18.05.2005 · Manuel Hirschland ist einer von 20 Millionen Deutschen, die ihre Bankgeschäfte via Internet erledigen. Der selbständige Maschinenhändler aus Bad Homburg machte sich lange Zeit nur wenige Gedanken über die Sicherheit dieser Art der Kontoführung. Das sollte sich rächen.
Von Manuel WirsingManuel Hirschland ist einer von derzeit etwa 20 Millionen Deutschen, die ihre Bankgeschäfte via Internet erledigen. Der selbständige Maschinenhändler aus Bad Homburg machte sich lange Zeit nur wenige Gedanken über die Sicherheit dieser Art der Kontoführung. Von Betrügereien und Hackerangriffen habe er gehört, aber gedacht: „Wenn etwas passiert, passiert es eh immer nur den anderen.“
Im September vergangenen Jahres wurde er eines Besseren belehrt. Als er via Internet eine Überweisung von seinem Konto bei der Postbank vornehmen wollte, brach die Verbindung ab, nachdem er seine persönliche Identifikationsnummer (Pin) und eine Transaktionsnummer (Tan) eingegeben hatte. Hirschland konnte die Internetseite seiner Bank nicht wieder öffnen. Als er am nächsten Tag wieder den Online-Zugriff auf sein Konto hatte, kam der Schock: 15300 Euro waren abgebucht. Es stellte sich heraus, daß sich ein sogenannter Trojaner, ein kleines Spionageprogramm, auf seinem Computer eingenistet hatte. Mit dessen Hilfe kamen Kriminelle in den Besitz von Hirschlands Zugriffsdaten.
Osteuropäische Hackerbanden am Werk
Dieses „Phishing“ sorgt bei Banken und deren Online-Kunden zunehmend für Beunruhigung. Das Kunstwort setzt sich zusammen aus den Wörtern „password“ und „fishing“ und beschreibt eine boomende Spielart der Computerkriminalität. Vornehmlich osteuropäische Hackerbanden gehen mit verschiedenen Methoden „Paßwörter fischen“, um via Internet Zugriff auf Konten zu erlangen. Neben den Trojanern bedienen sich die Täter dabei vor allem den „Phishing-Mails“. Die Betrüger hacken sich in fremde Server und verschicken von dort aus massenweise E-Mails, in denen Bankkunden dazu aufgefordert werden, ihre Pin und Tan preiszugeben. Erst kürzlich wurden Kunden der Deutschen Bank von Phishern dazu animiert, ein Formular mit ihren Kontodaten und Paßwörtern auszufüllen, da sie angeblich zur „Kontrolle“ ausgewählt wurden.
Meistens sind große, bundesweit tätige Banken Opfer von Phishing-Attacken, da die Kriminellen ihre E-Mails nach dem Zufallsprinzip an viele Adressen schicken und sie bei großen Kundenstämmen eher darauf hoffen können, auf die „richtigen“ Empfänger zu stoßen. Weder die Nassauische noch die Frankfurter Sparkasse waren nach eigenem Bekunden bisher mit solchen Angriffen konfrontiert. Ob sich diese regionalen Institute deswegen in Sicherheit wiegen können, ist allerdings fraglich. Zum einen, weil andernorts durchaus auch schon Sparkassen ins Visier der Paßwortfischer geraten sind. Zum anderen, weil die Zahl der Phishing-Attacken rasch zunimmt, wie Experten berichten: „Es wächst und wächst“, sagt Peter Cassidy, Generalsekretär der internationalen Anti-Phishing Working Group. Im März 2005 habe man 2870 Angriffe registriert, im gleichen Monat des Vorjahres seien es noch 402 gewesen.
Auch bei deutschen Banken beobachtet man eine Zunahme der Phishing-Attacken. Jürgen Ebert, Pressesprecher der Postbank, berichtet von einer wahren „Mailflut“, der man sich gegenübersehe. Die Bank hat nun die Obergrenze für Online-Überweisungen auf 3000 Euro festgesetzt. Zudem will man im Sommer das Paßwortverfahren ändern, um die Sicherheit zu erhöhen.
„Antiquiert und untauglich“
„Die Maßnahmen der Postbank kommen spät, gehen aber zumindest in die richtige Richtung“, sagt Frank-Christian Pauli, Sprecher beim Bundesverband der Verbraucherzentralen. „Im allgemeinen kümmern sich die deutschen Banken aber noch viel zuwenig um die Kundensicherheit.“ Das herkömmliche Pin/Tan-Verfahren, über das ein Großteil der Online-Überweisungen getätigt wird, bezeichnet Pauli als „antiquiert, untauglich und unsicher“. Das deutsche Kreditwesen scheue die Investition in anspruchsvollere Technik und lasse den Kunden alleine.
Die Banken sehen das weniger dramatisch: „Wenn die Kunden die nötigen Vorsichtmaßnahmen treffen, ist das Pin/Tan-Verfahren nach wie vor sicher“, sagt Kerstin Altendorf, Sprecherin des Bundesverbandes deutscher Banken. Ihres Wissens sei noch kein deutscher Kunde zu Schaden gekommen. In aller Regel ließen sich die Überweisungen zurückverfolgen und die Konten der Betrüger rechtzeitig sperren. Diese Aussage deckt sich mit dem, was Manuel Hirschland, das Phishing-Opfer aus Bad Homburg, berichtet. Nach einigen Tagen des Bangens habe ihm die Postbank sein Geld zurücküberwiesen. „Ob das nun so war, weil sie es zurückgeholt haben, oder aus Kulanz, das weiß ich auch nicht so genau“, sagt er - und spricht damit ein heikles Thema an. Denn daß kein Kunde zu Schaden kam, heißt nicht, daß kein Schaden entstanden ist.
Wenn sie das Geld nicht wieder auftreiben können, wird das von den Banken derzeit im Kulanzverfahren gelöst“, meint Michael Dickopf vom Bundesamt für Sicherheit in der Informationstechnik. Verbraucherschützer Pauli vermutet aber, daß das verlorene Geld über erhöhte Gebühren von den Bankkunden wieder zurückgeholt wird. Außerdem befürchtet er, daß die Banken es bei einer Zunahme der Schäden auf Prozesse ankommen lassen werden. Uwe Schneider, Professor für Wirtschaftsrecht an der Technischen Universität Darmstadt, betrachtet die Haftungslage als nicht eindeutig: „Es muß noch geklärt werden, wo man im Online-Banking die Grenzen der Sorgfaltspflicht ansiedelt. Dem Kunden muß heute klar sein, daß die Kontoführung per Internet gewisse Risiken birgt. Wenn er sich unvorsichtig verhält, ist er für Schäden verantwortlich. Aber es gehört auch zu den Pflichten der Banken, für eine gewisse Sicherheit zu sorgen.“
Service vom Bundesamt
Wer befürchtet, Phishing-Opfer zu werden, sollte diverse Sicherheitsmaßnahmen beachten. Der Bundesverband deutscher Banken weist darauf hin, daß niemals eine deutsche Bank ihre Kunden per E-Mail nach Kennwörtern befragen würde. Elektronische Post mit solchen Inhalten solle auf keinen Fall beantwortet werden. Außerdem müsse der eigene Computer mit Firewall, aktuellem Virenscanner und aktivierten Sicherheitseinstellungen im Browser gegen Trojaner geschützt werden. Informationen zum Geldverkehr im Netz gibt das Bundesamt für Sicherheit in der Informationstechnik unter www.bsi-fuer-buerger.de/geld. Es empfiehlt sich, die dort gebotenen Hinweise ernst zu nehmen. Denn es wird immer unwahrscheinlicher, daß es, wenn etwas passiert, ohnehin immer nur die anderen trifft - wie Manuel Hirschland glaubte, bevor er selbst den Paßwortfischern ins Netz ging.
