Banken setzen auf Frühwarnsystem gegen Phishing-Aktivitäten

Nachdem die Anzahl sogenannter Phishing-Aktionen mit betrügerischen E-Mails und vorgespiegelten Bank-Webseiten in letzter Zeit dramatisch angestiegen ist, rüsten Banken zu Gegenmaßnahmen. Dabei setzt man auf spezielle Software, die Phishing-Mails schnell aufspürt und es so ermöglicht, die dazugehörigen betrügerischen Webseiten frühzeitig zu sperren, bevor viele irregeführte Bankkunden Gelegenheit hatten, darauf hereinzufallen.

Wie der Karlsruher Sicherheitsfachmann Christoph Fischer von der BFK EDV-Consulting GmbH am gestrigen Freitag gegenüber dpa sagte, haben bereits drei Banken in Zusammenarbeit mit BFK und dem britischen Unternehmen Cogenta ein gemeinsames Pilotprojekt für ein solches Frühwarnsystem gestartet. Das System sei bereits einsatzfähig und werde rund um die Uhr betreut, so Fischer.

Das "Phishing" ist eine Spielart der Computerkriminalität, die in jüngster Zeit besonders häufig im Bereich Online-Banking in Erscheinung getreten ist: Betrügerische E-Mails führen Bankkunden mit täuschend echt aufgemachten Nachrichten hinters Licht und bringen sie per Link dazu, vermeintliche Bank-Webseiten aufzurufen, wo sie persönliche Daten sowie Zugangscodes eingeben sollen – angeblich aus Sicherheitsgründen, zur Bestätigung oder um vorgebliche Datenbankfehler zu bereinigen. Tatsächlich landen die Kunden aber keinesfalls auf echten Bankseiten, sondern auf Fälschungen. Mit den so abgefangenen Daten versuchen die betrügerischen Seitenbetreiber, Auslandsüberweisungen zu eigenen Gunsten durchzuführen.

"Inzwischen sind die so gut, dass man kein Trottel mehr sein muss, um darauf hereinzufallen", so Fischer. Selbst Experten könnten die Fälschungen oft nicht erkennen. "Vor allem die perfekt gemachten deutschsprachigen Phishing-Mails machen uns natürlich Sorgen." Bei den Tätern handle es sich sehr wahrscheinlich nicht um Hacker im klassischen Sinn, die aus sportlichem beziehungsweise technischem Ehrgeiz heraus handeln – Fischer geht überhaupt nicht primär von individuellen Gelegenheitstätern aus. "Der Mechanismus ist dafür viel zu professionell." Vielmehr haben die Experten Anlass zur Annahme, dass es sich um organisisrte Kriminalität handelt. Innerhalb von nur sechs Wochen wurden bereits sieben entsprechende Attacken registriert. "Wir konnten dabei nachweisen, dass es immer dieselben Urheber waren", sagte Fischer.

Das neu entwickelte Frühwarnsystem soll es den Banken erlauben, auf weitere "Phishing"-Aktionen so zügig zu reagieren, dass die mit den betrügerischen Mails verknüpften Ziel-Webseiten stillgelegt werden können, bevor größerer Schaden entsteht.

Der Gedanke der Frühwarnung kommt auch in den Konzepten zum Tragen, die man am Darmstädter Institut für Multimedia-Kommunikation (KOM) verfolgt. Die Forscher dort betonen allerdings, Kriminalität beim Online-Banking sei vor allem ein psychologisches Problem, dem man nicht allein durch Sicherheitstechnik zu Leibe rücken könne.

KOM-Leiter Ralf Steinmetz glaubt, dass Betrugsversuche beim Online-Banking sich in den kommenden Jahren noch weiter ausweiten werden. Jedem Benutzer müsse klar sein, dass er jederzeit in das Visier listiger Betrüger geraten könne. Sein Institut entwickle daher Mechanismen, die in einem verteilten Umfeld mit autonom agierenden Entitäten verdächtiges Verhalten frühzeitig entdeckten und die entsprechenden Teilnehmer sofort isolierten. Aus Sicht der Internet-Forscher vom KOM-Institut ist der Trick, der hinter Betrugsversuchen steht, schon sehr alt: So sei etwa "Phishing" prinzipiell nichts anderes als der bekannte Betrug an der Haustür, der das Vertrauen und die Arglosigkeit von Menschen ausnutzt. Ivan Martinovic, der sich am KOM-Institut mit Sicherheit und Vertrauen im Netz beschäftigt, sieht daher Banken und Nutzer besonders gefordert: "Die Banken müssen ihre Kunden mehr als bisher über Methoden der Online-Betrüger informieren." Martinovics Forschungen konzentrieren sich auf erweiterte Konzepte von Vertrauensmanagement und Vertrauensbildung in den verteilten Netzwerken. Diese Konzepte sollen den Benutzern erlauben, verschiedene Vertrauensstufen zu definieren. Durch Beobachtung und Informationsaustausch werden dabei auch Dynamik und Verhaltensänderung registriert. "Diese Verfahren fassen wir unter dem Begriff 'Trust' zusammen. Zusätzlich zu bestehenden Mechanismen versuchen wir eine Art "Network of Trust" zu konzipieren, um damit die Vertrauenswürdigkeit von Information besser zu erfassen". Diese Forschungen befänden sich jedoch noch in den Kinderschuhen, so dass es noch eine Zeit dauern werde, bis die Mechanismen in Netzwerke und Systeme Eingang finden können.

Derzeit fließen die Forschungsergebnisse des KOM-Instituts in das sogenannte E-Finance Lab ein – eine Initiative, in der die Universitäten Frankfurt und Darmstadt mit Geldinstituten wie der Postbank und der Deutschen Bank zusammenarbeiten.

Erst am vergangenen Donnerstag hatten der Bundesverband deutscher Banken (BdB) sowie der Deutsche Sparkassen- und Giroverband (DSGV) ihre Kunden zur Vorsicht aufgerufen: Niemals, so die Verbände, würde ein echtes Geldinstitut seine Kunden per E-Mail zur Bestätigung oder Eingabe vertraulicher Daten auffordern. Ein gesundes Misstrauen gegenüber elektronischer Post ist also angebracht – auch dann, wenn die Botschaften mit bekannten Logos und vertrauter Gestaltung aufwarten. (dpa)[i] /[/i] (psz)