Sicherheit Der "Bankraub per E-Mail" kommt in Mode

Die E-Mail macht einen harmlosen Eindruck. "Lieber Ebay-Kunde, während unserer regelmäßigen Kontoüberprüfung haben wir einen kleinen Fehler in Ihren Rechnungsdaten festgestellt", heißt es in englischer Sprache. "Bitte aktualisieren und überprüfen Sie Ihre Daten. Klicken Sie dafür auf folgenden Link https://scgi.ebay.com ... Mit freundlichen Grüßen, Ihre Ebay Sicherheitsabteilung". Wer auf den Link klickt, gelangt zu einer Internet-Seite, die wie Ebay aussieht, aber nicht von Ebay ist.

Statt dessen sind die Seite und die zugehörige Internet-Adresse wohl von Betrügern in Taipeh gefälscht worden, um an die Paßwörter der Nutzer zu kommen. Die neue Masche nennt sich "Phishing" und wird aus den Wörtern "Paßwort" und "Fishing" gebildet. "Phishing erlebt einen Boom in der Szene. Noch vor einem Jahr hatte niemand etwas davon gehört, und nun registrieren wir jeden Monat rund 250 000 Phishing-E-Mails", sagt Paul Wood vom Internet-Sicherheitsunternehmen Messagelabs.

Phishing bei Deutscher Bank und Postbank

Vor allem die Banken sind sensibilisiert, da inzwischen jeder dritte Deutsche sein Bankkonto im Internet führt. "Phishing ist Vorstandsthema in den Banken", sagt Volker Pampus, Deutschland-Geschäftsführer von Internet Security Systems. Phishing ist aus den Vereinigten Staaten nach Deutschland übergeschwappt: Ende der vergangenen Woche bekamen Kunden der Deutschen Bank und der Postbank Phishing-E-Mails.

In den angeblich von den Banken versendeten E-Mails werden die Kunden vor Betrügereien im Internet gewarnt und auf die Internet-Seiten http://POSTBANKS.INFO und http://deutsche-bnk.info gelockt, die den echten Seiten der Kreditinstitute stark ähneln. Dort wird neben der persönlichen Identifikationsnummer (PIN) auch gleich noch eine Transaktionsnummer (TAN) abgefragt. Mit Hilfe dieser Nummern könnte das Konto eines gutgläubigen Kunden leergeräumt werden.

Inzwischen haben Deutsche Bank und Postbank die Seiten schließen lassen und die Ermittlungsbehörden eingeschaltet. Die Postbank hat ihre Kunden, die ihre Daten trotz der Warnungen auf der gefälschten Internet-Seite eingegeben haben, auf ihrer Internet-Seite zur sofortigen Änderung der Geheimzahl aufgefordert.

Die Qualität der Fälschungen steigt

Nach Schätzungen des amerikanischen Marktforschungsunternehmens Gartner betrugen die Schäden, die Banken, Kreditkartengesellschaften und Internet-Nutzern im vergangenen Jahr aus dem Paßwort-Diebstahl entstanden sind, rund 1,2 Milliarden Dollar allein in Amerika. "Finanzinstitute, Internet Service Provider und andere Anbieter sollten Phishing ernst nehmen", sagt Gartner-Analyst Avivah Litan. Für Europa liegen noch keine Schätzungen über die Höhe der Schäden vor: "Der finanzielle Schaden ist aber signifikant genug, um tätig zu werden", sagt Messagelabs-Fachmann Wood im Gespräch mit dieser Zeitung.

Zudem steige die Qualität der gefälschten E-Mails: "Am Anfang waren die Texte noch schlecht übersetzt, so daß sie schnell als Fälschung aufgefallen sind. Inzwischen sind die Phishing-Methoden aber sehr professionell", warnt Wood. Die Tricks werden immer raffinierter: Internet-Seiten lassen sich inzwischen so täuschend echt nachbauen, daß sogar das Zeichen für eine verschlüsselte SSL-Verbindung in der Statusleiste des Browsers auftaucht, selbst wenn der Nutzer nicht mehr sicher mit seiner Bank verbunden ist.

Andere Betrüger blenden im Hintergrund die echte Internet-Seite ein, nutzen aber ein sogenanntes Pop-up-Fenster, um an die persönlichen Daten heranzukommen. Neueste Masche: Die Betrüger versuchen, mit Hilfe einer Phishing-E-Mail einen sogenannten Trojaner auf die Festplatte des Nutzers zu schmuggeln. Das Spionageprogramm merkt sich Tastatureingaben und gibt sie weiter.

Psychologischer Druck

Oft werden die Empfänger psychologisch unter Druck gesetzt: Scheinbar warnt die Ebay-Sicherheitsabteilung in einer E-Mail ihre Kunden, daß ihr Account von Dritten gekidnappt worden sei. Um den richtigen Nutzer zu verifizieren, sei eine Überprüfung der persönlichen Daten erforderlich. Wenn der Nutzer der Aufforderung nicht folge, werde sein Konto gesperrt. Der Klick auf den Link führt die Nutzer zu einer gefälschten Internet-Seite in São Paulo.

Fachleute vermuten organisierte kriminelle Banden hinter der Phishing-Welle, die sich für den Versand der Methoden der Spammer bedienen, die mit unerwünschten Werbe-E-Mails die Postfächer der Internet-Nutzer überfluten. "Die Technik hinter den E-Mails ist sehr ähnlich", sagt Wood. Die Sicherheitsunternehmen arbeiten inzwischen mit Behörden wie der amerikanischen Bundespolizei FBI zusammen, um den Urhebern auf die Spur zu kommen.

"Mit Phishing läßt sich viel Geld verdienen“

Allerdings könnte sich der Kreis der Verdächtigen schnell erweitern, denn im Internet kursieren inzwischen sogenannte Phishing-Kits. Mit diesen Software-Paketen lassen sich Internet-Seiten fälschen und Phishing-E-Mails vergleichsweise einfach versenden.

"Bis heute wurden Phishing-Attacken fast nur von organisierten kriminellen Banden durchgeführt. Mit der frei verfügbaren Software kann nun fast jeder die Online-Seiten von Banken fälschen und die ahnungslosen Kunden dazu bringen, sensible Daten preiszugeben", sagt Pino von Kienlin, Geschäftsführer des IT-Sicherheitsunternehmens Sophos. "Mit Phishing läßt sich viel Geld verdienen. Wenn Amateure die notwendigen Werkzeuge in die Hände bekommen, steigt die Zahl der Attacken wahrscheinlich weiter", warnt er.

Unternehmen setzten auf Aufklärung

Die Banken und E-Commerce-Anbieter setzen vor allem auf die Aufklärung der Kunden: "In Sicherheitshinweisen warnen wir unsere Kunden davor, auf solche E-Mails zu reagieren", sagt ein Sprecher der Deutschen Bank und weist eine Verantwortung von sich: "Phishing passiert auf den Rechnern unserer Kunden. Unser Online-Banking-System ist nicht betroffen."

Auch Ebay setzt auf Aufklärung: "Wir weisen unsere Mitglieder kontinuierlich darauf hin, daß wir sie niemals per E-Mail nach solchen vertraulichen Daten fragen würden. Ebay-Nutzer sollten auf keinen Fall auf derartige E-Mails antworten und auch nicht auf darin eventuell enthaltene Links klicken", rät eine Sprecherin.

Frühwarnsysteme

Zusätzlich rüsten die Unternehmen zum Schutz ihrer Kunden technisch auf. Ebay empfiehlt die Nutzung seiner neuen Toolbar. Dieses Zusatzprogramm warnt vor der Eingabe persönlicher Daten, wenn sich der Nutzer auf Internet-Seiten befindet, die nicht von Ebay oder Paypal, dem konzerneigenen Zahlungsdienstleister, verifiziert wurden.

Auch die Banken wollen für mehr Sicherheit sorgen. "Wir stehen mit Anbietern von Frühwarnsystemen in Verhandlungen. Die Systeme helfen, gefälschte Internet-Seiten früh zu erkennen", sagt ein Sprecher der Deutschen Bank. Auch die Postbank sondiert nach eigenen Angaben die Angebote.

"Niemand möchte der Vorreiter sein"

Sicherheitsfachleute raten, die Internet-Adresse der Bank oder des Online-Händlers niemals aus einer E-Mail heraus aufzurufen, sondern immer direkt im Browser einzugeben oder in der Lesezeichen-Liste anzuklicken. "Online-Bankgeschäfte sollten auch nicht aus einem Internet-Café heraus getätigt werden", rät Sicherheitsexperte Pampus.

Der nächste Schritt sei die Sicherung der heimischen Rechner und der Internet-Verbindung. Zum Beispiel arbeiteten Schweizer Banken mit sogenannten Virtuellen Privaten Netzen (VPN), die einen geschützten Verbindungstunnel zum Nutzer aufbauen.

Ein weiterer Schritt ist der Einsatz sogenannter digitaler Signaturen, die zweifelsfrei die Identität des Internet-Nutzers klären. Die Technik ist erprobt, aber teuer. Bei der Deutschen Bank nutzen nur rund 1500 Kunden die digitale Signatur. Die Postbank will vorerst beim bequemen PIN/TAN-System bleiben. "Wir warten auf den Durchbruch der digitalen Signatur", sagt ein Postbank-Sprecher. In dieser Haltung sieht Pampus das Haupthindernis für die neue Technik: "Niemand möchte der Vorreiter sein."