Einführung

Stellen Sie sich eine harmlos wirkende Person vor, die bei einem Cappuccino im Café sitzt und vorgibt, im Internet zu surfen; tatsächlich aber sammelt sie in böswilliger Absicht Benutzernamen und Kennwörter von anderen Laptop-Benutzern im Lokal.

Ein übertriebenes Szenario oder ein leicht nachzuvollziehender Vorgang aus der Wirklichkeit? Leider trifft Letzteres zu, wie wir im Folgenden weiter ausführen werden.

Die wunderbare Welt des überall verfügbaren Internets

Je mehr das Internet in unserem Leben eine Rolle spielt, desto abhängiger werden wir von Internetzugängen, die stets und überall verfügbar sind. Um diesem Bedürfnis gerecht zu werden, werden an immer mehr öffentlichen Plätzen wie Flughäfen, Restaurants und Cafés so genannte Wireless Access Points (WAP, engl. „drahtloser Zugangspunkt“) eingerichtet. Diese Access Points ermöglichen es uns, alles Mögliche mit mobilen Geräten wie Handys oder Laptop-Computern auch unterwegs zu erledigen:

• auf Internet-Nachrichtenseiten zugreifen
• private Bankgeschäfte erledigen
• E-Mails schreiben und lesen
• mit Freunden oder Arbeitskollegen chatten
• im Unternehmensnetzwerk anmelden, um schnell noch eine Arbeit abzuschließen, die während der normalen Arbeitszeit nicht mehr erledigt werden konnte
• den Stand des Kreditkartenkontos abfragen

Für den Zugriff auf diese wunderbare Welt der Informationen müssen Sie sich lediglich mit einem der beispielsweise in Cafés vorhandenen Access Points verbinden.

Die böse Frau mit Laptop

Sie sitzen also entspannt in einem Café und nutzen den von dem freundlichen Besitzer kostenlos zur Verfügung gestellten Access Point, um verschiedenste Dinge im Internet zu erledigen.

Was Ihnen in diesem Moment nicht bewusst ist: Sie sind keineswegs mit dem Access Point des Cafés verbunden! Ganz in Ihrer Nähe sitzt diese harmlos wirkende Frau mit ihrem Laptop und surft im Internet (so sieht es zumindest aus). In Wirklichkeit überwacht die Dame ihren eigenen Access Point, den sie eingerichtet hat, um andere Gäste dieses Cafés (also Sie!) hereinzulegen und Internetbenutzer dazu zu bringen, sich über ihre Verbindung ins Internet einzuwählen.

Die Access Point-Technologie ist so ausgelegt, dass der Access Point mit dem jeweils stärksten Signal von den mobilen Kommunikationsgeräten ausgewählt wird. Und da sich die Dame mit dem von ihr eingerichteten Access Point inmitten der Gäste befindet, wird dieser als stärkstes Signal erkannt. Während Sie also in dem Glauben sind, über den „vertrauenswürdigen“ Access Point des Cafés mit dem Internet verbunden zu sein, läuft diese Verbindung in Wirklichkeit über ein anderes Gerät mit einer Software, die Ihre gesamte Kommunikation überwacht. Natürlich ist die kriminelle Dame clever genug, ihren Access Point so zu benennen, dass man ihn für den Access Point des Cafés hält.

Einen solchen Hotspot in betrügerischer Absicht einzurichten ist:

• billig (geringe Investition in Hardware, die Software ist im Internet kostenlos verfügbar)
• relativ risikofrei, da der „Tatort“ verlassen wird, sobald genügend Informationen für die kriminellen Machenschaften gesammelt wurden und es schwierig ist, den Täter ausfindig zu machen
• effizienter als das Vorgehen beim traditionellen „Phishing“, bei dem die Erfolgschancen sehr von der Zahl und der Leichtgläubigkeit der Beteiligten abhängt, die auf betrügerische E-Mails mit vertraulichen Angaben antworten.

Das Übel und das Übel mildernde Umstände...

Zum Glück verwenden die meisten Websites, auf denen vertrauliche Informationen ausgetauscht werden, verschlüsselte Kommunikationswege und andere Sicherheitstechniken, die es erschweren, vertrauliche Daten auszuspähen und Straftaten zu begehen. Der Zugriff auf Unternehmensnetzwerke erfolgt oftmals über VPNs (virtuelle private Netzwerke) – zumindest sollte es so sein. Dadurch wird die Sicherheit erheblich gestärkt.

Zu beachten ist freilich, dass nicht alle öffentlichen Access Points auch kostenlos benutzt werden können, d. h. in manchen Fällen muss man sich anmelden und Gebühren entrichten. Hier tut sich eine zweite Schwachstelle auf, die Kriminelle dadurch nutzen, dass sie Phishing-Websites einrichten, auf denen die Kreditkarteninformationen für den Access Point-Zugang abgefangen und gesammelt werden. Dieser Vorgang dauert nur wenige Minuten. Wie man sieht, findet die böse Frau mit Laptop immer einen Weg für ihre kriminelle Machenschaften...