Wirtschaft: Fischen nach Zahlen

Berlin - Sie kommen in immer neuen Wellen – und stehen mittlerweile für einen Großteil des weltweiten E-Mail-Verkehrs. Die Nachrichten sehen täuschend echt aus, arbeiten mit den Logos von Banken und verweisen auf Internetseiten, die den Originalseiten bis ins Detail nachempfunden sind. Das dient alles nur einem Zweck: vertrauliche Daten abzufangen und Konten leer zu räumen. Betroffen sind von so genannten Phishing-Mails (kurz für Password-Fishing) fast alle Nutzer der elektronischen Post, Ziel sind Kunden, die ihre Bankgeschäfte online abwickeln. „Phishing ist derzeit eine der größten Gefahren für Online-Banker“, sagt Michael Dickopf, Sprecher des Bundesamts für Sicherheit in der Informationstechnik (BSI). Auch die Banken empfehlen ihren Kunden dringend, auf Sicherheit bei Internet-Geldgeschäften zu achten (siehe Kasten).

Beim Phishing werden E-Mails massenhaft verschickt. Die Empfänger werden darin von einer Bank aufgefordert, auf Grund von Sicherheitskontrollen oder unter einem anderen Vorwand auf eine Internetseite zu gehen und dort ihre Zugangsnummer sowie ihre PIN (Geheimnummer) anzugeben. Zur Bestätigung wird dann noch eine TAN (Transaktionsnummer) abgefragt. Doch nicht die jeweilige Bank ist die Absenderin der Nachricht, sondern Kriminelle, die sich mit den abgefangenen Daten Zugang zum Konto des Betroffenen verschaffen und Geld – meist ins Ausland – überweisen. Je später der Kunde merkt, dass er getäuscht wurde, desto schwieriger ist es, das Geld zurückzubekommen. Dabei gibt es eine ganz einfache Regel fürs Online-Banking: Keine Bank verlangt von ihren Kunden – unter welchen Umständen auch immer – die Preisgabe des Passworts. Trotzdem werden die Mails häufig ernst genommen.

Bevorzugtes Opfer waren in Deutschland bisher Postbank-Kunden. Denn die Mails können nicht gezielt verschickt werden. Da die Postbank den größten Online-Kundenstamm in Deutschland hat, war die Erfolgswahrscheinlichkeit für die Betrüger hier am größten. Aber auch Kunden einiger anderer Banken und Sparkassen waren schon das Ziel der kriminellen Mails.

„Als die ersten Phishing-Mails im Sommer 2004 auftauchten, waren sie noch sehr einfach“, sagt BSI-Sprecher Dickopf. Teilweise wurden sie auch in schlechtem Deutsch verfasst und waren schnell als Fälschung entlarvt. Doch mittlerweile sind einige Phishing-Mails nicht nur optisch und sprachlich auf den ersten Blick kaum als Betrügerei zu erkennen. „Empfängern der Mails werden jetzt auch häufig Trojaner untergeschoben“, sagt Dickopf. Ein Trojaner ist ein Programm, das ohne Wissen des PC-Nutzers Daten weitergibt. So werden PINs und TANs nicht mehr von einer gefälschten Webseite abgefischt, sondern direkt von der Originalseite der Bank. Bevor die Transaktion abgeschlossen und die TAN verbraucht ist, trennt der Trojaner den Rechner vom Internet. Vielen Kunden fällt das nicht auf. Schließlich ist es nicht unüblich, dass die Internetverbindung abbricht. Doch in diesem Fall kann der Urheber des Trojaners die Daten dazu nutzen, um sich selber Geld zu überweisen.

Die Banken reagieren sehr unterschiedlich. So hat die Postbank, um den möglichen Schaden zu begrenzen, ein Limit von 3000 Euro je Überweisung eingeführt. Ab kommenden Sommer könne jeder Nutzer diese Höchstgrenze selber festlegen, sagt Jürgen Ebert, Online-Experte der Postbank. Daneben könnten sich Kunden schon heute nur kurzfristig gültige TANs per Handy abrufen. Ab Sommer gibt es dann noch die indizierte TAN. Der Kunde kann dann nicht mehr eine beliebige TAN von seiner Liste nutzen, sondern bekommt von der Bank vorgegeben, welche es sein muss – etwa die zwölfte oder 85. Einen anderen Weg geht die GE Money Bank. Die elektronische TAN, die bei der jeweiligen Transaktion über zwei Schritte von dem Kunden über die Webseite abgefragt werden muss, ersetzt die Papierlisten.

Auch Banken, die nicht Ziel der Attacken waren, verweisen auf ihre Sicherheitsmaßnahmen. Die DAB-Bank, Online-Broker der Hypo-Vereinsbank, zum Beispiel ist zwar nach eigener Auskunft nicht ins Visier der Passwort-Fischer geraten. Die Kunden seien aber vorsorglich über Phishing-Methoden und generelle Sicherheitsstandards im Online-Banking informiert worden. Um sich per E-Mail bei ihren Kunden eindeutig zu identifizieren, fügt die DAB-Bank jeder elektronischen Mitteilung ein persönliches Passwort hinzu, das der Kunde vorher festgelegt hat. Der Zugang zum Depot erfolgt nach Eingabe der Konto- und PIN, statt TAN nutzen die Kunden ein festes, individuelles Traderpassword.