Handelsblatt.com

Beim Online-Banking lauern immer mehr Gafahren. Foto: dpa

dpa LONDON. Seit Sommer vergangenen Jahres beobachtet der Verband Versuche, Bankkunden durch so genannte Phishing-Emails zur Preisgabe ihrer Geheimzahlen zu bewegen. „Waren es zunächst Phishing-Wellen, ist mittlerweile kein Abflauen mehr zu beobachten“, sagt Verbandssprecherin Kerstin Altendorf.

Im Vergleich zu Kreditkartenbetrug ist der finanzielle Schaden Branchenkreisen zufolge gering. Eine der ersten europäischen Banken, deren Kunden gezielt angeschrieben wurden, war die Postbank. Sie hat inzwischen auf ein System umgestellt, bei dem der Kunde die für einen Online-Banking-Auftrag erforderliche Transaktionsnummer (TAN) nicht mehr selbst auswählen kann. „Systeme, bei denen die Nutzer die TAN-Nummer selbst aussuchen können, halten den heutigen Gegebenheiten nicht mehr stand“, betont Martha Bennett, Research Director bei Forrester Research.

Inzwischen sei aus dem Baltikum ein erster Fall gemeldet worden, bei dem ein Hacker die Online-Banking-Sitzung eines Bankkunden übernehmen und selbst Überweisungen tätigen konnte. Im Fachjargon heißt so etwas „man in the middle attack“. „Gegen solche Attacken gibt es derzeit keinen wirkungsvollen Schutz“, sagte Bennett auf einer Fachkonferenz in London.

Neben bösartiger Software, die Tastatureingaben aufzeichnet und auf diese Weise Geheimnummern ausspioniert („keystroke logging“), gibt es jetzt auch Programme, mit denen sich die Bewegungen des Mauszeigers auf dem Bildschirm verfolgen lassen („screen scraping“). Damit haben die Kriminellen auf die so genannten „virtuellen Tastaturen“ reagiert, mit denen einige Institute ihren Nutzern ermöglichen, Geheimzahlen ohne Tastatur einzugeben. In England, Irland, aber auch teilweise in Frankreich, Italien und Spanien lassen sich Konten schon mit dem Benutzernamen und der PIN-Nummer ausräumen. In Deutschland ist zusätzlich eine TAN-Nummer für jede Transaktion erforderlich.

Lesen Sie weiter auf Seite 2: Angriffe aus Russland und Weißrussland