Sicheres Online-Banking

Schutz vor Phishing Attacken

Sicherheit beim Internet-Banking

Unsere Banken behaupten zwar nach wie vor, Onlinebanking sei - per Login auf der Bankenseite und der gewöhnlichen TAN- Verschlüsselung – sicher, aber aus eigener Erfahrung kann ich sagen, dass dem definitiv nicht so ist. Mitte 2009 wurde ich selbst Opfer einer Phishing Attacke, und zwar der übelsten Sorte (siehe Punkt 3. weiter unten), ich konnte aber gerade noch das Schlimmste abwenden, weil ich es rechtzeitig bemerkt habe.

Infos über Online-BankingNiemals hätte ich geglaubt, dass mir so etwas passiert, aber man lernt einfach nie aus...

Die erschreckende Tatsache: Selbst als ambitionierter Internetfreak, der die gängigsten Tricks und Tücken sogenannter Phishing-Attacken und sonstiger Online Betrugsversuche kennt und der beim Surfen immer explizit auf Ungewöhnliches achtet, ist man vor Online-Betrugsversuchen oder -Diebstahl nicht gefeit. Neben den primitiven Phishing Varianten, die einem per E-Mail zugehen und bei denen als Absender die bekanntesten Banken angegeben sind, gibt es inzwischen Systeme die noch viel ausgeklügelter sind und die nur ein einziges Ziel verfolgen: Geld von ihren Opfern abzubuchen. Der Besitzer des Zielkontos oder das ausländische Zielkonto ist oftmals nicht ermittelbar.

Varianten für Online-Banking Diebstahl

  1. Phishing-E-Mails, die einem durch gefälschte Banken-E-Mailadressen und in ihrer Aufmachung suggerieren, von einer Bank zu stammen und dazu auffordern einen Hyperlink anzuklicken und auf der Zielseite (gefälschte Bankseite) seine Logindaten sowie eine oder mehrere Ihrer geheimen TAN-Nummern einzugeben. Hinweis: Keine seriöse Bank oder Sparkasse wird Ihnen jemals eine E-Mail senden oder gar Login- oder TAN-Daten per E-Mail von Ihnen anfordern.

  2. Vorgeschaltete Phishing Seiten, die einem suggerieren, man befinde sich bereits auf der Bankseite, die aber in Wirklichkeit nur das eine Ziel verfolgen; einem die Zugangsdaten sowie eine oder mehrere (zur Überweisung notwendige) TAN-Nummern zu entlocken. So wird die korrekte Url der Bank beispielsweise durch einen Trojaner oder sonstige Malware, die sich auf dem Rechner eingenistet hat, in eine andere Url umgewandelt.

    Ziel der Urls ist dann eine Fake-Seite, auf der dann die Daten eingegeben werden sollen. Die Fake-Seite sieht exakt so aus wie die gewohnte Bankseite und man erkennt diesen Betrugsversuch nur dann, wenn man stets auf die Adresszeile des Browser achtet und sich vergewissert, dass die Adresse auch tatsächlich der Url der Hausbank entspricht.
    Hinweis: Achten Sie stets auf die Url in der Adresszeile Ihres Browsers und schalten Sie den Phishingfilter Ihres Browsers ein. Hier findet man weitere Infos zum Thema Phishing.

  3. Eine ganz neue Qualität: „Man in The Middle“ Trojaner bzw. Malware: Diese Variante ist sehr ausgeklügelt und kaum zu enttarnen. Ablauf: Der Trojaner wird beim Besuch einer infizierten Webseite oder per E-Mail auf den Rechner geschleust und nistet sich ein, ohne weiter aufzufallen. Er beginnt mit seinem Teufelswerk, sobald man sich auf seiner (realen) Bankseite einloggen will, was bedeutet - er wird erst mitten im Bankingvorgang aktiv und ist nicht von einer gefakten Vorschaltseite abhängig. Soll heißen; nach Eingabe der Login-Daten erscheint eine Meldung z. B. „Aus Sicherheitsgründen ist Ihr Login deaktiviert, Sie können es durch die zusätzliche Eingabe der TAN Nr. XX wieder entsperren.“ Der Geschädigte nimmt hierbei dem Betrüger sogar das Login ab und der Trojaner wird erst nach dem Einloggen aktiv. Sobald man die TAN dann eingegeben hat, gelangt man dann ganz regulär in seinen Account, aber das Geld wurde bereits abgebucht. Dann muss man sofort handeln, jede Minute zählt. (mehr hierzu lesen Sie bitte weiter unten...)

    Das Gemeine daran: Die Meldung "Eine TAN-Eingabe zur Aufhebung einer Sicherheitssperre ist erforderlich" wirkt sogar außerordentlich vertrauenserweckend, denn man könnte annehmen, dass ein Unbefugter sich ins Konto einhacken wollte, ihm das aber aufgrund des fehlenden Passworts nach 3-maligem Versuchen nicht gelungen ist. Und da man nur als befugte Person im Besitz dieser TAN sein kann, klingt es auch logisch dass man hiermit seinen Account - als einzige Person - reaktivieren kann. Um solche schadhafte Software zu vermeiden ist es enorm wichtig, seinen Virenscanner stets aktuell zu halten und selbst das hilft nicht immer. Oftmals hats sich ein ganz neuer Virus oder Trojaner bereits auf dem eigenen Rechner eingenistet, bevor die Virensoftware diesen kennt. Lesen Sie hier mehr zum Thema Virenschutz. Sehr gut erklärt wird diese "Man in the Middle" Variante auch auf folgender Infoseite der Sparkasse-Bielefeld.

Was tun, wenn einem durch Phishing Geld gestohlen wurde?

Wichtig! Schnelligkeit ist die wichtigste Waffe, um einen (oftmals recht hohen) finanziellen Schaden abzuwenden. In diesem Fall bitte sofort bei der Bank anrufen und den Fall melden, denn dann kann umgehend ein Überweisungsrückruf eingeleitet werden und man bekommt sein Geld wieder zurück. Die jeweilige Bank sperrt den Onlinezugang dann umgehend und informiert einen zudem über zusätzlich notwendige Schritte, (Anzeige bei der Polizei? Kreditkarte ebenfalls sperren? etc.). Ein Überweisungsrückruf ist aber nur dann möglich, wenn das Geld noch nicht auf dem Betrüger- resp. Zielkonto eingegangen ist. Andernfalls kann auch das Zielkonto der Transaktion von der Zielbank bis auf weiteres eingefroren werden, bis eine Klärung erfolgt ist. Auch dann besteht noch berechtigter Grund zur Hoffnung. Sollte man die Attacke aber zu spät bemerken und das Geld ist schon vom Zielkonto abgehoben oder weiter transferiert worden, ist man auf die Kulanz der Bank angewiesen, um sein Geld zurück zu bekommen. Viele Banken haben hierfür einen Sicherungsfond angelegt, der solche Dinge unbürokratisch abdeckt, weil verärgerte Kunden das Thema „mangelnde Onlinebanking-Sicherheit“ nur unnötig anheizen würden und die Banken sich dann in der Öffentlichkeit, der Presse gegenüber oder gar vor Gericht rechtfertigen müssten. Deshalb drücken die meisten Banken bei solchen Vorfällen ein Auge zu und erstatten den Schaden anstandslos (solange nicht grob fahrlässig gehandelt wurde).

Grundsätzlich kann man sagen, je ernster man sich mit dem Thema Online-Banking-Sicherheit auseinandersetzt und je mehr Vorbeugungs- und Schutzmaßnahmen ergriffen werden, umso eher wir man sein Geld von der Bank erstattet bekommen. Fahrlässiger Umgang mit den Zugangsdaten oder TAN-Listen macht sich in den wenigsten Fällen bezahlt.

Primär wichtig ist eine aktuelle Virenschutz-Software

Den schwarzen Peter alleine dem Nutzer des Computers in die Schuhe zu schieben, weil seine Virensoftware eventuell nicht auf dem neuesten Stand ist, geht aber schon mal gar nicht, obwohl dies viele Banken gerne tun würden. Fakt ist, dass wenn ein völlig neuartiger Virus, Wurm oder Trojaner auf dem Rechner landet, dieser von der vorhandenen Software oftmals noch gar nicht erkannt werden kann, obwohl diese permanent per Updates aktualisiert wird. Dennoch ist der erste Schritt zu mehr Sicherheit ein brauchbarer Virenschutz. Zwar gibt es allerlei Gratisprogramme, diese bieten aber zumeist nur einen Teil der umfangreichen mögliche Schutzfunktionen und sind somit nur eingeschränkt brauchbar. Wer Online-Banking betreibt und hier spart, der spart am falschen Fleck. Gute Virenprogramme gibt es bereits für 30 Euro pro Jahr. Eine Investition, die sich auf jeden Fall lohnt.

Eine viel sicherere Technik existiert bereits seit Jahren mit dem HBCI Verfahren!

Die Banken wissen das und die meisten bieten HBCI auch an, aber leider werden die Kosten wieder einmal komplett dem Verbraucher überlassen, der ja eigentlich nichts dafür kann, dass die Sicherheit über Login und TANs, aufgrund eingeschlichener Viren, Trojaner oder Malware auch lückenhaft sein kann. Immerhin bieten einige Banken schon Chipkartenlesegeräte und Banking-Software zu vergünstigten Konditionen an, aber an einer selbstkritischen Aufklärung zum Thema Risiken beim Onlinebanking mangelt es leider noch.

Schutz vor Phishing Attacken oder wie wird Online Banking sicherer?

Eine absolut hundertprozentiche Siucherheit wird es nie geben. Um Online-Banking aber (nach gegenwärtigem Technik- und Kenntnisstand) sicher zu machen, sollte man zwei sinnvolle Komponenten an Sicherheitszubehör miteinander verbinden:

  • Eine Online Banking Software (z. B. Starmoney). Kosten ca. 50 EUR

  • Ein HBCI-fähiges Chipkartenlesegerät mit eigener Nummerntastatur (welches die meisten Banken anbieten). Kosten ca. 50 bis 100 EUR

Vorteil und Funktionsweise dieser Kombination:

Die Bankensoftware wird über ein Passwort gestartet. Sie kommuniziert mit den gängigsten Banken und speichert alle wichtigen Konto- und Bankdaten auf dem Rechner, so dass man die Bankseite erst gar nicht besuchen resp. sich bei der Bank einloggen muss, was Transaktionen durch Unbefugte mittels gefälschten Bankseiten verhindern soll. Normalerweise arbeitet diese Software im OFFLINE-Zustand. In Kombination mit einem Chipkarten-Lesegerät ist die Verwendung einer TAN-Liste nicht mehr erforderlich.

Das Lesegerät und den erforderlichen Zugang für Ihr Bankkonto erhalten Sie bei Ihrer Bank. Das Gerät wird dann einfach mit dem Computer verbunden (z. B. per USB). Will man aktuelle Kontostände sehen (Aktualisieren) oder Transaktionen durchführen, wird man zum Einschieben seiner individuellen Banking-Checkkarte (beim Lesegerät der Bank im Lieferumfang enthalten) aufgefordert. Danach muss man seine geheime Chipkartennummer eingeben, ohne die keine Transaktion möglich ist. Erst dann befindet man sich im ONLINE-Modus. Sobald eine Transaktion oder eine Aktualisierung abgeschlossen ist, geht das Programm wieder in den OFFLINE-Modus zurück. Man ist also nie wirklich über einen Browser mit der Bank verbunden, was den Einsatz von Phishing-Attacken erheblich erschwert.

Online Banking ist dann also nur möglich, wenn man...

  1. das selbst definierte Passwort seiner Banking-Software kennt

  2. vor dem Rechner mit dieser Banking-Software sitzt

  3. die Chipkarte des Lesegerätes zur Hand hat

  4. die geheime Chipkartennummer weiß

Bildquelle für Foto oben rechts: © Falko Matte - Fotolia.com