Das mulmige Gefühl beim Online-Banking

01.06.2011

Ein Leben ohne Internet ist für viele Menschen heutzutage undenkbar. Alles ist möglich: Es wird kommuniziert, recherchiert und verglichen. Gekauft und bezahlt wird auch seit Jahren mehr und mehr online. Zahlungsverkehr, wie beispielsweise Überweisungen werden heutzutage über das Online-Banking auf den Weg geschickt. Wie schön könnte alles sein, wäre da nicht dieses ungute Gefühl des stets präsenten Sicherheitsrisikos. Für uns sehr überraschend – vor allem viele junge Leute stehen Online-Banking sehr skeptisch gegenüber. Wo genau die Gefahren lauern, wissen viele nicht, aber dass sie existieren ist allgemein bekannt.

Es ist wohl eine Mischung aus diesem schwammigen Halbwissen und der gefühlten Machtlosigkeit in Bezug auf die Bekämpfung dieser Gefahren, die uns dieses mulmige Gefühl schnell beiseiteschieben lässt. Gerne auch mit der Begründung: Warum sollte es gerade mich treffen?
Doch die Realität ist: Irgendjemanden trifft es immer. Und vermutlich hat dieser Jemand zuvor auch nicht damit gerechnet, dass es gerade ihm passieren würde.

Damit Sie Ihren Sicherheitsbedenken einen Namen geben können, haben wir die derzeit größten Gefahren in Bezug auf Online-Banking zusammengestellt. Manchmal ist es sinnvoll, seinen "Feind" zu kennen.

Phishing

Beim Phishing versuchen die Betrüger, an Ihre Zugangsdaten und Passwörter zu gelangen. Dafür bilden sie die Internetseite Ihrer Bank nach und nutzen viele Tricks, Sie auf diese Seite zu locken. Im Laufe der Jahre wurden als "Lockmittel" unterschiedliche Methoden entwickelt. Am gängigsten ist folgende: Sie erhalten eine offiziell aussehende E-Mail (scheinbar von Ihrer Bank) mit der Bitte, mittels eines angehängten Links die Website aufzusuchen, um dort beispielsweise im Online-Banking Ihre Daten zu aktualisieren. Folgen Sie dem angegebenen Link, so landen Sie auf der täuschend echt aussehenden Internetseite des Betrügers. Geben Sie nun Ihre Zugangsdaten ein, so spielen Sie diese direkt in seine Hände.

Phishing-Variante

Das Bundeskriminalamt (BKA) warnt vor dieser Variante des Phishings im InternetBanking.

Hierbei handelt es sich um eine Schadsoftware, die Manipulationen von InternetBanking-Seiten durchführt. Nach Login im InternetBanking wird bei einem infizierten Rechner im ersten Schritt eine Information eingeblendet, auf dem Konto sei irrtümlicherweise eine Gutschrift eingegangen. Diese müsse umgehend zurücküberwiesen werden, um das Konto wieder zu entsperren. In einem zweiten Schritt manipuliert die Schadsoftware die Umsatzanzeige der Kontoumsätze und zeigt so den angeblichen Eingang der Gutschrift in der Saldoübersicht an. Tatsächlich ist auf dem Konto jedoch niemals eine Gutschrift eingegangen. Folgt man der Aufforderung die Rücküberweisung vorzunehmen, präsentiert die Schadsoftware das normale, aber bereits ausgefüllte Onlineüberweisungsformular. Da der Geschädigte in diesem Fall die Überweisung selbst ausführt, bleiben die üblichen Sicherungsmechanismen im Internetbanking wirkungslos und der angewiesene Betrag wird auf ein zur Täterseite gehörendes Bankkonto überwiesen.

Das Bundeskriminalamt rät:

Sollten Sie eine derartige Meldung auf Ihrem Computer erhalten, tätigen Sie keinesfalls die angeforderte Rücküberweisung und wenden Sie sich an die nächste Polizeidienststelle. Der benutzte Rechner ist zu diesem Zeitpunkt bereits mit der Schadsoftware infiziert.

Quelle: Pressemitteilung des BKA vom 15.07.2011

Pharming

Pharming ist eine Weiterentwicklung des klassischen Phishings. Ein eingeschleustes Schadprogramm leitet Sie beim Aufruf der Internetseite unbemerkt auf eine gefälschte Website um. Hier beginnt die Manipulation bereits auf Ihrem Computer. Mithilfe von Viren oder Trojanern auf Ihrem Rechner wird hierbei die IP-Adresse eines bekannten Domain-Namens (z. B. www.berliner-volksbank.de) durch die IP-Adresse des Betrügers ersetzt. Bei einem solchen Angriff wird die URL (z.B. www.berliner-volksbank.de) richtig dargestellt, obwohl sich der Nutzer auf einer falschen Seite befindet. Auch hier spielen Sie (wie beim Phishing) sämtliche Daten, die Sie eingeben, direkt in die Hände des Betrügers.

Man-in-the-middle

Eine Man-in-the-middle-Attacke ist eine Betrugsmethode, bei der sich der Betrüger zwischen Sie und Ihren "Kommunikationspartner" (z. B. Ihre Bank) klinkt und somit die Kontrolle über den Datenverkehr hat. Die Betrüger konzentrieren sich dabei auf Online-Banking-Kunden, die noch das altbewährte iTAN-Verfahren zur Legitimation nutzen. So haben sie die Möglichkeit, im Hintergrund die Zielkontonummer und den Betrag zu verändern, ohne dass Sie etwas davon mitbekommen.

Die Banken arbeiten fortlaufend daran, die Sicherheitsrisiken für ihre Kunden zu minimieren.
Dabei geht es primär darum, dass vertrauliche Daten bei der Übertragung über das Internet nicht unberechtigt eingesehen oder verändert werden können.

Mehr Sicherheit durch neue Verfahren

Online-Banking-Nutzer werden in den vergangenen Jahren festgestellt haben, dass es gerade in Bezug auf die Transaktionsnummern einige Veränderungen gegeben hat. Diese TAN entsprechen Ihrer Unterschrift bei Auftragserteilungen im Internet. Für jeden Auftrag wird eine neue TAN benötigt. Bei diesem Verfahren besteht allerdings die Gefahr, dass einem Betrüger Transaktionsnummern in die Hände gelangen, mit denen er in Kombination mit der ausgespähten PIN etwas anfangen kann. Dieser Gefahr sind viele Banken und so auch wir mit dem iTAN-Verfahren begegnet. Das Verfahren zeichnet sich dadurch aus, dass für jede Transaktion eine ganz spezielle TAN verlangt wird.

Die Sicherheitsgefahr in Hinsicht auf Man-in-the middle-Attacken konnte so jedoch nicht abgewendet werden. Die Daten könnten im Hintergrund trotzdem verändert werden, ohne dass der Nutzer dies mitbekommt. Die Einführung von mobileTAN, also der Anforderung einer TAN per SMS auf das Handy, brachte durch die unterschiedlichen Kommunikationsmedien (Computer/Handy) und die Überprüfungsmöglichkeit der Auftragsdaten auf dem Handy zusätzliche Sicherheit.

Doch die Entwicklungen schreiten stets voran, denn die Betrüger schlafen nicht. Also dürfen auch die Gegner sich kein Ruhepäuschen gönnen. Das Sm@rt-TAN plus-Verfahren ist die neueste Entwicklung und zählt derzeit mit zu den sichersten Arten, eine Transaktionsnummer (TAN) zu generieren. Hier wird die TAN mit einem separaten Kartenleser (TAN-Generator) und der eigenen Bankkarte erzeugt. Die Auftragsdaten werden auf den Kartenleser übertragen und müssen dort separat bestätigt werden. So können Sie sicher sein, dass Ihr Auftrag nicht durch einen Man-in-the-middle-Betrüger verändert wurde.

Sm@rt-TAN plus bei der Berliner Volksbank

Um unseren Kunden die Möglichkeit zu bieten, Online-Transaktionen noch sicherer zu gestalten, haben wir das neue Sm@rt-TAN plus-Verfahren seit dem 01. Juni 2011 auch bei uns eingeführt. Dieses Verfahren wird das bestehende iTAN-Verfahren zukünftig ablösen.

Weitere Informationen

Schützen Sie sich selbst

Wie Sie sehen, wird stets an der Antwort auf neue betrügerische Methoden gearbeitet. Doch häufig lauern die größten Sicherheitslücken beim Internetnutzer selbst. Aber was können Sie eigentlich tun, um die eigene Sicherheitslücke zu minimieren? Das Bundesamt für Sicherheit in der Informationstechnik hat einige Grundregeln zusammengestellt, die Sie zu Ihrem eigenen Schutze beherzigen sollten. Mithilfe dieser einfachen Maßnahmen lässt sich die Sicherheit im Online-Banking deutlich erhöhen.

Vertrauen Sie nicht darauf, dass es Sie nicht treffen kann. Sorgen Sie lieber vor, damit Sie sich in Zukunft mit einem guten Gefühl und der Gewissheit in der Online-Welt bewegen können, für den besten Schutz gesorgt und somit das Risiko erheblich minimiert zu haben. Mehr können Sie nicht tun.

Bildnachweis: © timbooosch – Fotolia.com