Besonders Unternehmen sind in der Pflicht, präventive Maßnahmen gegen Phishing zu ergreifen. Denn der Diebstahl personenbezogener Daten betrifft nicht nur die Angreifer und die angegriffenen Anwender, sondern auch das Web und die Auftritte von Unternehmen können dazu beitragen, Phishing zu fördern oder aber zu bekämpfen.
Bei einer Untersuchung des Fraunhofer Instituts SIT Ende 2004 zum Phishing-Schutz bei den Auftritten von Online-Banken erhielten von zwölf Online-Auftritten einer die Note mangelhaft und fünf die Note ausreichend. Wenn das kein klares Zeichen dafür ist, dass es hier noch erheblichen Raum zur Verbesserung gibt...
Mindestens sechs grunsätzliche Punkte sollten Unternehmen daher beherzigen. Zunächst sollte eine durchgängige und beständige Gestaltung der Webseiten und E-Mails gewährleistet sein. Denn häufig wechselnde Darstellungen von Internetpräsenzen und auch Mailabsender-Adressen begünstigen den Erfolg von Fälschungen bei Phishing-Aktionen.
Darüber hinaus zwingen immer gleiche Absender-Adressen von Unternehmen die Fälscher dazu, diese ebenfalls in ihren Phishings-eMails zu führen, wodurch mit Fehlermeldung zurückgehende eMails an das tatsächliche Unternehmen die Phishing-Aktion sofort bekannt machen.
Ein weiterer Punkt ist das konsequente Protokollieren der "Referrer" durch die Webserver, also der Verweis-Links, da in der Regel nach dem erfolgten Phishing die Benutzer von den Phishing-Servern auf die echten Server weitergeleitet werden. Damit sind die Phishing-Aktivitäten sofort sichtbar.
Ein weiterer Vorschlag betrifft die Nutzung von "digitalen Wasserzeichen" auf den Webseiten, etwa IP-Adresse und aktueller Uhrzeit im HTML-Code, wodurch Kopien dieser Seiten besser nachvollziehbar werden. Auch präventive Gegenmaßnahmen wie die Weiterleitung der Zugriffe auf Warnseiten bei unbekannten Referrern oder das Zusammenspiel mit Cookies auf dem PC des Anwenders sind möglich.
Zuletzt sind eine offene Diskussion und aktuelle Informationen zum Thema Phishing auf den Webseiten der Unternehmen zu empfehlen.
|