Medien: Nepper, Schlepper, Passwortdiebe

Nach dem Hurrikan von New Orleans landete in vielen E-Mail-Postfächern ein Schreiben, das zu Spenden an das amerikanische Rote Kreuz aufrief – zahlbar per Kreditkarte. Doch die Internetseite, auf der die Spendenwilligen ihre Daten preisgeben sollten, war gefälscht, eine Phishing-Site also. Die so genannten Passwortfischer oder kurz Phisher lassen nichts unversucht, an die Konto- und Kreditkartendaten der Nutzer zu gelangen. Doch es gibt Wege, sich gegen solche Betrüger zu schützen.

WIE FUNKTIONIERT „PHISHING“?

Die Passwort-Fischer verschicken im großen Umfang seriös aussehende E-Mails, die vorgeben, von einer Bank, Sparkasse oder einem anderen Unternehmen wie Telekom oder Ebay zu stammen. In der Mail werden die Nutzer aufgefordert, eine bestimmte Internet-Seite aufzurufen, deren Adresse man über einen Link in der Mail erreicht. Die Seite sieht aus wie das Internet-Angebot des Instituts oder der Firma, ist aber gefälscht. Wer hier nun, wie gefordert, seine Kreditkarten- oder Kontonummer angibt und sich wie gewohnt mit seiner Persönlichen Identifikations-Nummer (PIN) einloggt, hat seine Daten den Passwort-Fischern preisgegeben.

WELCHE GEFAHREN BESTEHEN?

Allein mit Kontonummer und PIN kann kein großer Schaden angerichtet werden. Für eine Transaktion ist zusätzlich eine so genannte Transaktions-Nummer (TAN) nötig, die quasi als Unterschrift unter jedem Auftrag dient. Sind die Passwort-Fischer auch an diese Nummern gelangt, kann das Konto tatsächlich geplündert werden. Darum verdienen TANs einen ganz besonderen Schutz. Sie dürfen auch niemals im PC gespeichert werden. Bei Kreditkarten besonders sensibel sind die zusätzlichen Sicherheitsnummern auf der Rückseite der Kreditkarte. Die letzten drei Zahlen hinter der eigentlichen Kreditkartennummer werden vor allem für das Online-Shopping benötigt.

WIE SCHÜTZEN DIE INSTITUTE?

Zu den Instituten, die besonders im Visier der Phisher standen, gehörte die Postbank. Als erstes Großinstitut hat sie inzwischen ihr Sicherheitsverfahren modifiziert und bietet jetzt – wie bereits zuvor die Direktbank 1822 direkt – so genannte indizierte TANS (kurz: iTans) an. „Um nun eine Transaktion auszuführen, reicht es nicht mehr aus, eine beliebige Nummer des TAN-Blocks anzugeben. Der Bank-Rechner fragt vielmehr nach einer genau festgelegten TAN“, beschreibt Postbank-Sprecher Jürgen Ebert das neue Verfahren. „20 Prozent der Online-Konten sind schon umgestellt, der Rest erfolgt Stück für Stück.“ Andere deutsche Finanzinstitute stehen ebenfalls vor der Einführung des iTAN-Verfahrens. Bei der Berliner Volksbank wird dieser Schritt „voraussichtlich noch in diesem Jahr“ erfolgen, wie Pressereferentin Nancy Mönch sagt. „Innerhalb der nächsten Monate, vermutlich jedoch erst Anfang 2006“, heißt es bei der Deutschen Bank, bei der immerhin 25 Millionen Konten online geführt werden. Die Commerzbank plant in einem vergleichbaren zeitlichen Rahmen. Die Berliner Sparkasse, Nummer eins in Berlin bei privaten Girokonten, „wird voraussichtlich im ersten Quartal 2006“ auf die indizierten TANS umstellen und die Kunden rechtzeitig informieren. „Bereits seit August werden die TAN-Listen zur Vereinfachung der Umstellung mit indizierten Nummern ausgeliefert“, so Sprecherin Cornelia Reichel.

WELCHE ANDEREN VERFAHREN GIBT ES?

Nicht alle Finanzinstitute halten iTANs für den besten Schutz: „iTANS helfen nur so lange, bis die Phisher auch das abfragen“, wendet Thomas Bonk von der Dresdner Bank ein. Viel gefährlicher seien trojanische Pferde, die sich im PC einnisten, Tastaturanschläge protokollieren und an den Autor dieser Virenart verschicken. „Die Kunden merken das oftmals gar nicht, weil der Trojaner im Hintergrund arbeitet“, sagt Bonk. Schutz dagegen bieten aktuelle Virenscanner und eine Firewall. Die Dresdner Bank setzt zusätzlich auf das e-P@d-Verfahren. Dabei wird auf der Internet-Seite eine Art virtuelle Tastatur eingeblendet. Um nun eine TAN einzugeben, klickt man mit der Maus die entsprechenden Zahlen an. Die Tastatur bleibt außen vor, ein Trojaner hat keine Chance, Daten zu erheben und über das Internet zu versenden.

WAS TUN IM ERNSTFALL?

Wer den dringenden Verdacht hat, dass seine Kontodaten in die falschen Hände geraten sind, sollte seine PIN sofort ändern, rät Postbank-Mann Ebert. Dadurch wird verhindert, dass sich die Internet-Betrüger mit den erbeuteten Daten Zugang zum Konto verschaffen. Wichtig dabei: „Um sicher zu sein, dass nicht im Hintergrund ein Trojaner läuft, der gleich die neue PIN ausspäht, zuvor den Virenscanner aktualisieren und ausführen.“ Zudem sollte die Bank sofort über die Hotline informiert und das Konto gesperrt werden. Die Nummern lassen sich über das Internet oder die Auskunft ermitteln (siehe Kasten oben). Bei den meisten Banken ist die Hotline rund um die Uhr an allen Tagen der Woche zu erreichen. Ist es bereits zum Missbrauch des Kontos gekommen, sollte zudem umgehend bei der Polizei eine Anzeige gegen Unbekannt gestellt werden, rät Ebert.

LANGFRISTIGE LÖSUNGEN

Die Institute suchen nach Verfahren, bei denen der Unsicherheitsfaktor Mensch keine Rolle mehr spielt. Das HBCI-Verfahren (Homebanking Computer Interface) mit Chipkarte erfüllt bereits heute diese Voraussetzungen, hat sich aber wegen der Zusatzkosten für den Kunden nicht durchgesetzt. Das könnte sich durch die Einführung von Signaturkarten (zum Beispiel Gesundheitskarte) ändern, hoffen die Banken. Eine fälschungssichere elektronische Identität auf einer Chipkarte könnte langfristig das derzeit dominierende PIN/TAN-Verfahren ablösen.

Hilfreiche Informationen

www.bankenverband.de