https://www.faz.net/-gqe-re9h

Online-Banking : Phishing war erst der Anfang

  • Aktualisiert am

Bild: F.A.Z.

Die Sicherheit beim Online-Banking wird aus immer neuen Richtungen bedroht: Schon können Hacker angeblich die Online-Sitzung eines Bankkunden übernehmen und selbst Überweisungen tätigen. Wirkungsvoller Schutz: Fehlanzeige.

          Das Online-Banking wird immer beliebter - nicht nur bei Kunden, sondern auch bei Kriminellen. Laut aktuellen Zahlen des Bundesverbandes deutscher Banken (BdB) wickeln inzwischen nahezu vier von zehn deutschen Bankkunden zumindest die Standardvorgänge ihrer Bankgeschäfte online ab. Davon wollen auch Verbrecher profitieren - mit immer ausgefeilteren Methoden. Seit Sommer vergangenen Jahres beobachtet der Verband Versuche, Bankkunden durch so genannte Phishing-E-Mails zur Preisgabe ihrer Geheimzahlen zu bewegen. „Waren es zunächst Phishing-Wellen, ist mittlerweile kein Abflauen mehr zu beobachten“, sagt Verbandssprecherin Kerstin Altendorf.

          Im Vergleich zu Kreditkartenbetrug ist der finanzielle Schaden Branchenkreisen zufolge gering. Eine der ersten europäischen Banken, deren Kunden gezielt angeschrieben wurden, war die Postbank. Sie hat inzwischen auf ein System umgestellt, bei dem der Kunde die für einen Online-Banking-Auftrag erforderliche Transaktionsnummer (TAN) nicht mehr selbst auswählen kann. „Systeme, bei denen die Nutzer die TAN- Nummer selbst aussuchen können, halten den heutigen Gegebenheiten nicht mehr stand“, betont Martha Bennett, Research Director bei Forrester Research.

          „Man in the middle attack“

          Inzwischen sei aus dem Baltikum ein erster Fall gemeldet worden, bei dem ein Hacker die Online-Banking-Sitzung eines Bankkunden übernehmen und selbst Überweisungen tätigen konnte. Im Fachjargon heißt so etwas „man in the middle attack“. „Gegen solche Attacken gibt es derzeit keinen wirkungsvollen Schutz“, sagte Bennett auf einer Fachkonferenz in London.

          Neben bösartiger Software, die Tastatureingaben aufzeichnet und auf diese Weise Geheimnummern ausspioniert („keystroke logging“), gibt es jetzt auch Programme, mit denen sich die Bewegungen des Mauszeigers auf dem Bildschirm verfolgen lassen („screen scraping“). Damit haben die Kriminellen auf die so genannten „virtuellen Tastaturen“ reagiert, mit denen einige Institute ihren Nutzern ermöglichen, Geheimzahlen ohne Tastatur einzugeben. In England, Irland, aber auch teilweise in Frankreich, Italien und Spanien lassen sich Konten schon mit dem Benutzernamen und der PIN-Nummer ausräumen. In Deutschland ist zusätzlich eine TAN-Nummer für jede Transaktion erforderlich.

          Testgelände Baltikum

          Rußland und Weißrußland gelten als mögliche Herkunftsländer der Angriffe im Cyberspace. Die benachbarten baltischen Staaten dienten offenbar als Testgelände, heißt es in Branchenkreisen. Um zu verschleiern, wohin die gestohlenen Gelder fließen, setzen die Kriminellen auf Mittelsmänner. So wurden in Australien Studenten und andere Menschen mit kleinen Einkommen angeheuert. Sie sollten Gelder, die zuvor auf ihr Konto transferiert wurden, gegen eine Beteiligung von zehn Prozent auf andere Konten weiterleiten. Als die Polizei zugriff, waren diese Konten längst geleert.

          Geprellte Kunden wurden bislang von den Banken entschädigt. „Mir ist kein Fall bekannt, bei dem Kunden auf ihren Schäden sitzen geblieben sind“, sagt Altenburg. Das eigentliche Risiko für die Finanzinstitute sieht Bennett allerdings nicht im unmittelbaren finanziellen Schaden. „Wenn sich die Kunden irgendwann vom Online- Banking abwenden, wären nicht nur die Investitionen dafür in den Sand gesetzt. Die Kosten für die Kundenbetreuung in den Filialen oder per Telefon würden auch nach oben gehen.“

          In Deutschland, den Niederlanden und in Schweden fühlen sich Online-Banking-Nutzer den Untersuchungen von Forrester zufolge am sichersten. Knapp drei Viertel der deutschen Nutzer sind Zahlen des BdB zufolge von der Sicherheit des Mediums überzeugt. „Die Banken in Deutschland haben viel zu verlieren“, sagt Bennett. „Momentan stehen sie sehr gut da.“

          Nach Ansicht der Marktforscherin Bennett sollten die Institute neben der Zugangskontrolle mehr im Hintergrund tätig sein, etwa bei der Auswertung des Online-Verhaltens der Nutzer. Wenn sich dann jemand plötzlich aus Minsk einlogge, könne man ja auch einmal anrufen, um zu prüfen, ob es sich tatsächlich um den Kunden handele. Zudem sollten Banken es ihren Kunden ermöglichen, Auslandsüberweisungen oder Einmalüberweisungen an Dritte von ihren Konten auszuschließen.

          Weitere Themen

          Als die Grenze fiel Video-Seite öffnen

          August 1989 : Als die Grenze fiel

          Die Welt hat lange stillgestanden an der ungarisch-österreichischen Grenze. Bis zum 19. August 1989. Dann, vor 30 Jahren, platzte zwischen Fertörákos und Mörbisch eine Nahtstelle des Eisernen Vorhangs – mit weitreichenden Folgen für die Region und ganz Europa.

          Topmeldungen

          Rentenangleichung : Das Märchen von der Armut

          Bald werden die Renten im Osten denen im Westen gleichgestellt sein. Manchen gilt das als Vollendung der deutschen Einheit. Es hat aber auch seine Tücken.

          Vegane Ernährung : Arbeit ohne Heiligenschein

          Immer mehr vegane und vegetarische Lebensmittel kommen auf den Markt. Um sie herum gibt es jede Menge Berufe. Wie ideologisch muss man sein, um in der Branche klarzukommen?

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.