Ein Wettrüsten zwischen Banken und Betrügern

Von: Marc Heckert
Letzte Aktualisierung:
netzt-banktrojanbu
Der klassische Phishing-Trick - eine gefälschte E-Mail (Bild) verlockt zur Eingabe von Kontodaten - ist schon von gestern. Die neueste Masche: Ein Spionierprogramm schmuggelt sich vom PC des Opfers beim Synchronisieren aufs Smartphone und greift beim Banking die eingehende SMS mit der mTAN ab. Foto: imago/Schöning

Aachen/Düren/Heinsberg. In der vergangenen Woche öffneten sich im Internetbrowser von Britta Hobala (Name geändert) plötzlich ständig mysteriöse Seiten. Dann kam ein Brief von ihrer Bank: Ihr Kontozugang sei aus Sicherheitsgründen gesperrt worden, auf ihrem Rechner sei offenbar ein Trojaner - ein Schadprogramm zum Ausspähen von Kontodaten. Die 33-Jährige ist nicht die einzige Onlinebanking-Nutzerin, die von den immer neuen Tricks der Finanzbetrüger betroffen ist. Kriminelle und Banken liefern sich derzeit ein regelrechtes Wettrüsten.

Immer komfortabler, immer flexibler ist für den Verbraucher der Umgang mit seiner Bank geworden. Vor fast genau 30 Jahren, am 12. November 1980, startete der erste Onlinebanking-Versuch - im Internet-Vorgänger Bildschirmtext (Btx) der Deutschen Bundespost. Schon damals gab es für jede Aktion auf dem Konto eine Transaktionsnummer, kurz TAN, wie sie bis heute verwendet wird. Das elektronische Banking blieb der einzige wirkliche Erfolg im Btx-Angebot - erst 2007 wurde sein letzter Ableger abgeschaltet.

Trojaner in PDF-Dokumenten

Heute wird dem Kunden Banking à la Carte serviert: Es gibt die Software-Installation auf dem Heim-PC, die überall aufrufbare Internetseite, die App auf dem Smartphone-Handy. Doch die immer neuen Anwendungen bringen Betrüger auch auf immer neue ausgefeilte Ideen, den Zahlungsverkehr über Datenleitungen anzuzapfen.

Britta Hobala rief bei der Sicherheits-Hotline ihrer Hausbank an. Der Mitarbeiter am anderen Ende der Leitung vermutete die neueste Variante des Trojaners Gozi auf ihrer Festplatte - ein seit 2007 bekanntes Schadprogramm wohl russischen Ursprungs, das verschlüsselte SSL-Daten ausspäht.

Gozi nutzt nicht nur die verbreitete Methode, dem Opfer beim Besuch einer präparierten Webseite den Schädlung unterzujubeln („Drive-by-Infection”). „Wir haben eine Reihe Gozi-Trojaner beobachtet, die sich über verseuchte PDF-Dokumente verbreiteten”, schrieb das das US-Sicherheitsunternehmen Trustdefender auf seiner Webseite. Der seine Form ständig verändernde Schädling ist momentan auch in Deutschland aktiv - im Selbsthilfeforum www. trojaner-board.de häufen sich die Hilferufe Betroffener.

Die Verbreitung über harmlos scheinende PDF-Dateien ist nur eine von vielen tückischen Methoden des sogenannten Phishings (von Passwort und fischen). Ein anderer neuer Trojaner namens Zeus hat vor kurzem das als besonders sicher geltende mTAN-Verfahren geknackt, bei dem die Transaktionsnummer per SMS auf das Handy des Bankkunden gesendet wird. Zeus befällt sowohl Rechner als auch Handy und leitet die eingehende SMS an Betrüger weiter, die dann mit den ebenfalls ausgespähten Transaktionsdaten das Konto plündern.

„Konten, die nur mittels TAN, i-TAN, m-TAN gesichert werden”, warnte das Landeskriminalamt Nordrhein-Westfalen vor zwei Wochen, seien „nicht ausreichend geschützt”. Es hatte soeben eine internationale Kontobetrügerbande festgenommen.

Haben die Guten in diesem bösen Spiel überhaupt noch eine Chance? Ja - wenn sie auf dem Laufenden bleiben. Denn die Banken rüsten nach: Die Sparkasse Aachen etwa lässt seit dem gestrigen Montag Auslandsüberweisungen nur noch nach dem Chip-TAN-Verfahren zu. Ab Mitte 2011 soll dieses Sicherheitssystem, bei dem ein kleines Zusatzgerät eine individuelle TAN erzeugt, auch für alle übrigen Überweisungen verpflichtend sein.

Auch die Sparkasse Düren setzt auf dieses Verfahren. „Wir werden nächstes Jahr intensive Kampagnen fahren, um für das Chip-TAN-Verfahren zu werben”, kündigt Günter Kreuel an, zuständig für das Elektronische Banking.

Die Postbank wiederum führt heute, Dienstag, das Chip-TAN-Verfahren mit optischer Übertragung ein. „Nutzen Sie die Chip-TAN - denn bald hat die gute, alte TAN-Liste ausgedient!”, heißt es auf der Postbank-Homepage.

Die Aachener Bank setzt neben der Chip-TAN - dort als Smart-TAN bezeichnet - auf das relativ neue System der digitalen Signatur. Die hauseigene Software VR-NetWorld nutzt das Sicherheitsverfahren „Financial Transaction Services” (FinTS), eine Weiterentwicklung des von mehreren deutschen Banken verwendeten Standards „Homebanking Computer Interface” (HBCI). „Dabei werden alle Überweisungen digital unterschrieben”, erklärt Tim Teusen, der diesen Bereich betreut.

Bundesamt bietet Hilfe-Seite

Die meisten Banken setzen auf eine ganze Palette unterschiedlicher Lösungen. „Wir schützen unsere Kunden mit zahlreichen Sicherheitsmaßnahmen wie iTAN, mobileTAN, EV-SSL-Zertifikat, chipkartenbasiertem Internet-Banking oder virtueller Tastatur”, sagt Mike Schweitzer, Pressesprecher der Deutschen Bank. Das Wettrüsten geht weiter.

Wer Schädlingsbefall auf seinem Rechner vermutet, findet Hilfe unter anderem beim „Anti-Botnet-Beratungszentrum” des Internetverbandes Eco und des Bundesamtes für Sicherheit in der IT. Dort gibt es Tipps für das Säubern betroffener Systeme.

Britta Hobala entschied sich am Ende für eine Radikalkur: Sie installierte ihr Windows-Betriebssystem vollständig neu. Das ließ selbst Gozi keine Chance.
Leserkommentare

Leserkommentare (0)

Sie schreiben unter dem Namen:



Diskutieren Sie mit!

Damit Sie Artikel kommentieren können, müssen Sie sich einmalig registrieren — bereits registrierte Leser müssen zum Schreiben eines Kommentars eingeloggt sein. Beachten Sie unsere Diskussionsregeln, die Netiquette.

Homepage aktualisiert

Finden Sie jetzt neue aktuelle Informationen auf unserer Startseite

Wieder zur Homepage

Die Homepage wurde aktualisiert