https://www.faz.net/-gv6-rww5

Online-Banking : Phishers Fritz fischt Konten ab

  • Aktualisiert am

Phishing: Der Nutzer als Sicherheitsrisiko Bild: FAZ.NET

Immer öfter gelingt es Betrügern, übers Internet an das Geld argloser Bankkunden heranzukommen. Finanztest erklärt, wie der Online-Diebstahl funktioniert, gibt Tips für mehr Sicherheit und sagt, mit welcher Technik Onlinebanking sicher ist.

          Nichts ist unmöglich. Trotz aller Bemühungen um Sicherheit im Onlinebanking gelingt es Betrügern immer öfter, übers Internet an das Geld argloser Bankkunden heranzukommen.

          Bei den Staatsanwaltschaften häufen sich die Akten. Bislang zeigten die Banken sich kulant und ersetzten die Schäden. Doch längst nicht in jedem Fall sind die Unternehmen in der Pflicht. Meist führen Sorglosigkeit und Sicherheitslücken in Heim-PCs zum Online-Diebstahl. Finanztest erklärt, wie der Online-Diebstahl funktioniert, gibt Tips für mehr Sicherheit und sagt, mit welcher Technik Onlinebanking sicher ist (siehe auch: Tips für Onlinebanking und Stichworte zum Onlinebanking).

          Phishzug mit gefälschten Internetseiten

          Die billigste Masche ist Phishing: Das Kunstwort aus Passwort und Fishing steht fürs Abfischen von persönlichen Geheim- und Transaktionsummern (Pins und Tans) mit gefälschten E-Mails und Webseiten. In angeblich von Banken stammenden Mails wird unter einem Vorwand dazu aufgefordert, Kontonummer, Pin und Tan einzugeben.

          Fällt der Empfänger darauf herein, starten die Phisher flugs selbst übers Onlinebanking einen Überweisungsauftrag. Meist fließt das Geld über Strohmänner ins Ausland und ist oft genug verloren. Bisher haben die Banken sich kulant gezeigt und die Beträge ersetzt. Eine Rechtspflicht dazu besteht beim klassischen Phishen nach Auffassung der meisten Juristen jedoch nicht.

          Pharmer auf Datenjagd

          Sehr viel gefährlicher und raffinierter ist das so genannte Pharming. Dabei wird ein spezielles kleines Programm auf den PC eines Onlinekonto-Inhabers geschleust. Das manipuliert anschließend den Browser. Die echte Internetadresse führt danach zur falschen Seite. Die kann genau so aussehen wie die Originalseiten. Trotzdem landen alle Daten bei den Pharmern. Selbst für Computerfreaks ist die Manipulation schwer erkennbar. Das Risiko, daß es Pharmern vor Entdeckung des Betrugs gelingt, Geld beiseite zu schaffen, ist hoch.

          Fast ebenso gefährlich: der Online-Diebstahl per Trojaner. So werden kleine Programme genannt, die es Hackern ermöglichen, alle Daten im PC auszuspähen. Wenn es Online-Dieben gelingt, ein solches Programm auf einen Rechner zu schmuggeln, können sie Pins auskundschaften und Tans sofort bei Eingabe abfangen. Trojaner-Alarm ist angesagt, wenn die Verbindung zum Onlinebanking nach Eingabe einer Tan mit einer Fehlermeldung abbricht.

          Technik mit Sicherheitslücken

          Technischer Hintergrund: Kein PC mit Verbindung zum Internet ist wirklich sicher. Moderne Betriebssysteme und Internet-Software sind so komplex, daß Hacker immer wieder Lücken finden, durch die sich Programme auf fremde Computer schmuggeln lassen. Dazu kann unter Umständen schon der Aufruf einer speziell präparierten Webseite oder die Ansicht einer E-Mail ausreichen.

          Softwarehersteller arbeiten ständig daran, Sicherheitslücken aufzuspüren und so schnell wie möglich zu schließen. Besonders gefährlich ist der Zeitraum zwischen Entdeckung einer Sicherheitslücke und der Entwicklung von Gegenmaßnahmen. Ebenso gefährlich leben Inhaber von Online-Konten, die von PCs ohne aktuelle Virenschutzsoftware und/oder zureichende Sicherheitseinstellungen aus Verbindung zur Bank aufnehmen. Noch gefährlicher: das Öffnen von E-Mail-Anhängen unbekannter Absender. Sie enthalten sehr oft Schadprogramme oder Trojaner.

          Sicherheit durch Chipkarte

          Zwei Varianten des Onlinebanking ist nach allem, was bisher bekannt ist, trotz allem sicher: HBCI und FinTS, wenn sie jeweils mit einem modernen Kartenlesegerät mit eigener Tastatur zur Eingabe der persönlichen Geheimnummer kombiniert sind. Bankkunden brauchen dafür neben dem Kartenlesegerät eine Chipkarte und eine persönliche Geheimnummer und müssen spezielle Software auf ihrem PC installieren.

          Fürs Onlinebanking schieben sie die Chipkarte ins Lesegerät und geben ihre Geheimnummer ein. Der entscheidende Schritt bei der Prüfung der Berechtigung geschieht schon im Lesegerät. Selbst über Trojaner oder andere Spionage-Programme können Hacker daher nicht an die Daten kommen, mit denen sich eine Buchung auslösen läßt. Offenbar wegen der Notwendigkeit von Extra-Software, Chipkarte und Lesegerät haben sich sichere Onlinebanking-Verfahren bisher nicht durchgesetzt. Die meisten Bankkunden blieben trotz aller Risiken beim bequemen Onlinebanking per Pin und Tan. Viele Banken bieten HBCI daher schon gar nicht mehr an.

          Weitere Themen

          Topmeldungen

          Fed-Präsident Jerome Powell : Trumps Buhmann

          Jerome Powell lenkt die mächtigste Zentralbank der Welt. Der Fed-Chef schlägt eine fast aussichtslose Schlacht – auch gegen seinen eigenen Präsidenten. Nun warten Anleger und Politiker in der ganzen Welt auf eine Rede von ihm.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.