Handelsblatt

MenüZurück
Wird geladen.

07.02.2014

06:24 Uhr

Sicherheitslücken

Vorsicht beim Online-Banking!

VonSara Zinnecker

Bequem, schnell – unsicher: Wer seine Bankgeschäfte im Internet erledigt, muss sich vor Betrügern in Acht nehmen. Welche Sicherheitsverfahren besonders anfällig für Missbrauch sind und wie sich Kunden schützen können.

Sicher, bequem, schnell: 45 Prozent der Deutschen nutzen Online-Banking. Doch lassen sich Betrüger immer neue Maschen einfallen, um an das Geld der Bankkunden zu kommen. Wo Vorsicht geboten ist.

Sicher, bequem, schnell: 45 Prozent der Deutschen nutzen Online-Banking. Doch lassen sich Betrüger immer neue Maschen einfallen, um an das Geld der Bankkunden zu kommen. Wo Vorsicht geboten ist.

DüsseldorfWenn es allein um das Kriterium ‚praktisch‘ ginge, würde wohl kaum ein Bankkunde davor zurückschrecken, seine Bankgeschäfte online zu erledigen: Einige Klicks am Computer oder Smartphone genügen, und die Überweisung ist getätigt, der Kontostand geprüft. Doch spätestens seit den Enthüllungen zum NSA-Abhörskandal sind die Deutschen alarmiert: Laut einer repräsentativen Umfrage des Branchenverbandes Bitkom Ende vergangenen Jahres halten vier von fünf Deutschen ihre Daten im Internet für unsicher. Und etwa jeder Dritte Internetnutzer verzichtet aus Sicherheitsgründen auf Online-Banking.

Ganz unbegründet ist die Sorge nicht. Trotz besserer Sicherheitsverfahren zählt das Bundeskriminalamt (BKA) 2012 noch fast dreieinhalbtausend Betrugsfälle, in denen Kriminelle sich Zugangsdaten und Transaktionsnummern (TANs) der Bankkunden erschlichen haben (sogenanntes ‚Phishing‘); im Schnitt haben sie 4000 Euro erbeutet. Auch die zunehmende Nutzung von Smartphones zur Abwicklung von Bankgeschäften bietet Hackern gute Angriffsflächen.

Fälle der Verbraucherzentralen

VZ NRW

Auf ihrer Internetseite listet die Verbraucherzentrale Nordrhein-Westfalen aktuelle Betrugsfälle im Zusammenhang mit Online-Banking auf. Auch andere Verbraucherzentralen, etwa die der Länder Hessen oder Baden-Württemberg, warnen eindringlich vor Phishing- und Trojaner-Attacken und geben Tipps.

Vermeintliche Steuererstattung

Mit der kryptischen Betreffzeile Steuerlichen Bekannt - Rückerstattung“ kam Anfang Februar eine Reihe betrügerischer E-Mails daher. In schlechtem Deutsch verfasst, kündigen die Kriminellen eine Steuerrückerstattung von 300 Euro an. Der Bürger habe drei Arbeitstage Zeit, den Anspruch geltend zu machen. Zu diesem Zweck befindet sich ein Link weiter unten in der Phishing-Mail. Dieser führt Sie auf eine täuschend echt aussehende, aber dennoch gefälschte Internetseite des Bundesministeriums der Finanzen. 

Neue Trojaner-Welle

Ebenfalls aktuell: eine neue Welle Trojaner. Hinter angeblichen Mahnungen über mehrere Hundert Euro sitzen als Anwälte oder Inkassobüros getarnte Betrüger, die versuchen, Spionagesoftware auf möglichst vielen Rechnern zu verbreiten. Hierzu hängen die Kriminellen den E-Mails als Rechnungen getarnte Viren vom Typ trojanisches Pferd an. 

PayPal

Auch Nutzer des Bezahldienstes PayPal sind aktuell im Visier der Kriminellen. Hinter Betreffzeilen wie „Wichtig! Aktualisieren Sie Ihre Kreditkarte“, „Ihr PayPal Konto“ und „Sepa-Umstellung wichtig“ verbergen sich Betrugsversuche, in denen die Empfänger dazu gebracht werden sollen leichtfertig ihre Zugangsdaten preiszugeben. Besonders tückisch ist, dass Phishing-Mails die auf Kunden von PayPal zielen mittlerweile kaum von echten PayPal-Mails zu unterscheiden sind. Einige dieser Mails sind nicht nur in flüssigem Deutsch geschrieben, sondern sprechen die Empfänger mit ihrem Namen an.

ING-Diba und Postbank

Ende Januar rückten auch Kunden der ING-DiBa und der Postbank ins Visier von Phishing-Betrügern. Eine E-Mail mit Betreff Ihre Konto wird Suspendiert“ wurde mit einem angehängten Virus versendet. Wegen unregelmäßiger Aktivitäten müsse das Konto des Empfängers vorläufig eingeschränkt werden. Um das Konto wieder nutzen zu können, soll das angehängte Dokument heruntergeladen und zur Datenüberprüfung genutzt werden. Ignoriere der Empfänger diese Mail, würde das Konto gesperrt.

„Mobile Endgeräte stellen ein interessantes Zielfeld für Täter dar, weil sich die Nutzer der Gefahr mobiler Betriebssysteme unzureichend bewusst sind“, schreibt das BKA in seinem aktuellen Lagebild zur Internetkriminalität. Doch wie genau funktionieren iTANs, mTANs, Foto-TANs oder NFC-TANs? Und wo liegen bei diesen gängigen Online-Banking-Verfahren die Sicherheitslücken? Der Reihe nach:

iTANs: Für jedes Bankgeschäft, das der Kunde im Internet oder per Smartphone tätigen will, fordert ihn die Bank auf, eine spezielle (‚indizierte‘) Transaktionsnummer einzugeben. Eine Liste solcher durchnummerierter

TANs bekommt der Kunde meist mit Eröffnung des Onlinekontos vom Kreditinstitut zugeschickt. Die Vorteile liegen auf der Hand: Zum einen kann der Kunde ohne zusätzliche Gerätschaft, allein mit einem Stück Papier in der Hand, zum Beispiel eine Überweisung in Auftrag geben. Die Gefahr, dass die Betrüger die Nummernliste tatsächlich physisch in die Finger bekommen, ist ebenfalls recht gering.

Dennoch sind iTAN-Nutzer vor Betrug nicht gefeit. „Ein besonders hinterhältiger Internetvirus könnte sich nämlich auf dem Rechner oder Smartphone einnisten und, vom Nutzer gänzlich unbemerkt, Überweisungen manipulieren“, weiß Steffen von Blumröder, Sicherheitsexperte für Finanzdienstleistungen beim Branchenverband Bitkom. Auch die meisten Banken warnen ihre Kunden regelmäßig vor immer neuen sogenannten Trojanern, die in der Regel über schädliche Email-Anhänge – von der vermeintlich neuen Gebührenordnung bis zum Sicherheitsupdate – auf die Festplatte des Computers oder das Smartphone gelangen.

Kommentare (21)

Selber kommentieren? Hier zur klassischen Webseite wechseln.  Selber kommentieren? Hier zur klassischen Webseite wechseln.

StLo

07.02.2014, 08:01 Uhr

Es gibt immer zwei Seiten der Medaille (Olympia lässt grüßen). Das iTAN- Verfahren wird bei 90% der Banken nicht mehr genutzt. Das iTAN- Verfahren ist tatsächlich ein Verfahren, welches "unsicher" ist. Deshalb wurde das Verfahren mit dem TAN- Generator und das Verfahren mit dem Handy entwickelt. Es gibt aber noch weitere Verfahren wie z.B. das pushTAN- Verfahren der Sparkassen mittels App oder per QR-Code.
Bei all diesen neuen Verfahren kommt es aber auf den Online-Banking-Teilnehmer an. Er muss (je nach Verfahren und genutztes Medium) prüfen, ob die angezeigte Kontonummer und der Bertrag mit den eingegebenen Daten übereinstimmt. Ist dies der Fall wird z.B. die Überweisung wie gewohnt an die "richtige Adresse" geschickt.
Hier ist auch ein Trojaner machtlos. Trotzdem sollte stets eine Antivirensoftware im Einsatz sein.
Auf die sogenannten Phishing-Mails sollte nie geantwortet werden. Eine Bank wird seine Kunden niemals über einen Link per Mail auffordern, Daten zu aktualisieren oder zu überprüfen und per TAN zu bestätigen.

smithie653307034@arcor.de

07.02.2014, 08:27 Uhr

Vollkommen richtig. Der unsicherste Faktor ist immer der Nutzer. ist wie beim Auto fahren - kann unsicher sein, wenn man es nicht beherrscht. Jeder Nutzer kann genau für sich nachvollziehen, welche Transaktion er macht. Aus Erfahrung, da ich in dem Bereich arbeite, weiss ich, dass die meisten Fehler der Leute darin ebstehen, dass sie eben nicht kontrollieren.

Frieda

07.02.2014, 08:32 Uhr

Leider schicken Banken an ihre Kunden mails mit einem Link auf die Homepage (z.B. Kontoauszug / Ertragsabrechnung liegt bereit). Ob die link-Adresse tatsächlich mit der Bankadresse übereinstimmt wird sicher nicht immer geprüft - zumal phishing-Adressen inhaltliche Ähnlichkeiten aufweisen.

Vorschlag: Banken sollten niemals Mails mit Link-Informationen versenden.

Direkt vom Startbildschirm zu Handelsblatt.com

Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.

Auf tippen, dann „Zum Startbildschirm“ hinzufügen.

×