettbewerbsverzerrung entstünde: denn die Browser unterscheiden sich in ihrer Funktinonalität.

Ein sicheres LogIn gibt es heute schon: Die HTTP-Authentifizierung. Sie wird jedoch nicht benutzt. Die Authentifizierung gefällt den Maketingabteilungen der kommeziellen Anbieter nicht.

Also: wie bekommt man das Internet sicherer? Damit wird sich ab kommendem Jahr eine Workinggroup beschäftigen. Die W3C Security Working Group. Kommentare sind da willkommen.

Auch andere Gruppen arbeiten an höherer Sicherheit. Doch die ist noch in weiter Ferne.

Wie generiert man Spam, der sich selbst verschleiert? Das wird teilweise so geschickt gemacht, dass auch Internetprofis auf solche eMails hereinfallen.

Die Phishing-eMail ist üblicherweise ein html-Mail. Es gibt mittlerweile auch Vishing-eMail mit einer Telefonnummer, wobei im Rahmen eines Telefongesprächs die brisanten Daten erfragt werden.

Der Phisher hat allerdings das Problem, kein eigenes Konto zu haben, sonst wäre er viel zu einfach zu belangen. Er braucht eien Mittelsmann mit Konto, der das Geld bekommt.

Üblicherweise bekommt man Nutzer dazu, Geld zu geben überweisen, indem man seine Geldgier reizt. So wie wir das von der Nigeriaconnection kennen.

Doch warum fällt man auf den Phisher-Spam herein? Es sind Schwächen im Browser, in X.509 + SSL, in IRIs und in HTML-Forms. Beispielsweise geht es mit IDNs (internationalisierten Domainnamen), indem man ein »a« in sparkasse.de durch ein russisches »a« ersetzt.

Rigo Wenning übernimmt das Mikrofon.

Phishing gehört zum Bereich des Identitätsdiebstahls. Auf Wikipedia gibt es einen Versuch, den Begriff zu definieren.

Rigo erläutert den normalen Ablauf von Bankgeschäften via Internet. Und zeigt, wo der Phisher eingreift. Die Darstellung ist äußerst einfach gehalten, damit wir armen Juristen auch verstehen können, worum es geht.

Der Phisher sorgt für eine Blockierung des direkten Bankzugriffs, damit über ihn das Bankgeschäft versucht wird und er so an die Daten des Nutzers kommt.

Fragt sich nur, wie bringe ich den Nutzer dazu, mir seine Daten zu geben. Das geht zum Beispiel per Spam. Die Daten, die über eine Spamaktion hereinkommen auf einer »Piratenseite«, werden auf einem Server hinterlegt (der vermeintlich von der Bank stammt). Mit den Daten kann der Pirat nun seinerseits Buchungen auf eine eigenes Konto vornehmen.

Mit dabei ist Professor Herberger, Direktor des Instituts für Rechtsinformatik und Vorsitzender des EDV-Gerichtstages, der zunächst vorträgt.

Fragt sich, wieviel Technik und wieviel Recht stecken in dem Thema? Das Problem ist, dass Juristen oft genug zu wenig Kenntnisse über die Technik des Internet haben. Eine hinreichende Ausbildung gibt es allgemein im Jurastudium dazu nicht. An der Uni-Saarbrücken, darf man annehmen, sollte dieser Bereich in der juristischen Ausbildung ausreichend Berücksichtigung finden.

Im Hörsaal 112 beginnt jetzt gleich der Workshop »Phishing« mit Rigo Wenning.

Diese Veranstaltung ist sicher eine der interessantesten des gesamten EDV-Gerichtstag 2006. Das Phishingproblem nimmt weiterhin kein Ende und wird uns auch noch lange beschäftigen.

Steigen wir also ein.

Michael stellt uns bei mäßig gefüllten Saal sein Projekt juraexamen.com vor.

Vor 2 Jahren gegründet hat dieses Forum mittlerweile mehr als Tausend Mitglieder.

Es gibt zahlreiche Kategorien, in denen sich Examenskandidaten über Ihre Erfahrungen austauschen können, wie etwa: Examensvorbereitung mit oder ohne Repetitor oder die unterschiedlichen Rechtsgebiete. Am meisten frequentiert ist der Bereich Examensstress.

Sehr clever war die Aktion, Professoren und Prüfer anzuschreiben und ihnen einen Fragebogen über ihre Prüfungsanforderungen zu reichen. Die konnten mitteilen, wo sie Schwerpunkte setzen, was wichtig ist und bei welchen Fehlern rapide Abstriche gemacht werden. Das Feedback war jedoch mehr als zurückhaltend, teilweise unfreundlich; doch bei wenigen sehr fruchtbar.

Das Einrichten des Forums war eine einfache Sache. Doch bis das Forum in Gang kam und bekannt wurde, dauerte. Nach einer PR-Aktion ging es langsam los. Irgendwann war es ein Selbstläufer.

70 – 75 % der Teilnehmer sind Teilnehmerinnen; Männer sind lediglich zu 25 – 30 % beteiligt. (Hört sich an wie eine prima Kontaktbörse.)

Michael hat auch eine Statistik online, die zeigt, wie stark das Projekt frequentiert wird.