Onlinebanking Angriff der Datendiebe

Bankgeschäfte bequem von zu Hause aus erledigen und dabei auch noch Geld sparen – immer mehr Kunden nutzen diese Möglichkeit. Doch damit steigt auch das Risiko, einem Internetbetrüger zum Opfer zu fallen. manager-magazin.de sagt, wie Sie sich vor Phishing, Pharming und Co. schützen können.

Hamburg – Onlinebanking boomt. Etwa jeder dritte Deutsche über 18 Jahren wickelt seine Bankgeschäfte inzwischen im Internet ab. Trotz verstärkter Sicherheitsbemühungen der Kreditinstitute besteht dabei nach wie vor für jeden Nutzer das Risiko, einem Betrug zum Opfer zu fallen.

Allein im vergangenen Jahr stieg die Zahl der Angriffe auf ahnungslose Bankkunden um 32 Prozent auf 3250 Fälle, wie der Branchenverband Bitkom anhand einzelner Erhebungen der Landeskriminalämter herausfand. Insgesamt sei dadurch ein Schaden in Höhe von 13 Millionen Euro entstanden.

Der tatsächliche Betrag könnte sogar noch weitaus höher ausfallen. Schließlich werden in die Statistik nur die Fälle aufgenommen, die auch wirklich zur Anzeige gebracht werden. Sollte sich die Bank aber mit dem geschädigten Kunden im Stillen einigen, um beispielsweise negative Schlagzeilen zu vermeiden, taucht der Betrug in den Daten der Kriminalämter nicht auf.

Klar ist jedenfalls, dass die Anzahl der Betrugsfälle ebenso wie die Schadenshöhe stetig zunimmt. "Das liegt daran, dass immer mehr Kunden Onlinebanking nutzen und die Methoden der Internetkriminellen immer ausgefeilter werden", erläutert Matthias Gärtner vom Bundesamt für Sicherheit in der Informationstechnik (BSI) im Gespräch mit manager-magazin.de.

Die Tricks der Betrüger

Weitläufig bekannt – und deshalb nach Angaben der Bitkom nur noch für ein Zehntel der Schäden beim Onlinebanking verantwortlich - sind inzwischen die sogenannten Phishing-Attacken. Bei dieser Methode erhalten die Betroffenen beispielsweise eine E-Mail, die angeblich von ihrer Bank versendet wurde. Die Empfänger werden darum gebeten, aus Sicherheitsgründen ihre Kontodaten zu aktualisieren. Folgen sie dieser Aufforderung und klicken den eingebauten Link an, landen sie auf einer Homepage, die der ihrer Bank täuschend ähnlich sieht. Sobald die Kunden ihre Zugangsdaten eingeben, "fischen" die Kriminellen diese ab und greifen selbst auf das Konto zu (englisch: password fishing = Phishing).

Eine Abwandlung des Phishings ist das sogenannte Pharming. Hier schüren die Betrüger die Angst der Kunden, indem sie ihnen per E-Mail Mahnungen der GEZ schicken oder in den elektronischen Briefen von der Einleitung eines Ermittlungsverfahrens gegen sie berichten. Wer die angehängte Datei öffnet, fängt sich einen Trojaner ein.

Nahezu unbemerkt installiert sich das Programm auf dem Rechner, um beispielsweise den Internetbrowser zu manipulieren. Gibt der Kunde die Webadresse seiner Bank in das Browserfenster ein, leitet der Schädling die Anfrage direkt auf eine gefälschte Seite um, auf der die Zugangsdaten dann gestohlen werden können. Für den Nutzer ist die Täuschung kaum sichtbar. Weil die Kriminellen oft ganze Server-"Farmen" mit gefälschten Webseiten betreiben, nennt sich diese Methode Pharming.

Der Feind schreibt mit

Mithilfe eines Trojaners können aber auch Daten, die auf der Tastatur eingegeben werden, mitgeschnitten werden. Der Kunde bekommt von diesen sogenannten Keylogger-Attacken nichts mit. Das Programm "schläft" so lange, bis auf der Tastatur fünf- bis siebenstellige Nummernfolgen eingegeben werden. Dann wird die Software aktiviert und übermittelt die Zahlen an ihren Programmierer.

Ein eher selten vorkommender, da äußerst aufwendiger Betrugsversuch ist die Man-in-the-Middle-Attacke. Dabei schalten sich die Kriminellen zwischen die Bank und ihren Kunden und verändern die Datenströme, sodass Überweisungen umgeleitet werden können.

Das können Sie tun

Das können Sie tun

Um sich gegen solche und andere Attacken zu schützen, sollten Sie zuallererst Ihre Bankgeschäfte nicht von unbekannten Rechnern aus abwickeln. Man kann nie wissen, welche Schädlinge sich auf fremden Computern befinden, die möglicherweise die eigenen Zugangsdaten ausspionieren. Überweisungen im Internetcafé sind also tabu.

Beim eigenen Rechner sollten Sie unbedingt darauf achten, dass die Antivirensoftware, die Firewall und das Betriebssystem immer auf dem neuesten Stand sind. Die Programme werden von den Herstellern laufend aktualisiert und bieten somit einen gewissen Grundschutz vor digitalen Infektionen.

E-Mails sollten Sie generell mit Argwohn betrachten. Absender, die Ihnen unbekannt sind und Ihre elektronische Post darüber hinaus mit Anhängen verschicken, sollten Sie am besten ignorieren. E-Mails von Ihrer Bank, in denen Sie aufgefordert werden Ihre Zugangsdaten einzugeben, sind garantiert gefälscht. Banken fragen solche Daten niemals via E-Mail ab.

Wenn Sie das Onlinebanking-Angebot Ihrer Bank nutzen wollen, sollten Sie deren Internetadresse jedes Mal von Neuem in das Browserfenster eingeben oder über Ihre Favoritenliste aufrufen. Wer einem Link folgt, könnte auf einer gefälschten Webseite landen. Überprüfen Sie deshalb immer die im Browser angezeigte Internetadresse. Sollte diese auch nur in geringer Weise von der normalen Adresse Ihres Kreditinstituts abweichen, brechen Sie die Transaktion sofort ab. Verdächtig wird es auch, sobald Sie bereits beim Anmelden zur Eingabe einer sogenannten TAN (Transaktionsnummer) aufgefordert werden.

Internetadresse lieber zweimal kontrollieren

Wichtig ist zudem, dass die aufgerufene Internetseite via SSL (Secure Sockets Layer) geschützt wird. Dieses Netzwerkprotokoll stellt sicher, dass Daten während der Übertragung nicht gelesen oder manipuliert werden. Wird das Verfahren auf einer Homepage eingesetzt, ändert sich die Internetadresse: aus "http://www..." wird "https://www...". Außerdem prüft der Browser bei einer SSL-Verschlüsselung automatisch die Identität des Anbieters. Sollte dieser nicht der echte Besitzer der Webseite sein, erhält der Nutzer eine Warnmeldung.

Beim Einloggen auf der Homepage der Bank sollten Sie darauf achten, dass die Zugangsdaten so kompliziert wie möglich sind. Schwer zu knacken sind beispielsweise willkürliche Kombinationen aus Buchstaben und Zahlen. Auch eine regelmäßige Veränderung der Passwörter erhöht die Sicherheit.

Hilfreich ist darüber hinaus die Vereinbarung eines Höchstbetrags für die täglichen Geldbewegungen. Falls Kriminelle doch noch auf irgendeinem Weg an die Zugangsdaten für das Onlinebanking gelangen, können sie maximal diesen Betrag von Ihrem Konto abbuchen.

Wenn Sie Ihre Bankgeschäfte erledigt haben, vergessen Sie nicht das Ausloggen und das Löschen des Zwischenspeichers (Cache). Dazu wählen Sie beim Internet Explorer im Menü "Extras" den Befehl "Internetoptionen" aus und dort die Registerkarte "Allgemein". Im Bereich "Temporäre Internetdateien" klicken Sie auf "Dateien löschen" und aktivieren das Kästchen "Alle Offlineinhalte löschen". Nach dieser Aktion kann niemand mehr nachverfolgen, auf welchen Seiten Sie gerade unterwegs waren. In dem Firefox-Browser finden Sie die entsprechenden Einstellungen in dem Menü "Extras" unter den "Einstellungen" und dort in dem Bereich "Datenschutz".

Aufs richtige Verfahren kommt es an

Auf das richtige Verfahren kommt es an

Auch mit der Wahl des Onlinebanking-Verfahrens lässt sich die Sicherheit erhöhen. Wer noch das alte PIN/TAN-Verfahren nutzt, sollte möglichst auf das neue iTAN-Verfahren umsteigen. Dabei fordert die Bank für die Legitimation einer Überweisung die Eingabe einer ganz bestimmten Transaktionsnummer (indizierte TAN, iTAN). Von 50 TANs, die Ihr Kreditinstitut Ihnen zur Verfügung gestellt hat, müssen Sie zur Freigabe des Auftrags beispielsweise die Nummer 25 eingeben. In diesem Fall müssten die Kriminellen also in den Besitz genau dieser Zahlenfolge, die sich hinter der Nummer 25 versteckt, gelangen, um die Überweisung auf ein anderes Konto umzuleiten. Bei dem klassischen Verfahren wählt der Kunde dagegen aus seiner TAN-Liste eine beliebige Nummer aus; die Datendiebe müssten hier nur irgendeine TAN in die Finger bekommen.

Die mobile TAN (mTAN) ist eine weitere erwähnenswerte Alternative zum herkömmlichen PIN/TAN-Verfahren. In diesem Fall verschickt die Bank nach dem Empfang einer Überweisung eine SMS mit einer Zahlenfolge an den Kontoinhaber, in die Betrag und Zielkonto der aktuellen Transaktion integriert werden. Nur wenn der Kunde diese TAN auf der Webseite der Bank eingibt, wird der Auftrag ausgeführt. Sollte die mTan auf irgendeinem Weg zuvor abgefischt werden, hat das für den Kontoinhaber keine Auswirkungen. Denn um die Überweisung umzuleiten, müssten Betrag und Zielkonto geändert werden. Die neuen Daten korrespondieren aber nicht mehr mit der mTan, weshalb die Transaktion von der Bank geblockt wird.

"Elektronisch unterschreiben" mit HBCI

Die derzeit sicherste Methode ist jedoch das HBCI-Verfahren (Home Banking Computer Interface), beziehungsweise dessen Nachfolgestandard FinTS (Financial Transaction Services). Bei dieser Alternative tätigen Sie Ihre Bankgeschäfte nicht über die Internetseite Ihres Kreditinstituts, sondern über eine Software. Die von dem Programm online übertragenen Überweisungen werden nur ausgeführt, wenn Sie mit Ihrer "elektronischen Unterschrift", die auf einer Chipkarte gespeichert ist, versehen ist.

Selbst wenn Kriminelle also Ihre Zugangsdaten ausspionieren, können sie die Aufträge nur mithilfe der Chipkarte umleiten. Genau das ist allerdings auch der Nachteil dieser Methode: Sie können Ihre Bankgeschäfte im Normalfall nur von zu Hause aus erledigen, da Sie die Software und ein Kartenlesegerät benötigen.

Was Opfer tun können

Wenn Sie trotz aller Vorsichtsmaßnahmen doch einmal Opfer eines Betrugs werden, sollten Sie sich sofort an Ihre Bank wenden. "Wer etwas Verdächtiges bemerkt, sollte sofort sein Konto sperren lassen und Anzeige bei der Polizei erstatten", erklärt Kerstin Altendorf vom Bundesverband Deutscher Banken gegenüber manager-magazin.de.

Ob der gestohlene Betrag dann auch von der Bank erstattet wird, hängt vom Einzelfall ab. "Wenn der Kunde alle Sorgfaltspflichten eingehalten hat, das heißt aktuelle Versionen seines Virenschutzes und seiner Firewall installiert hat, übernimmt das Kreditinstitut normalerweise den Schadensfall in voller Höhe", so Altendorf. Der Nutzer müsse allerdings nachweisen können, dass er nicht fahrlässig gehandelt habe.

Wohlwollende Gerichte

Wohlwollende Gerichte

Genau das könnte aber auch zum Problem werden. So gibt es inzwischen Trojaner, die sich nach Durchführung ihrer Taten in Luft auflösen und somit nicht mehr auf dem Rechner nachweisen lassen. "Bei einem Fall in St. Augustin hat der Geschädigte eigenen Angaben zufolge alle Sicherheitsvorkehrungen eingehalten und auf keine Phishing-E-Mail reagiert, sich aber dennoch einen Trojaner eingefangen", beschreibt BSI-Experte Gärtner das Problem. Dieser Schädling sei im Nachhinein nicht nachweisbar gewesen, genauso wenig wie eine Antwort auf eine Phishing-Mail. Nichtsdestotrotz habe der Betrogene den Schaden selbst tragen müssen, die Bank habe nichts gezahlt.

Noch sind solche Fälle aber eher die Ausnahme. Wichtig ist daher, sofort nachdem verdächtige Aktivitäten auf dem Rechner festgestellt wurden, das komplette Gerät zu sichern. "Geschädigte sollten auf keinen Fall irgendwelche Veränderungen am Computer vornehmen, da er ein wichtiges Beweismittel sein könnte", erklärt Rechtsanwalt Hagen Hild von der Kanzlei Hild & Kollegen im Gespräch mit manager-magazin.de. Im Regelfall reagierten die Banken im Schadensfall aber sehr kulant, da sie einen größeren Imageschaden vermeiden wollten.

Sollte der Fall dennoch vor Gericht landen, stehen die Chancen für den Geschädigten gut. "Im Bereich Onlinebanking ist die Rechtsprechung in den vergangenen Jahren weitaus großzügiger gewesen als beispielsweise im Bereich Scheckkartenbetrug", so Hild.

Schöner ist natürlich, wenn man gar nicht erst in die Verlegenheit kommt, sich mit seiner Bank vor Gericht zu streiten. Also halten Sie sich am besten an die Sicherheitsregeln, auch wenn diese ein Stück von der Bequemlichkeit des Onlinebankings einfordern.