Handelsblatt

MenüZurück
Wird geladen.

24.04.2012

16:55 Uhr

Angriffsmethoden

Betrüger rüsten beim Online-Banking auf

Jahrelange Aufklärung zeigt ihre Wirkung: Die faulen Tricks für das Abfischen von Passwörtern ziehen bei den meisten Bankkunden nicht mehr. Die Betrugsmethoden sind raffinierter geworden.

Altes Online-Banking-Portal der Postbank. Inzwischen haben Betrugsmethoden mit TANs ausgedient. dpa

Altes Online-Banking-Portal der Postbank. Inzwischen haben Betrugsmethoden mit TANs ausgedient.

BerlinMit schlichten Phishing-Tricks gelangen Betrüger nicht mehr so oft an Bankdaten ihrer Opfer wie noch vor einigen Jahren. Inzwischen wissen die meisten Internet-Nutzer: Man klickt eben nicht auf Links in E-Mails unbekannter Absender und man gibt auf gefälschten Webseiten, die dann im Browser erscheinen, auch nicht persönliche Daten fürs Online-Banking ein. „Das klassische Phishing über E-Mail ist ein Auslaufmodell“, sagt der Sicherheitsexperte beim IT-Branchenverband Bitkom, Lutz Neugebauer.

So haben die Täter längst dazugelernt. Eine erste Weiterentwicklung von Phishing war eine zusätzliche technische Manipulation, bei der dem Opfer im Browser die korrekte Internet-Adresse der Bank vorgegaukelt wird, obwohl die dargestellte Webseite auf einem Computer des Betrügers liegt.

Einem solchen DNS-Spoofing oder Pharming fiel im Januar 2009 auch der Rentner zum Opfer, über dessen Fall am Dienstag der Bundesgerichtshof in Karlsruhe beriet. Das Urteil: Bankkunden, die auf gefälschten Webseiten ihre Trankaktionsnummern (TAN) angeben, müssen für den Schaden durch betrügerische Überweisungen in der Regel selbst aufkommen. Vom Konto des klagenden Bankkunden aus Nordrhein-Westfalen waren 5000 Euro nach Griechenland überwiesen worden.

Wie Sie ihr Konto beim Online-Banking schützen

TAN

Die alte TAN hat ausgedient - zu leicht zu knacken. Weil Betrüger immer neue Wege finden, Kontodaten im Internet abzugreifen, verschärfen auch Banken ihre Sicherheitsstandards beim Online-Banking. Den klassischen Weg mit geheimem PIN-Code und einer Sammlung von Transaktionsnummern (TAN) nach dem Zufallsprinzip gibt es fast gar nicht mehr. Auch das sogenannte indizierte TAN-Verfahren (iTAN) mit durchnummerierten Codes läuft aus, weil es zu viele Schwachstellen hat.

TAN per SMS

Wer das Handy immer in Reichweite hat, der kann sich seine TAN per SMS schicken lassen. Dazu hinterlegt man einmalig seine Nummer bei der Bank - und bekommt automatisch eine mobile TAN (mTAN) geschickt, um eine Transaktion zu bestätigen. Die haben meist nur eine begrenzte Gültigkeit, um in falschen Händen nicht missbraucht werden zu können.

Risiken lauern trotzdem - gerade bei Smartphones. Denn es gibt schon Programme, die TAN-SMS abgefangen oder auf Handys von Betrügern umleitet sollen. „Die Einführung der Smartphones ist eine Gefahr für das Online-Banking“, warnt Georg Borges, Jura-Professor an der Ruhr-Universität Bochum. „Es gibt ernsthafte Versuche, in mTANs einzugreifen.“

Bestätigungen für einen erfolgreichen Angriff gebe es allerdings noch nicht. Außerdem seien ältere Handys ohne Internetnutzung sicherer - wenn auch nicht unangreifbar. Laut Verbraucherzentrale Nordrhein-Westfalen verbieten Banken in ihren Geschäftsbedingungen deswegen, dass mTANs an Handys geschickt werden, mit denen Bankgeschäfte erledigt werden.

TAN-Generator

Wem die Handy-Variante zu viel Angriffsfläche bietet, der kann bei vielen Banken auf sogenannte TAN-Generatoren zurückgreifen. Die sehen aus wie kleine Taschenrechner mit einem Leseschlitz, in den der Kunde seine EC-Karte schiebt. Je nach Anbieter braucht die Maschine dann mehr oder weniger Informationen, um schließlich auf Knopfdruck eine TAN auszuspucken - das Sicherheitsniveau ist entsprechend unterschiedlich.

Einigen Modellen reicht schon eine Kontrollnummer auf der Webseite der Bank. Andere lesen beim sogenannten optischen Verfahren einen flackernden Strichcode auf der Webseite der Bank aus. Dazu haben die Geräte Sensoren, die der Kunde an den Bildschirm halten muss. Erst wenn der richtige Strichcode erkannt ist, zeigt das Gerät die TAN an.

Die sicherste Variante ist laut Professor Borges aber die, bei der Daten aus der Überweisung in die Berechnung der TAN einbezogen werden - etwa eine Zahlenfolge aus der Kontonummer des Empfängers. „Mit der jeweiligen TAN kann dann nur diese spezielle Überweisung getätigt werden“, sagt Borges.

Allerdings kosten die Generatoren zwischen zehn und 15 Euro und müssen zur Überweisung immer zur Hand sein. „Das ist eine Abwägung zwischen Komfort und Sicherheit“, sagt der Sprecher des Bundesamts für Sicherheit in der Informationstechnik (BSI), Matthias Gärtner. „Das Mobiltelefon habe ich immer dabei.“

Virenschutz

Neben einem sicheren TAN-Verfahren empfiehlt es sich, auch den eigenen Computer samt Virenschutz immer auf dem aktuellen Stand zu halten, um Betrügern den Zugriff möglichst schwer zu machen. „Wir raten auch von Online-Banking in unbekannten oder ungesicherten Drahtlosnetzwerken ab“, sagt Professor Borges. Außerdem sollten Kunden ihre Kontobewegungen regelmäßig prüfen, um einen Betrug schnell zu entdecken und die Bank zu informieren.

HBCI-Verfahren

Allerhöchste technische Sicherheit liefert das HBCI-Verfahren, das einige Banken anbieten. Das Homebanking Computer Interface hat aber seinen Preis: Neben einem speziellen Lesegerät braucht der Kunde ein Computerprogramm und eine Chipkarte mit einem digitalen Schlüssel. Erst diese Dreierkombination verpasst der Transaktion eine kaum zu fälschende Signatur. Selbst geklaute Passwörter sind ohne Zugriff auf die Chipkarte dann nutzlos. Allerdings laufen Überweisungen auch nur mit den Rechnern, auf denen die Software installiert ist.

Die statistischen Zahlen zeigen das Ausmaß der Betrugsdelikte in der Vergangenheit: Das Bundeskriminalamt zählte 2010 noch 5300 Fälle, in denen Phishing im Zusammenhang mit Online-Banking zur Anzeige gebracht wurde - das waren 82 Prozent mehr als ein Jahr zuvor. Für 2011 liegen noch keine Angaben vor.

Bei der Sicherheitssoftwarefirma G Data hat der Experte Ralf Benzmüller festgestellt: „Das Phishing ist vom Online-Banking in andere Bereiche umgezogen.“ Weil die Phishing-Betrüger kaum noch an die einmaligen Transaktionsnummern (TAN) herankommen, attackieren sie jetzt vor allem Webseiten, bei denen man sich nur mit Nutzername und Passwort anmelden muss. Das betrifft neben Sozialen Netzwerken wie Facebook und Twitter auch finanziell lukrative Ziele wie Online-Kasinos und Betreiber von Pokerspielen, aber auch den Bezahldienst PayPal, der noch häufig zum Ziel von Phishing-Attacken wird. Nach einer Studie von Microsoft handelt es sich bei 4,1 Prozent aller ausgewerteten Spam-E-Mails um Phishing-Attacken.

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt fest: „Klassisches Phishing ist praktisch nicht mehr festzustellen.“ Das bedeute aber nicht, dass der sogenannte Identitätsdiebstahl - also die Übernahme der Nutzeridentität durch einen Betrüger - keine Bedrohung mehr darstelle.

Direkt vom Startbildschirm zu Handelsblatt.com

Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.

Auf tippen, dann „Zum Startbildschirm“ hinzufügen.

×