27.06.2005 · IT-Dienstleister suchen rund um die Uhr nach den Betrügern, die mit immer raffinierteren Methoden an Daten gelangen. Die Postbank reagiert mit einem sichereren PIN-TAN-Verfahren auf illegale Kontozugriffe im Internet.
© picture-alliance / dpa/dpaweb
Keine Chance für Phishing: neue PIN-TAN-Verfahren
Internet-Betrüger, die sich mit gefälschten E-Mails die Zugangsdaten zu Online-Bankkonten erschwindeln, setzen die Banken in aller Welt unter Druck. Als eine der ersten Banken in Deutschland hat nun die Postbank auf die Gefahr des „Phishings“ reagiert: „Wir modifizieren im Sommer unser PIN-TAN-Verfahren. Die Transaktionsnummern werden durchnumeriert. Nur mit der Eingabe der richtigen Nummer kann die Transaktion ausgeführt werden“, sagte ein Postbank-Sprecher der F.A.Z.. Zudem führt die Postbank eine 3.000-Euro-Obergrenze für Online-Überweisungen ein.
Die Direktbank 1822 Direct hat dieses modifizierte PIN-TAN-Verfahren bereits vor wenigen Wochen eingeführt. Auch in der Deutschen Bank wird diese Änderung des PIN-TAN-Verfahrens heiß diskutiert. Eine Entscheidung ist aber noch nicht getroffen. Mit der neuen Technik wollen die Banken das Phishing in den Griff bekommen. Dabei versenden Betrüger massenhaft gefälschte E-Mails an Online-Bankkunden, die scheinbar von der eigenen Bank kommen und neben den Persönlichen Identifikationsnummern (PIN) auch eine Transaktionsnummer ergaunern wollen.
Kleine Beträge fallen kaum auf
Mit diesen Daten läßt sich dann Geld vom Konto abheben und in das Ausland transferieren. Die Phishing-Gefahr wird stetig größer. Jede Woche sind inzwischen zwei bis drei Phishing-Angriffe in Deutschland zu beobachten, sagt Raimund Genes, Deutschland-Chef des amerikanischen IT-Sicherheitsunternehmens Trend Micro. „Inzwischen sind die Phishing-Mails sehr professionell geworden. Daher fallen immer noch Internetnutzer darauf herein“, sagte er.
Nach Schätzung von Jörg Lamprecht vom IT-Unternehmen Internet Security Systems (ISS) haben Hacker im vergangenen Jahr in Deutschland bei Internet-Unternehmen und Bankkunden rund 70 Millionen Euro Schaden angerichtet. „Die Hacker buchen kleine Beträge von beispielsweise 8,45 Euro ab, die vom Kunden oft gar nicht bemerkt werden. Wenn sie das hunderttausendmal machen, kommt einiges zusammen“, sagte Lamprecht der Nachrichtenagentur dpa.
Sicherheitsunternehmen im Einsatz
Nach Angaben der Anti-Phishing Working Group standen im April die Kunden von 2.850 Banken, Internet-Marktplätzen oder Bezahlsystemen im Visier der Internet-Betrüger. Jeden Monat steigt diese Zahl um rund 15 Prozent an. 1,2 Millionen Amerikanern seien in den vergangenen zwölf Monaten 929 Millionen Dollar durch Phishing abhanden gekommen, schätzt das Marktforschungsunternehmen Gartner. Kunden in Deutschland ist nach Angaben der Banken bisher allerdings kein Schaden entstanden.
„Überweisungen ins Ausland werden zurückgeholt. Sollte das länger dauern, legt die Bank dem Kunden das Geld vor“, sagte der Postbank-Sprecher. Zudem haben die Deutsche Bank und die Postbank Sicherheitsunternehmen beauftragt, die verdächtige E-Mails herausfiltern, um dann die gefälschte Internet-Seite möglichst schnell vom Netz zu nehmen. In der Regel vergehen zwischen dem Auftauchen der ersten E-Mail und dem Abschalten der Internet-Seite nur wenige Stunden.
Online-Banking mit Fingerabdruck
Allerdings stehen die deutschen Banken in der Kritik, bisher zuwenig gegen Phishing getan zu haben. „Die deutschen Banken sollten sich wirklich überlegen, ob das eingesetzte PIN-TAN-Verfahren noch sicher ist“, sagte Genes. Auch Lamprecht übt Kritik: „Das Problem wird von der Branche totgeschwiegen. Die Banken haben kein Interesse daran, daß Schadensfälle an die Öffentlichkeit gelangen, weil das ihr Image gefährden würde“, sagte er. Die Banken würden die derzeit 30 Millionen Online-Banking-Kunden nur aufklären, ohne wirksame Schritte gegen das Phishing zu unternehmen. Bei Beschwerden der Kunden reagierten die Banken bisher kulant und zahlten den abgebuchten Betrag zurück.
Lamprecht fordert, daß Banken künftig biometrische Daten wie Iris und Fingerabdruck abfragen, um einen Bankkunden am heimischen PC genau zu identifizieren. Eine Lösung könnten auch Lesegeräte am Computer sein, die Banküberweisungen nur mit der Original-Karte erlaubten. „Solche Maßnahmen würden allerdings Millionen kosten, und die Technik ist teilweise noch nicht ausgereift.“ (ht.)
| Name | Kurs | Prozent |
|---|---|---|
| FAZ-INDEX | 1.376,76 | −0,07% |
| Dow Jones | 12.454,80 | −0,60% |
| EUR/USD | 1,2536 | −0,31% |
| Rohöl Brent Crude | 107,26 $ | +0,38% |
| Gold | 1.569,50 $ | +0,06% |
Anonym bewerben? Ist das gut?
