Sicherheitslücken: Vorsicht beim Online-Banking!

Bequem, schnell – unsicher: Wer seine Bankgeschäfte im Internet erledigt, muss sich vor Betrügern in Acht nehmen. Welche Sicherheitsverfahren besonders anfällig für Missbrauch sind und wie sich Kunden schützen können.

Sara Zinnecker

07.02.2014 - 06:24 Uhr

Artikel anhören

Sicher, bequem, schnell: 45 Prozent der Deutschen nutzen Online-Banking. Doch lassen sich Betrüger immer neue Maschen einfallen, um an das Geld der Bankkunden zu kommen. Wo Vorsicht geboten ist.

Foto: Handelsblatt

Düsseldorf. Wenn es allein um das Kriterium ‚praktisch‘ ginge, würde wohl kaum ein Bankkunde davor zurückschrecken, seine Bankgeschäfte online zu erledigen: Einige Klicks am Computer oder Smartphone genügen, und die Überweisung ist getätigt, der Kontostand geprüft. Doch spätestens seit den Enthüllungen zum NSA-Abhörskandal sind die Deutschen alarmiert: Laut einer repräsentativen Umfrage des Branchenverbandes Bitkom Ende vergangenen Jahres halten vier von fünf Deutschen ihre Daten im Internet für unsicher. Und etwa jeder Dritte Internetnutzer verzichtet aus Sicherheitsgründen auf Online-Banking.

Ganz unbegründet ist die Sorge nicht. Trotz besserer Sicherheitsverfahren zählt das Bundeskriminalamt (BKA) 2012 noch fast dreieinhalbtausend Betrugsfälle, in denen Kriminelle sich Zugangsdaten und Transaktionsnummern (TANs) der Bankkunden erschlichen haben (sogenanntes ‚Phishing‘); im Schnitt haben sie 4000 Euro erbeutet. Auch die zunehmende Nutzung von Smartphones zur Abwicklung von Bankgeschäften bietet Hackern gute Angriffsflächen.

Fälle der Verbraucherzentralen

VZ NRW

Auf ihrer Internetseite listet die Verbraucherzentrale Nordrhein-Westfalen aktuelle Betrugsfälle im Zusammenhang mit Online-Banking auf. Auch andere Verbraucherzentralen, etwa die der Länder Hessen oder Baden-Württemberg, warnen eindringlich vor Phishing- und Trojaner-Attacken und geben Tipps.

Vermeintliche Steuererstattung

Mit der kryptischen Betreffzeile „Steuerlichen Bekannt - Rückerstattung“ kam Anfang Februar eine Reihe betrügerischer E-Mails daher. In schlechtem Deutsch verfasst, kündigen die Kriminellen eine Steuerrückerstattung von 300 Euro an. Der Bürger habe drei Arbeitstage Zeit, den Anspruch geltend zu machen. Zu diesem Zweck befindet sich ein Link weiter unten in der Phishing-Mail. Dieser führt Sie auf eine täuschend echt aussehende, aber dennoch gefälschte Internetseite des Bundesministeriums der Finanzen.

Neue Trojaner-Welle

Ebenfalls aktuell: eine neue Welle Trojaner. Hinter angeblichen Mahnungen über mehrere Hundert Euro sitzen als Anwälte oder Inkassobüros getarnte Betrüger, die versuchen, Spionagesoftware auf möglichst vielen Rechnern zu verbreiten. Hierzu hängen die Kriminellen den E-Mails als Rechnungen getarnte Viren vom Typ trojanisches Pferd an.

PayPal

Auch Nutzer des Bezahldienstes PayPal sind aktuell im Visier der Kriminellen. Hinter Betreffzeilen wie „Wichtig! Aktualisieren Sie Ihre Kreditkarte“, „Ihr PayPal Konto“ und „Sepa-Umstellung wichtig“ verbergen sich Betrugsversuche, in denen die Empfänger dazu gebracht werden sollen leichtfertig ihre Zugangsdaten preiszugeben. Besonders tückisch ist, dass Phishing-Mails die auf Kunden von PayPal zielen mittlerweile kaum von echten PayPal-Mails zu unterscheiden sind. Einige dieser Mails sind nicht nur in flüssigem Deutsch geschrieben, sondern sprechen die Empfänger mit ihrem Namen an.

ING-Diba und Postbank

Ende Januar rückten auch Kunden der ING-DiBa und der Postbank ins Visier von Phishing-Betrügern. Eine E-Mail mit Betreff „Ihre Konto wird Suspendiert“ wurde mit einem angehängten Virus versendet. Wegen unregelmäßiger Aktivitäten müsse das Konto des Empfängers vorläufig eingeschränkt werden. Um das Konto wieder nutzen zu können, soll das angehängte Dokument heruntergeladen und zur Datenüberprüfung genutzt werden. Ignoriere der Empfänger diese Mail, würde das Konto gesperrt.

„Mobile Endgeräte stellen ein interessantes Zielfeld für Täter dar, weil sich die Nutzer der Gefahr mobiler Betriebssysteme unzureichend bewusst sind“, schreibt das BKA in seinem aktuellen Lagebild zur Internetkriminalität. Doch wie genau funktionieren iTANs, mTANs, Foto-TANs oder NFC-TANs? Und wo liegen bei diesen gängigen Online-Banking-Verfahren die Sicherheitslücken? Der Reihe nach:

iTANs: Für jedes Bankgeschäft, das der Kunde im Internet oder per Smartphone tätigen will, fordert ihn die Bank auf, eine spezielle (‚indizierte‘) Transaktionsnummer einzugeben. Eine Liste solcher durchnummerierter

TANs bekommt der Kunde meist mit Eröffnung des Onlinekontos vom Kreditinstitut zugeschickt. Die Vorteile liegen auf der Hand: Zum einen kann der Kunde ohne zusätzliche Gerätschaft, allein mit einem Stück Papier in der Hand, zum Beispiel eine Überweisung in Auftrag geben. Die Gefahr, dass die Betrüger die Nummernliste tatsächlich physisch in die Finger bekommen, ist ebenfalls recht gering.

Ratgeber Cyberkriminalität

So schützen Sie Ihre Daten

Dennoch sind iTAN-Nutzer vor Betrug nicht gefeit. „Ein besonders hinterhältiger Internetvirus könnte sich nämlich auf dem Rechner oder Smartphone einnisten und, vom Nutzer gänzlich unbemerkt, Überweisungen manipulieren“, weiß Steffen von Blumröder, Sicherheitsexperte für Finanzdienstleistungen beim Branchenverband Bitkom. Auch die meisten Banken warnen ihre Kunden regelmäßig vor immer neuen sogenannten Trojanern, die in der Regel über schädliche Email-Anhänge – von der vermeintlich neuen Gebührenordnung bis zum Sicherheitsupdate – auf die Festplatte des Computers oder das Smartphone gelangen.

Die Techniken der Datendiebe

Trojanische Pferde

Eine der gebräuchlichsten Methoden, Daten abzufangen, ist die Einschleusung sogenannter Trojanischer Pferde, meist schlicht Trojaner genannt. Dabei wird eine schädliche Software meist per E-Mail oder über infizierte Webseiten auf dem Computer installiert, die dort Daten – etwa die Kontonummer – meist ohne Wissen des Benutzers abruft und weiterschickt. Trojaner können sich auch in Fotos, Dokumenten oder auf Speichermedien verbergen.

Phishing

Beim sogenannten Phishing versuchen Datendiebe, sich über gefälschte Webseiten Konten- oder Kreditkartennummern, TANs, PINs oder Passwörter der Opfer zu angeln. Häufig bauen sie dafür bis ins Detail den Internetauftritt von Banken, Versicherungen oder anderen Institutionen nach. Danach verschicken sie E-Mails, um Kunden per Klick auf einen enthaltenen Link auf die getürkte Seite zu führen. Dabei wird das Opfer aufgefordert, sensible Daten einzugeben, die dann zusammen mit der Identität der Opfer missbraucht werden.

Keylogger

Diese Art von Schadsoftware wandert über ähnliche Wege wie Trojaner in den Computer ein und zeichnet die Tastenanschläge des Benutzers auf, um sie an Datendiebe weiterzuleiten. Diese Tasten-Speichersysteme machen für die Täter Passwörter ersichtlich, selbst wenn die Übermittlung an die passwortgeschützte Webseite verschlüsselt erfolgt. An öffentlich zugänglichen Computern können Datengangster auch kleine Geräte zwischen Tastatur und Rechner schalten, die dann die Eingaben des Benutzers zeigen und so Daten und Zugänge erschließen lassen.

Klassisches Hacking

Dabei versuchen die Hacker über Programmierattacken in Zentralrechner oder Netzwerke einzudringen. In offenen Netzwerken wie unverschlüsselten WLANs ist dies sehr einfach, in geschützten Bereichen gestaltet sich das schwieriger. Immer wieder hatten solche Angriffe auf Behörden wie die NASA oder das US-Verteidigungsministerium für Schlagzeilen gesorgt. Selbst Industrieanlagen können damit theoretisch lahmgelegt werden, wie die Attacke des Stuxnet-Wurms auf Urananreicherungsanlagen im Iran zeigt.

Zufall und Schlamperei

Zwischenfälle mit sensiblen Daten sind allerdings nicht nur auf professionelle Hacker-Software zurückzuführen, sondern mitunter auch auf blanken Zufall oder Unaufmerksamkeit. Dazu zählen auf EC-Karten notierte Geheimzahlen, Haftnotizen mit Passwörtern am Computerbildschirm oder fehlgeleitete Informationen. Ein Beispiel: Vor einigen Jahren erregte eine Panne der Landesbank Berlin Aufsehen. Zwei Kurierfahrer hatten sich über einen von der LBB verschickten Christstollen hergemacht und dann Etiketten von Päckchen vertauscht, um ihren Mundraub zu vertuschen. Prompt landeten tausende Kreditkartendaten in der Redaktion der „Frankfurter Rundschau“, für die eigentlich die Weihnachtsleckerei gedacht war.

„Ist der Trojaner einmal drauf, kann er sich bei Onlinetransaktionen des Kunden als unsichtbarer ‚man in the middle‘ zwischenschalten“, sagt von Blumröder und zitiert ein Beispiel: Angenommen, ein Kunde weist 50 Euro an Adressat X an und bestätigt den Vorgang mit der abgefragten Tan. Noch bevor die Informationen über den Sicherheitsserver an die Bank gelangen kann, konvertiert die Schadsoftware sie zu ihren Gunsten. Statt 50 Euro an X werden 5000 Euro an Y angewiesen.

Bevor der Kunde die Bestätigung der Bank über die höhere Überweisung aber übermittelt bekommt, ändert der Trojaner die Information erneut ab. Der Kunde wird in dem Glauben belassen, er habe 50 Euro an X überwiesen. „Manche Trojaner sind so clever, dass der Kunde die höhere Abbuchung erst Tage nach dem Vorgang auf seinem Kontoauszug sehen kann“, so von Blumröder. Sein Tipp: Immer die neueste Antischadsoftware auf dem Rechner oder Smartphone installieren.

Alternativ dazu könnten sich Bankkunden aber auch überlegen, die sogenannten mobilen TANs (mTANs) zu verwenden. Bei dieser Variante erhält der Onlinebankkunde keine Papierliste von Transaktionsnummern, sondern zur Bestätigung eines jeden Bankgeschäfts einen Zahlencode aufs Handy geschickt. Weil mTANs nur begrenzt gültig sind und der Nutzer die Zielkontonummer und den Betrag der Überweisung in der SMS nochmals ablesen und überprüfen kann, gilt das Verfahren im Vergleich zu den iTANs als sicherer.

„Das mTAN-Verfahren soll Nutzer vor ungewollten Überweisungsumleitungen auf ein anderes Konto durch einen ‚man in the middle‘-Angriff schützen“, sagt Christian Solmecke, IT-Rechts-Experte und Partner in der Kölner Medienrechtskanzlei Wilde, Beuger und Solmecke.

Allerdings ist auch beim mTAN-Verfahren Gefahr im Verzug: nämlich dann, wenn es Kriminellen gelingt, eingehende SMS vom Handy des Onlinekunden abzufangen und auf ein eigenes Zweitgerät umzuleiten. Dafür verschaffen sich Betrüger zunächst Zugang zu den Login-Daten des Onlinekunden – und sind, was die Varianten des „Passwortfischen“ (englisch: Phishing) angeht, äußerst einfallsreich.

So könnte auch Ihr Handy infiziert werden

Überweisung per mTan

Dass auch Smartphones anfällig sind für Schadsoftware zeigt folgender Fall: Eine Frau loggte sich über den Firmenrechner in ihren Online-Banking-Account ein, um per mTan-Verfahren eine Online-Überweisung zu tätigen.

Betrüger erfragen Handynummer

Prompt erschien ein Fenster mit der Aufforderung, sich für das Online-Banking neu zu zertifizieren. Abgefragt wurden ihre Handymarke, das Modell und ihre Handynummer.

Schädliches Zertifikat fürs Handy

Daraufhin sollte sie eine SMS mit einem Link erhalten, unter dem sie das neue Zertifikat für ihr Mobiltelefon herunterladen und daraufhin installieren sollte.

Umleitung der SMS

Mit der Installation des Zertifikats auf ihrem Mobiltelefon installierte die Kundin in Wirklichkeit eine Schadsoftware, mit der die eingehenden SMS unmittelbar an die Betrüger weitergeleitet wurde.

Schaden

Auf ihrem Handy wurden die SMS nicht angezeigt. In zwei Tagen wurden insgesamt rund 92.000 Euro von ihrem Girokonto auf fremde Konten überwiesen.

Eine beliebte Masche: Die Betrüger fordern Onlinekunden in einer echt aussehenden Mail auf, ihre Bankdaten inklusive Log-in-Daten einzugeben, etwa, um einen Datenabgleich vorzunehmen. Ein in der Mail enthaltener Link führt den Nutzer dann allerdings auf eine gefälschte Internetseite, die der Seite der eigenen Bank bis ins Detail ähnelt. „Die Betrüger sind teilweise so geschickt, dass selbst Experten keinen optischen Unterschied zur richtigen Seite erkennen“, so Solmecke. Hat der Kunde seine Daten einmal eingegeben und das Formular abgeschickt, ist es zu spät:

Nun können die Hintermänner Kundendaten – darunter Kundennummer, Handynummer und Geburtsdatum – unbemerkt einsehen. Solmecke liegen Fälle vor, in denen sich Betrüger vom Handyanbieter der geschädigten Nutzer eine zweite Sim-Karte haben zusenden lassen. Die Eingabe eines einfachen Codes genügte, um SMS – und somit auch die mTANs – nur noch auf dieser zweiten Sim-Karte zu empfangen.

„Dann geht das Spielchen los“, sagt Solmecke: Die Hacker loggen sich in das Onlinekonto des Nutzers ein, überweisen im Zweifel Geld vom Spar- auf das Girokonto, um dann größere Summen an Finanzagenten zu transferieren. „Uns liegen Fälle vor, in denen Hacker das Überweisungslimit – via mTAN – auf 100.000 Euro angehoben haben.“

Ist das Geld erst einmal von Konto verschwunden, wird es schwer, seinen weiteren Weg zu verfolgen. „Die Strohmänner behalten sich meist nur eine Provision ein und schicken den Restbetrag anonym per Western Union an die Betrüger ins Ausland“, weiß Solmecke. Besonders brisant für Verbraucher: Im schlimmsten Fall bleiben sie auf der veruntreuten Summe sitzen.

„Wenn es darum geht, dass PINs und TANs abhanden gekommen sind, kann der Bankkunde nur dann auf Erstattung des Schadens durch die Bank hoffen, wenn er nachweislich nicht grob fahrlässig gehandelt hat.“ Dann müsste der Verbraucher nur einen Eigenanteil von 150 Euro selbst tragen (§675v BGB).

Girokonten-Vergleich

Die besten Girokonten

Doch was bedeutet grobe Fahrlässigkeit in dem Zusammenhang? „Wer auf einer manipulierten Seite zum Beispiel einer Aufforderung folgt, mehrere TANs gleichzeitig einzugeben, handelt wohl grob fahrlässig“, meint Solmecke. Die sei insbesondere der Fall, wenn die Bank den Kunden vorab darauf hingewiesen hat, dass sie nie mehr als eine TAN-Nummer abfragt. Ungünstig sieht es für den Kunden ebenfalls aus, wenn er nicht die neueste Viren-Software auf seinem Rechner installiert hatte – und sich ein Trojaner so relativ leicht auf der Festplatte einnisten konnte.

Weniger klar gestaltet sich für Solmecke der Fall, wenn ein Kunde auf einer manipulierten Homepage – zum Beispiel auf einem schwarzen Bildschirm – eine Tan eingibt, die den vermeintlich geblockten Account wieder freischalten soll. „Wer so etwas sieht, gibt natürlich erst einmal eine Tan ein. Man möchte jetzt ran an das Geld und die Überweisung tätigen.“ Die Banken sehen dies aber anders und so streitet die Kanzlei gerade vor Gericht.

Weil schließlich selbst das mTAN-Verfahren professionelle Betrüger (‚Phisher‘) nicht abschreckt, geht die Suche nach sicheren Authentifizierungs-Alternativen weiter. Einige Banken bieten ihren Kunden kleine Minicomputer an, die ihnen für jede Transaktion einen neuen Zahlencode generieren.

Verwandte Themen

Bitkom

NSA

Dafür muss der Kunde die Bankkarte in das Gerät einführen und entweder eine am PC generierte Zahlenkombination per Hand eingeben; oder das Gerät liest einen sogenannten 2D-Code vom Computerbildschirm ab (Chip-TAN-Verfahren). Wie beim mTAN-Verfahren muss der Kunde auch hier Empfänger und Betrag noch einmal bestätigen.

Alternativ dazu hat das Stuttgarter IT-Unternehmen GFT mit der NFC-TAN ein Verfahren entwickelt, bei dem ein vom PC generierter 2D-Code mit dem Smartphone abfotografiert werden kann. „Generell sollten für das Online-Banking und die TAN-Generierung unterschiedliche Geräte verwendet werden, um gegen Missbrauch vorzubeugen“, fasst Bitkom-Experte Steffen von Blumröder zusammen – auch wenn die Sicherheit letztlich zu Lasten der Benutzerfreundlichkeit geht.