Online-Banking trotz zunehmender Gefahren immer beliebter

Das Online-Banking hat in der Gunst der Deutschen weiter zugelegt. Aktuellen Zahlen des Bundesverbandes deutscher Banken (BdB) zufolge wickeln inzwischen nahezu vier von zehn Deutschen zumindest die Standardvorgänge ihrer Bankgeschäfte online ab. Davon wollen Kriminelle profitieren -- mit immer ausgefeilteren Methoden.

Seit Sommer vergangenen Jahres beobachtet der Verband Versuche, Bankkunden durch so genannte Phishing-E-Mails zur Preisgabe ihrer Geheimzahlen zu bewegen. "Waren es zunächst Phishing-Wellen, ist mittlerweile kein Abflauen mehr zu beobachten", sagte Verbandssprecherin Kerstin Altendorf der Finanz-Nachrichtenagentur dpa-AFX.

Im Vergleich zum Kreditkartenbetrug ist der finanzielle Schaden Branchenkreisen zufolge gering. Viele Banken sähen dies als hinzunehmenden Teil der Betriebskosten. Eine der ersten europäischen Banken, deren Kunden gezielt angeschrieben wurden, war die Postbank. Sie hat inzwischen auf ein System umgestellt, bei dem der Kunde die für einen Online-Banking-Auftrag erforderliche Transaktionsnummer (TAN) nicht mehr selbst auswählen kann. "Es wäre erstaunlich, wenn da kein Geld verschwunden wäre", sagte Martha Bennett, Research Director bei Forrester Research. "Systeme, bei denen die Nutzer die TAN-Nummer selbst aussuchen können, halten den heutigen Gegebenheiten nicht mehr stand."

Inzwischen sei aus dem Baltikum ein erster Fall gemeldet worden, bei dem ein Hacker die Online-Banking-Sitzung eines Bankkunden übernehmen und selbst Überweisungen tätigen konnte (man in the middle attack). "Gegen solche Attacken gibt es derzeit keinen wirkungsvollen Schutz", sagte Benning am Freitag auf einer Fachkonferenz in London. Neben bösartiger Software, die Tastatureingaben aufzeichnet und auf diese Weise Geheimnummern ausspioniert ("keystroke logging"), gibt es jetzt auch Anwendungen, mit denen sich die Bewegungen des Mauszeigers auf dem Bildschirm verfolgen lassen ("screen scraping"). Damit haben die Hacker auf die "virtuellen Tastaturen" reagiert, mit denen einige Institute ihren Nutzern ermöglichen, Geheimzahlen ohne Tastatur einzugeben. In England, Irland, aber auch in Teilen Frankreichs, Italiens und Spaniens lassen sich Konten mit dem Benutzernamen und der PIN-Nummer ausräumen. In Deutschland ist zusätzlich eine TAN-Nummer für jede Transaktion erforderlich.

Russland und Weißrussland gelten als mögliche Herkunftsländer der Angriffe. Die benachbarten baltischen Staaten dienten offenbar als Testgelände, heißt es in Branchenkreisen. Um zu verschleiern, wohin die gestohlenen Gelder fließen, setzen die Kriminellen auf Mittelsmänner -- eine aus dem Drogenhandel bekannte Taktik. So wurden in Australien Studenten und andere Menschen mit kleinen Einkommen angeheuert. Sie sollten Gelder, die zuvor auf ihr Konto transferiert wurden, gegen eine Beteiligung von zehn Prozent auf andere Konten weiterleiten. Als die Polizei zugriff, waren diese Konten längst geleert.

Geprellte Kunden wurden bislang von den Banken entschädigt. "Mir ist kein Fall bekannt, bei dem Kunden auf ihren Schäden sitzen geblieben sind", sagte Altenburg. Das eigentliche Risiko für die Finanzinstitute sieht Bennett allerdings nicht im unmittelbaren finanziellen Schaden. "Wenn sich die Kunden irgendwann vom Online-Banking abwenden, waren nicht nur die Investitionen dafür in den Sand gesetzt. Die Kosten für die Kundenbetreuung in den Filialen oder per Telefon gingen auch nach oben." In Deutschland, den Niederlanden und in Schweden fühlen sich Online-Banking-Nutzer den Untersuchungen von Forrester zufolge am sichersten. Knapp drei Viertel der deutschen Nutzer sind Zahlen des BdB zufolge von der Sicherheit des Mediums überzeugt. "Die Banken in Deutschland haben viel zu verlieren", sagte Bennett. "Momentan stehen sie sehr gut da."

Die Marktforscherin Bennett rät den Instituten, neben der Zugangskontrolle mehr im Hintergrund tätig zu werden, etwa bei der Auswertung des Online-Verhaltens der Nutzer. Wenn sich dann jemand plötzlich aus Minsk einlogge, könne man ja auch einmal anrufen, um zu prüfen, ob es sich tatsächlich um den Kunden handele. Zudem sollten Banken ihren Kunden ermöglichen, Auslandsüberweisungen oder Einmalüberweisungen an Dritte von ihren Konten auszuschließen. (dpa)

Mit den Risiken beim Online-Banking beschäftigt sich auch die aktuelle c't-Ausgabe 22/05, die am Montag am Kiosk erscheint. (axv)