Macht Online-Banking noch Sinn?
Roter Alarm: Datendiebe bedrohen ganze Existenzen

Elektronisches BezahlenIT-ManagementIT-ProjekteMarketingNetzwerk-ManagementNetzwerkeSicherheitSicherheitsmanagement

Datendiebstahl und Internet-Betrug sind bedenklich auf dem Vormarsch. Da sich Online-Banking als dritthäufigste Anwendung im Web etabliert hat, kann es für Privatleute wie Firmen Ernst werden. Ralf Müller erklärt die Spielarten des Onlinebanking-Betrugs und gibt Tipps, wie sich Nutzer davor schützen.

Girokonto leer – aufpassen!

Macht Online-Banking noch Sinn?

Ihnen kann nichts passieren, weil ohnehin kaum Geld auf dem Girokonto bleibt? Sobald sich ein nigerianisches Schlitzohr mit Ihrem Disporahmen von x-tausend Euro aus dem Staub gemacht hat, dürften Sie anders denken. Wer heute sein Konto online verwaltet, gerät grundsätzlich ins Visier der Internet-Kriminellen, die via BotNets ihre Spyware-Fallen und Phishing-Netze auslegen. Das Ziel lautet dabei unverblümt finanzielle/wirtschaftliche Bereicherung. “Die Phishing-Versuche nehmen nicht nur zu, sie werden auch immer raffinierter”, warnt Candid Wüest, Sicherheitsexperte im Virenforschungszentrum von Symantec in Dublin.

Dabei fing alles so harmlos an: Anfangs wurden “nur” gefälschte E-Mails versendet, die behaupteten, von Banken oder Onlineshops zu stammen. Damit wollen die bösen Buben jeden Leichtgläubigen dazu verleiten, seine persönlichen Daten – vor allem Passwörter und PIN-Nummer – selbst zu verraten. Zwar fallen immer wieder Anwender darauf rein, doch im Allgemeinen ist das Misstrauen gegenüber solchen Phishing-Mails gestiegen. Daher verlegen sich die Cyberkriminellen längst auf andere Spielarten. Zum Beispiel auf das Telefonieren – und landen mit ihren angeblichen Bank-Anfragen erneut einige Treffer.


Spielarten des Betrugs

Macht Online-Banking noch Sinn?

Wie schaffen Phisher es, Nutzer zu täuschen?
Zunächst einmal generieren/fälschen sie Absender-Adressen, die glaubwürdig klingen (z.B. alarm@raiffeisenbank.de). Die Links in solchen Mails sind natürlich nur Fassade, denn der HTML-Eintrag ist im Code manipuliert und führt in Wirklichkeit auf die Website der Betrüger, wo gefälschte Formulare auf echte Passwörter warten.

Schlimmer als Phishing
Wer auf Phishing hereinfällt, war gutgläubig und unaufmerksam und trägt selbst einen Teil der Schuld. Anders sieht es bei Pharming aus. Diese Methode ist besonders hinterlistig, da der Anwender nichts falsch macht und dennoch Opfer eines Angriffs werden kann: Man wird auf eine gefälschte Seite umgeleitet, die z.B. der echten Bankpage täuschend ähnlich sieht. Loggt sich der Nutzer mit den Zugangsdaten dort ein, spielt er die sensiblen Informationen in die Hände der Kriminellen. Jene werden mit den Daten des ausspionierten Opfers im Internet “anonym” einkaufen oder (Auslands-) Überweisungen vornehmen, was gar nicht mal so selten vorkommt.


Schutz vor Pharming?

Macht Online-Banking noch Sinn?

Leider ist Pharming sehr schwer zu erkennen. Schutzsoftware wie Anti-Phishing-Toolbars oder gute Firewalls können manchmal helfen. “Grundsätzlich sollten Anwender gerade bei Online-Banking oder -Shopping aufmerksam und vorsichtig sein”, rät Candid Wüest. Sobald man Veränderungen beim Log-In-Verfahren feststellt – anderes Timing, veränderte Fenster, abweichende Prozeduren – sollte die innere Alarmglocke angehen: Steht in der Adresszeile wirklich die Original-URL der Bank? Ist das Schloss-Symbol unten rechts wirklich geschlossen? Im Zweifel: Abbrechen und einen frischen Schädlingsscanner laufen lassen.

Doch die Tricks der Internet-Kriminellen kennen keine Grenzen. Wie die US-Tageszeitung Washington Post auf ihrer Wenseite berichtete, besorgen sich manche Phisher ein SSL-Zertifikat, das die Echtheit ihrer Website bescheinigt – und ein trügerisches geschlossenes Symbol anzeigt. Tatsächlich hat das Zertifikat natürlich nichts mit der anvisierten Bank zu tun, doch das kann ein Laie kaum noch erkennen.


Alternative Banking-Methoden

Macht Online-Banking noch Sinn?

Empfehlenswert ist daher der Einsatz von HBCI (Home Banking Computer Interface), das über eine Chipkarte und Chipleser funktioniert, die an den Computer gestöpselt werden. Diese physikalische Methode ist momentan eine der sichersten Varianten im Online-Banking. Einen ähnlichen Weg schlagen Banken mit elektronischen TAN-Generatoren ein. Sie produzieren erst bei Bedarf eine Geheimnummer, die nur eine geringe Zeitspanne (z.B. 15 Minuten) gültig ist. Leider verlangen die Institute für das Gerät zusätzliches Geld.

Vergangenen Sommer erklärte die Postbank, ein neues Verfahren entwickelt zu haben, durch das Pishing-Attacken wirkungslos werden sollten. Beim indizierten Transaktionsnummern-Verfahren (iTan) verlangt das System jeweils eine ganz bestimmte Tan aus der Liste – bislang war es egal, welche Ziffernreihe man verwendete. Durch das neue iTan-Verfahren würde sich die Gefahr einer erfolgreichen Pishing-Attacke bei einer Liste von 100 Tans auf ein Prozent reduzieren. Doch verlassen sollten sich die Kunden auf dieses Verfahren nicht: Im Wesentlichen ist es genau so unsicher wie das Alte! Das neue System schützt nämlich nur jene Kunden vor Pishing-Mail-Betrügern, die ihre Bankgeschäfte auf dem Online-Interface der Banken erledigen. Und gegen Trojaner und Keylogger ist das neue Verfahren ebenfalls machtlos, denn gegen mitprotokollierende Schadsoftware schützen immer nur aktuelle und hochprofessionelle Schädlingsjäger, die sich jeder Nutzer von Online-Banking unbedingt zulegen sollte.


Nie ganz sicher

Macht Online-Banking noch Sinn?

Ein richtig sicheres Online-Banking bietet also auch das iTan-Verfahren nicht. Mittelfristig soll das Online-Banking mit einer so genannten Signatur-Karte möglich sein. Damit meldet sich jeder Kunde vor jedem Bankgeschäft digital bei der Bank an, wobei er auf einem Lesegerät unterschreiben muss. Das Einlesen der Signatur geschieht während des Schreibens – eine Fotokopie der Unterschrift tut es also nicht. Eine Dynamikprüfung berücksichtigt zudem die natürlichen Schwankungen in der Ausprägung der Unterschrift.

Leider hat das Ganze noch einige Haken: Erstens fehlt noch die rechtliche Grundlage, zweitens müssten sich die Kunden dann sowohl die Signatur-Karte als auch ein Kartenlesegerät anschaffen.

Andere Institute wollen die indizierte Transaktionsnummer (iTAN) mit einer zusätzlichen Bestätigungsnummer (BEN) und neuartigen digitalen Wasserzeichen kombinieren. Das wäre sicher nicht undurchdringlich, aber sicher besser als die schnöde TAN/PIN-Kombi.


Und die Folgen?

Macht Online-Banking noch Sinn?

Welchen Schaden richten Cyberkriminelle in der Praxis eigentlich an? Darüber gibt es nur Schätzungen, denn die Banken vertuschen das ganze Thema in großem Stil – zu schmerzhaft wäre der Vertrauens- und Imageschaden des gesamten Bezahlsystems.

Branchenbeobachter glauben, dass mindestens fünf Millionen Euro im vergangenen Jahr durch Phishing von deutschen Konten erbeutet worden seien – Tendenz steigend. Die Kommission der Europäischen Union nimmt diese Entwicklung nun zum Anlass, die Rechte der Bankkunden deutlich zu stärken, teilte EU-Binnenmarkt-Kommissar Charlie McCreevy jüngst mit.

Spätestens im Jahr 2010 sollen Maßnahmen in Kraft treten, die die Haftung der Bankinstitute bei Online- und EC-Karten-Betrug verschärfen. Seine Begründung: Wenn schon die Banken, um Kosten zu sparen, auf Online-Banking verweisen, müssen sie auch die Sicherheit hierf