Online-Banking: Angriffe auf den digitalen Geldbeutel nehmen zu

Im Vergleich mit der Bilanzsumme einer Bank oder Sparkasse sind es zwar vergleichsweise kleine Beträge, die Internetbetrüger ergaunern, wenn sie die vorhandenen Sicherheitheitslücken im Onlinebanking-System nutzen, doch bei den betroffenen Kunden können sie durchaus schmerzhafte Löcher in die Finanzplanung reißen. Am 9. Juni gab die „Emder Zeitung“ eine Warnung der Polizei vor solchen Betrügern heraus, denen es gelungen war, zwei Betriebe in Ostfriesland um 9000 Euro zu erleichtern, indem sie von deren Geschäftskonten Gelder ins Ausland transferierten. Bei vier Privatpersonen wurden jeweils betrügerische Onlineüberweisungen über je 2000 Euro durchgeführt. Zuvor hatten die Täter den Opfern weisgemacht, sie müssten auf ihrem Computer ein Update des Onlinebanking-Programms durchführen.

Meldungen wie diese sind derzeit an der Tagesordnung. Zwei Tage nach dem Vorfall in Ostfriesland folgte eine Warnung aus Niedersachsen. Ein unbekannter Täter hatte das Konto eines arglosen Onlinebanking-Nutzers in Einbeck um 1000 Euro erleichtert. Der Trick: Beim Einloggen bei seiner Hausbank wurde er aufgefordert, neue Sicherheitsstandards durchzuführen. Dabei gab er sowohl seine Pin-Nummer für den Zugang zum Konto als auch eine Transaktionsnummer (Tan) ein, die dann für das unerlaubte Abbuchen missbraucht wurden. Die Masche mit der „Sicherheitsüberprüfung“ – die es nicht gibt – war offenbar in Baden-Württemberg besonders erfolgreich. Die neue Kriminalinspektion Cyberkriminalität der Kripo-Direktion Waiblingen berichtet von 50 Anzeigen aus dem gesamten Präsidiumsbereich. Den Bürgern seien Schäden im hohen vierstelligen Bereich entstanden, so die Ermittler. Auch hier war wieder eine Schadsoftware die Ursache, die die Onlinebanking-Nutzer dazu aufforderte, die hochsensiblen Tans für die angebliche Sicherheitsüberprüfung einzugeben. Das Schadprogramm gelangt häufig über eine Phishing-Mail auf die Computer. Die Mails stammen vermeintlich von Versandhandelsunternehmen oder Mobilfunk- und Telekommunikationsanbietern. Die angehängten Dateien dienen jedoch nur dazu, ein Trojanisches Pferd einzuschmuggeln.

Wie groß die Gefahr ist, durch Betrug beim Onlinebanking einen finanziellen Schaden zu erleiden, hat die Studie „Online-Banking 2014 – Sicherheit zählt!“ ergeben, die am Donnerstag in Berlin vorgestellt wurde. Demnach haben zwei Prozent der Befragten schon einmal selbst einen finanziellen Schaden „im Zusammenhang mit Onlinebanking“ erlitten. Weitere 17 Prozent berichteten von einem solchen Schadensfall in ihrem direkten Umfeld. Für die Studie waren über 1000 Interviews unter Internetnutzern geführt worden. Damit ist die Erhebung für die Nutzer des Onlinebankings durchaus repräsentativ. Gemeldet wird von den Betrugsfällen jedoch offenbar nur ein Teil. Nach Angaben des Bundeskriminalamtes stieg zwar die Zahl der erfolgreichen Phishing-Attacken auf Onlinebanking-Kunden im Jahr 2013 um 20 Prozent auf 4100 Fälle, sie liegt damit aber angesichts von 2,5 Milliarden Überweisungen im Jahr „nicht einmal im Promillebereich“, wie BKA-Chef Jörg Ziercke vor wenigen Wochen sagte.

Die Studie von TNS Infratest war von der Initiative D21 und der Fiducia IT AG, die als technischer Dienstleister für die Volks- und Raiffeisenbanken tätig ist, in Auftrag gegeben worden. Wie groß der Schaden durch Onlinebetrug für die eigenen Institute ist, wollte der Präsident des Bundesverbandes der genossenschaftlichen Banken, Uwe Fröhlich, nicht beziffern, es sei „kein Großproblem“, sagte er nur. „Wenn glaubhaft gemacht werden kann, dass die nötigen Sicherheitsvorkehrungen getroffen wurden, dann werden sich die Banken bei der Suche nach einer vernünftigen Schadensminimierung sicherlich kooperativ verhalten“, beruhigte der Verbandspräsident die Nutzer des Onlinebankings.

Nur eine Minderheit will für mehr Sicherheit zahlen

Sicherheit und Datenschutz sind der Studie zufolge unverändert die wichtigsten Anforderungen bei den Nutzern des Onlinebankings. Insgesamt nutzen inzwischen mehr als 70 Prozent der deutschen Onliner das Internetbanking für ihre Geldgeschäfte. 19 Prozent der Befragten – also beinahe jeder fünfte – lehnen entsprechende Dienste jedoch weiter bewusst ab. Zwei Drittel der Befragten wären nicht bereit, für mehr Sicherheit zu bezahlen. „Über die Hälfte erwartet, dass dies kostenlos von den Kreditinstituten zur Verfügung gestellt wird“, sagte Robert Wieland, Vizepräsident von D21 und Geschäftsführer des Meinungsforschungsunternehmen TNS Infratest.

Bei richtiger Anwendung sind die beiden bekanntesten Schutzverfahren beim Onlinebanking – SMS-Tan/mobileTan und ChipTan/SmartTan (siehe Kasten) verhältnismäßig sicher, sagte Fiducia-Vorstand Jens-Olaf Bartels. Ein großes Problem in der Sicherheitskette sind allerdings Android-Smartphones, die mit Schad-Apps infiziert wurden. Diese Programme können SMS-Tans an Betrüger umleiten. Ein Ausweg aus dieser Problematik könnte das neue Push-Tan-Verfahren sein. Im Gegensatz zur SMS-Tan nutzt dieses Verfahren einen geschützten Kommunikationskanal. Dafür wird auf dem Smartphone eine App installiert, die über eine verschlüsselte Verbindung direkt mit dem Rechenzentrum der Institute verbunden ist. Das Abfischen der SMS-Tans ist damit nicht möglich. Bei einigen Sparkassen ist Push-Tan bereits verfügbar, bei den Volks- und Raiffeisenbanken ist die Einführung im nächsten Jahr geplant. Bei Diebstahl oder Verlust des Smartphones sollte allerdings ganz schnell die eigene Bank oder Sparkasse informiert werden.

Doch auch ohne Push-Tan kann der Onlinebanking-Nutzer viel für die Sicherheit seiner Geldgeschäfte tun. Besondere Vorsicht gilt bei unverlangt eingehenden Mails. Im Zweifel Rücksprache mit dem Absender halten. Sowohl beim MobileTan-Verfahren als auch beim Tan-Generator sollten die Angaben zur Überweisung (Höhe, Verwendungszweck) geprüft werden. Auf dem PC, aber auch auf dem (Android-)Smartphone oder Tablet sollte eine aktuelle Schutzsoftware laufen. Genauso wichtig ist, dass verfügbare Updates möglichst automatisch eingespielt werden. Die örtliche Polizei sollte informiert werden, wenn der Verdacht besteht, dass eine Schadsoftware aktiv wurde oder wenn eine verdächtige Onlinebanking-Meldung eingegangen ist. Der Rechner beziehungsweise das Mobilgerät wird dann zudem vom Internet getrennt und ausgeschaltet.

Mit dem Tan-Generator auf Nummer sicher

Von den derzeit weit verbreiteten Sicherheitsverfahren beim Online-Banking lässt sich das Chip-Tan/Smart-Tan-System am wenigsten leicht angreifen. Statt einer Tan-Liste oder dem SMS-Tan-Verfahren kommt hierbei ein Tan-Generator zum Einsatz.

Das kleine Gerät ist halb so groß wie ein Handy und funktioniert im Zusammenspiel mit der Bank-, Sparkassen- oder EC-Karte. Das Konto wird vom Kreditinstitut für das Chip-Tan-Verfahren registriert. Bei jeder Buchung erhält der Kontoinhaber einen Code, den er über das Ziffernfeld des Tan-Generators einträgt. Bietet das Institut bereits das Chip-Tan-comfort-Verfahren an, wird der Code über einen optischen Sensor vom Bildschirm abgelsen. Aus dem Code und den Kontodaten errechnet der Tan-Generator die eigentliche Transaktionsnummer, die dann zum Abschluss der Buchung auf der Online-Banking-Seite eingetragen wird. sag