Ihr Passwort, bitte!

Was würden Sie tun, wenn Ihre Firma Sie auffordern würde, Ihre Passwörter in einem zentralen Speicher zu hinterlegen? Wenn die Aufforderung per E-Mail käme? Die Mail einen Link enthielte? Sie ahnen es: Da ich dies in einem Sicherheits-Blog frage, und hier ein Angelhaken abgebildet ist, kann es sich nur um einen Angriff handeln.

Hunderte Beamte der Berliner Polizei haben so eine Mail bekommen. Ungefähr jeder zweite klickte den darin enthaltenen Link an. Schon das ist ein Risiko, denn Links in E-Mails können einen PC schlimmstenfalls schon durch einen einfachen Klick mit Schadsoftware infizieren. Etwa drei Dutzend Polizisten trugen dann auch noch tatsächlich Passwörter in das angezeigte Formular ein. Es ist nicht bekannt, für welche Dienste diese Passwörter gedacht waren. Dreisterweise hatten die Urheber der Mail nicht nur nach dienstlichen, sondern auch gleich nach allen privaten Passwörtern gefragt. Knapp 40 Minuten nach dem Angriff wurde der Zugriff auf die Phishing-Seite von der IT-Abteilung gesperrt und die Mitarbeiter gewarnt. Mindestens einer der Empfänger muss also richtig reagiert und die Mail gemeldet haben. Eine Behörde oder Firma wird ihre Mitarbeiter üblicherweise nicht auffordern, Passwörter zentral zu speichern.

Zudem enthielt die Mail kleine Fehler. Zum Glück ist bei dem Angriff kein Schaden entstanden, denn es handelte sich um einen Test, mit dem die Behörde einen zertifizierten Dienstleister beauftragt hatte. Solche Phishing-Tests werden hin und wieder durchgeführt, um die Mitarbeiter zu sensibilisieren und zu überprüfen, ob sie für Phishing anfällig sind. In der Mail wurde den Benutzern versprochen, dass sie mit Hilfe des Passwortspeichers mehrere Anwendungen mit nur einem Login nutzen könnten.

Tatsächlich arbeiten viele IT-Abteilungen daran, die Vielfalt der Logins und Passwörter zu reduzieren. Das geschieht aber, indem Benutzerkonten auf der Server-Ebene zusammengeführt werden und nicht, indem man Passwörter von den Benutzern einsammelt.