Don’t tell anyone the code …

Vom Phishing.

BREAKING NIUS: Das sind die Phishing-Nachrichten, auf die Bundesminister, hochrangige Geheimdienstler, die Bundestagspräsidentin, insgesamt rund 300 Personen aus dem Berliner politischen Betrieb hereingefallen sind. pic.twitter.com/DmYGmPm5hK

— Julian Reichelt (@jreichelt) April 25, 2026

Das sieht man bei Phishing-Angriffen in letzter Zeit, seit einigen Jahren, recht häufig, dass im Phishing-Angriff drinsteht, dass man auf keinen Fall sein Passwort weitergeben solle, das sei gefährlich.

Es wirkt.

Ich habe einige Zeit als Sicherheitsbeauftragter compliance-erfüllend recht oberflächliche (eher pro forma, um die Anforderung zu erfüllen) Notebook-Prüfungen bei Mitarbeitern durchgeführt, beispielsweise ob da kein Cloud-Account aktiv ist und so weiter. Eine der (wenig sinnvollen) Prüfungen, die ich da abzuhaken hatte, war, ob das Passwort der Mitarbeiter auch schön gemischt aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen besteht. Wie soll ich das nachprüfen können?

Also habe ich eine Liste von Checks gemacht, die mir die Mitarbeiter zeigen sollen, und darin auch auf diese Anforderung verwiesen, dass ich prüfen müsse, ob das Passwort diesen Anforderungen entspräche und die Leute nach ihrem Passwort gefragt oder sie aufgefordert, es in einem Textfenster für mich sichtbar einzugeben, damit ich es kontrollieren könne.

Die meisten haben es gemerkt und mit „Ich sag’ Dir doch nicht mein Passwort…“ reagiert. Ich dann so „Prima! Prüfung bestanden!“ Weil das nämlich viel wichtiger ist als ob man Sonderzeichen im Passwort hat. Wer bestanden hat, bekam von mir eine Plastikmünze, mit der sie in einem kleinen Spielzeuggreifautomaten nach Schokolade angeln konnten.

Insgesamt drei Leute haben mir aber ihr Passwort verraten. Für die gab es als Strafarbeit, herauszufinden, wie man das Passwort ändert (gar nicht so einfach).

Einmal saß eine Kollegin im selben Raum, die das mitbekommen und riesige Augen bekommen hat, die schüttelte sich und konnte sich kaum beherrschen, geräuschlos zu bleiben. Die sagte mir später, sie habe sich niemals vorstellen können, dass so etwas möglich ist. Doch, doch, sagte ich, das ist eine der effektivsten Methoden, an Passworte zu kommen: Einfach fragen. Schon vor 35 oder 40 Jahren habe ich irgendwo im IT-Sicherheitsbereich die Legende aufgeschnappt, dass irgendwo in den USA ein Sicherheits-Heini beim Chef in einem Unternehmen war, um seine Dienste anzubieten, und der Chef da meinte, sie hätten keine Sicherheitsprobleme. Er sagte dem Sicherheits-Heini, dass er ihm [Riesen-Betrag, weiß nicht mehr, 200.000 Dollar oder sowas] biete, wenn er eine Sicherheitslücke fände. Der Sicherheits-Heini stand auf, ging auf den Flur, rief einmal laut „Wie war nochmal das root-Passwort?“, bekam aus irgendeinem Zimmer die Antwort zugerufen, ging wieder rein und holte sich seine Prämie ab.

Social engineering gehört noch immer zu den wirksamsten Angriffen.

Man sollte sich auch davor hüten, allzusehr auf Leute herabzublicken, die auf Phishing hereinfallen, das wird nämlich immer besser, während die echten Betreiber von Diensten immer schlechter werden. Die besten Fälschungen sind längst deutlich besser als die schlechtesten Echten. Und sobald das überlappt, gibt es keine klaren Kriterien mehr.

Ich wäre neulich auch – naja, nicht fast, aber so auf halber Strecke – auf einen Phishing-Versuch reingefallen. Ich erwartete ein Paket über einen bestimmten Lieferdienst, und am Abend vorher kam eine wirklich verdammt gut gemachte Phishing-Mail, augenscheinlich von genau diesem Dienst, der irgendein Problem mit dem Paket meldete. Erster Gedanke: „Was ist denn jetzt schon wieder …“, wollte schon draufklicken, als mir aber noch rechtzeitig aufgefallen ist, dass die URL faul ist.

Wenn dann aber noch eine homoglyph- oder homograph-Attacke dazu kommt, wird es schon verdammt schwer und für den Laien unmöglich, das zu erkennen.

Man sollte sich deshalb sehr davor hüten, die Verantwortung alleine auf die Benutzer abzuwälzen.

Das Problem ist übrigens auch gar nicht so einfach zu lösen. Natürlich kann man Tokens wie TPM-Chips und FIDO2-Sticks einsetzen. Aber so wirklich schützen die auch nicht, weil dann immer noch stehen kann „Hier ist Ihr Service, bitte einmal drücken“ oder beim Login „Hat nicht funktioniert, bitte noch einmal versuchen…“. Und schwupsdiwups kann man durch Umlenkung auch einen anderen zum Zugriff autorisiert haben, wenn auch nur einmalig. Das ist ein ganz enormes Problem. Weil man nicht nur Token, sondern auch sichere Endgeräte braucht – und die haben wir eben nicht. Aber es wäre schon mal ein deutlicher Fortschritt, weil man dazu auf das Endgerät wirksam einbrechen muss und nicht nur „Hey, Du, sag mir mal Dein Passwort!“ rufen muss.

Wir müssen jedenfalls weg von Authentifikationsmethoden, die man durch Weitersagen vollständig kompromittieren kann.