https://www.faz.net/-gqe-re9h

Online-Banking : Phishing war erst der Anfang

  • Aktualisiert am

Bild: F.A.Z.

Die Sicherheit beim Online-Banking wird aus immer neuen Richtungen bedroht: Schon können Hacker angeblich die Online-Sitzung eines Bankkunden übernehmen und selbst Überweisungen tätigen. Wirkungsvoller Schutz: Fehlanzeige.

          2 Min.

          Das Online-Banking wird immer beliebter - nicht nur bei Kunden, sondern auch bei Kriminellen. Laut aktuellen Zahlen des Bundesverbandes deutscher Banken (BdB) wickeln inzwischen nahezu vier von zehn deutschen Bankkunden zumindest die Standardvorgänge ihrer Bankgeschäfte online ab. Davon wollen auch Verbrecher profitieren - mit immer ausgefeilteren Methoden. Seit Sommer vergangenen Jahres beobachtet der Verband Versuche, Bankkunden durch so genannte Phishing-E-Mails zur Preisgabe ihrer Geheimzahlen zu bewegen. „Waren es zunächst Phishing-Wellen, ist mittlerweile kein Abflauen mehr zu beobachten“, sagt Verbandssprecherin Kerstin Altendorf.

          Im Vergleich zu Kreditkartenbetrug ist der finanzielle Schaden Branchenkreisen zufolge gering. Eine der ersten europäischen Banken, deren Kunden gezielt angeschrieben wurden, war die Postbank. Sie hat inzwischen auf ein System umgestellt, bei dem der Kunde die für einen Online-Banking-Auftrag erforderliche Transaktionsnummer (TAN) nicht mehr selbst auswählen kann. „Systeme, bei denen die Nutzer die TAN- Nummer selbst aussuchen können, halten den heutigen Gegebenheiten nicht mehr stand“, betont Martha Bennett, Research Director bei Forrester Research.

          „Man in the middle attack“

          Inzwischen sei aus dem Baltikum ein erster Fall gemeldet worden, bei dem ein Hacker die Online-Banking-Sitzung eines Bankkunden übernehmen und selbst Überweisungen tätigen konnte. Im Fachjargon heißt so etwas „man in the middle attack“. „Gegen solche Attacken gibt es derzeit keinen wirkungsvollen Schutz“, sagte Bennett auf einer Fachkonferenz in London.

          Neben bösartiger Software, die Tastatureingaben aufzeichnet und auf diese Weise Geheimnummern ausspioniert („keystroke logging“), gibt es jetzt auch Programme, mit denen sich die Bewegungen des Mauszeigers auf dem Bildschirm verfolgen lassen („screen scraping“). Damit haben die Kriminellen auf die so genannten „virtuellen Tastaturen“ reagiert, mit denen einige Institute ihren Nutzern ermöglichen, Geheimzahlen ohne Tastatur einzugeben. In England, Irland, aber auch teilweise in Frankreich, Italien und Spanien lassen sich Konten schon mit dem Benutzernamen und der PIN-Nummer ausräumen. In Deutschland ist zusätzlich eine TAN-Nummer für jede Transaktion erforderlich.

          Testgelände Baltikum

          Rußland und Weißrußland gelten als mögliche Herkunftsländer der Angriffe im Cyberspace. Die benachbarten baltischen Staaten dienten offenbar als Testgelände, heißt es in Branchenkreisen. Um zu verschleiern, wohin die gestohlenen Gelder fließen, setzen die Kriminellen auf Mittelsmänner. So wurden in Australien Studenten und andere Menschen mit kleinen Einkommen angeheuert. Sie sollten Gelder, die zuvor auf ihr Konto transferiert wurden, gegen eine Beteiligung von zehn Prozent auf andere Konten weiterleiten. Als die Polizei zugriff, waren diese Konten längst geleert.

          Geprellte Kunden wurden bislang von den Banken entschädigt. „Mir ist kein Fall bekannt, bei dem Kunden auf ihren Schäden sitzen geblieben sind“, sagt Altenburg. Das eigentliche Risiko für die Finanzinstitute sieht Bennett allerdings nicht im unmittelbaren finanziellen Schaden. „Wenn sich die Kunden irgendwann vom Online- Banking abwenden, wären nicht nur die Investitionen dafür in den Sand gesetzt. Die Kosten für die Kundenbetreuung in den Filialen oder per Telefon würden auch nach oben gehen.“

          In Deutschland, den Niederlanden und in Schweden fühlen sich Online-Banking-Nutzer den Untersuchungen von Forrester zufolge am sichersten. Knapp drei Viertel der deutschen Nutzer sind Zahlen des BdB zufolge von der Sicherheit des Mediums überzeugt. „Die Banken in Deutschland haben viel zu verlieren“, sagt Bennett. „Momentan stehen sie sehr gut da.“

          Nach Ansicht der Marktforscherin Bennett sollten die Institute neben der Zugangskontrolle mehr im Hintergrund tätig sein, etwa bei der Auswertung des Online-Verhaltens der Nutzer. Wenn sich dann jemand plötzlich aus Minsk einlogge, könne man ja auch einmal anrufen, um zu prüfen, ob es sich tatsächlich um den Kunden handele. Zudem sollten Banken es ihren Kunden ermöglichen, Auslandsüberweisungen oder Einmalüberweisungen an Dritte von ihren Konten auszuschließen.

          Weitere Themen

          „Das war eine Kurzschlussreaktion“

          Maut-Betreiber : „Das war eine Kurzschlussreaktion“

          In Berlin hat die Sitzung des Maut-Untersuchungsausschusses begonnen. Bevor am Abend erstmals Verkehrsminister Scheuer aussagen soll, werden vier andere Zeugen gehört. Darunter Manager der ursprünglich vorgesehenen Mautbetreiber.

          Topmeldungen

          Sichtlich gezeichnet, aber am Leben: Dieses Foto veröffentlichte Alexej Nawalnyj am 23. September auf seinem Instagram-Account

          Moskau über Nawalnyj-Interview : „Putin hat sein Leben gerettet“

          Russland reagiert empört auf ein Interview, in dem Alexej Nawalnyj den russischen Präsidenten persönlich für seine Vergiftung verantwortlich macht. Der Kreml bemüht sich, Nawalnyjs Kollaps als „Inszenierung“ darzustellen.
          Klare Botschaft: Protestlerin bei einer „MeToo“-Demonstration in Paris

          Weiblicher Zorn : Wie gefährlich ist die wütende Frau?

          Wütende Männer gelten als dominant, wütende Frauen dagegen als hysterisch oder zickig. Das Zeigen dieser Emotion bedeutet für sie einen Statusverlust. Dabei kann der weibliche Zorn eine sehr nützliche Waffe sein.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.