Von Marco Tripmaker Den Herbst vergangenen Jahres wird Bülent K. aus Berlin sicher nicht so schnell vergessen, und das hat nichts mit seinem bestandenen Staatsexamen für das Lehramt zu tun. Nach einem Clubbesuch mit Kollegen und einem Abend mit zwei, drei Bier zu viel stellt der junge Mann fest, dass sein Smartphone verschwunden ist. Und nicht nur das: In der darauf folgenden Woche erfolgt eine Abbuchung von knapp 5000 Euro von seinem Bankkonto auf ein albanisches Konto. Die bislang unbekannten Täter sichern sich das Geld sofort in bar, sie sind über alle Berge und werden vermutlich niemals gefunden werden. Doch Bülent K. hatte Glück im Unglück: Seine Bank, ein großes und renommiertes Kreditinstitut, erstattete ihm den Betrag. Bülent K. konnte nachweisen, dass er in der Herbstnacht nicht grob fahrlässig gehandelt hat. Banken sind gegen solche Betrügereien versichert. Wie lassen sich Schäden beim Onlinebanking dennoch von vornherein vermeiden?
Onlinebanking ist bequem – leider auch für Kriminelle, die Daten ausspähen und dann Konten plündern. Die Bank kommt nur für den Schaden auf, wenn der Kunde selbst nicht unvorsichtig war
40 Prozent der Deutschen haben kein sicheres Gefühl beim Onlinebanking.
Cybercrime-Straftaten machen Deutsche skeptisch
Fast 40 Prozent aller Deutschen fühlen sich laut IT-Verband Bitkom unsicher dabei, wenn sie ihren Bankgeschäften im Internet nachgehen. Zu groß sind die heutigen Möglichkeiten im Bereich Cybercrime, „bei denen sich Täter ganz bewusst unerkannt im Untergrund verabreden, um diverse Straftaten zu verüben. Dabei gibt es top ausgebildete Experten für quasi alle Bereiche. Sie steuern ihre kriminellen Handlungen als Dienstleistung von jedem denkbaren Ort der Welt aus. Wir nennen das ‚crime as a service‘“, sagt der Osnabrücker Strafrechtler Arndt Sinn. Ein Täter späht dabei potenzielle Onlinebanking- Opfer aus, der andere löst die technischen Herausforderungen, ein dritter Täter kümmert sich um Buchhaltung und Geldflüsse. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft die Gefährdungslage in seinem aktuellen Lagebericht als weiterhin hoch ein. Die Situation habe sich sogar verschärft und sei im Vergleich zu 2017 vielschichtiger geworden: „Es gibt nach wie vor eine hohe Dynamik der Angreifer bei der Weiterentwicklung von Schadprogrammen und Angriffswegen“, heißt es im Bericht.
Schadsoftware kommt meistens per E-Mail
„Auch wenn es natürlich ein riesiger Vorteil ist, von jedem Ort der Welt aus mobil seine Bankgeschäfte abzuwickeln – man sollte sich nicht zu naiv im Internet und beim Onlinebanking bewegen, weder am PC noch auf dem Smartphone. Ein vernünftiger Browser wie Apples Safari oder der Windows 10 Edge, eine Firewall oder eine Virtual-Private-Network-Verbindung (VPN) sollte man sich schon zulegen, um gut geschützt zu sein“, sagt Jörn Weber, Geschäftsführer der Corma GmbH, eines Unternehmens für nationale und internationale Wirtschaftsermittlungen.
Zudem sei es dringend angeraten, alle Systeme stets auf dem neuesten Stand zu halten. „90 Prozent der Phishing-Schadsoftware zum Ausspionieren der Transaktionsnummern (TAN) gelangen über E-Mail auf unsere Systeme. In diesem Bereich gilt es, ganz besonders aufmerksam zu sein, damit Täter nicht PC oder Handy kapern können. Auch der TAN-Block in der Schublade ist im Falle eines Einbruchs nicht gerade ideal“, sagt Weber. Eine besonders beliebte Masche: Kriminelle lassen sich, inspiriert von Telefonrechnungen von Mobilfunkgesellschaften, Zweitkarten für Smartphones zuschicken, haben dann Zugriff auf mobile TAN und können in kürzester Zeit komplette Konten plündern. Mittlerweile reagieren Telefongesellschaften offenbar sensibler, wenn es um derartige Anforderungen geht.
"Natürlich ist die Sicherheit auch immer abhängig vom Nutzer.""
Nicole Gemperlein, Onlinebanking-Expertin bei der Hamburger Volksbank
Eine weitere Vorgehensweise: Mit nahezu perfekt gebauten Online-Fakes der Log-in-Masken von Banken versuchen Kriminelle ebenfalls, sensible Kundendaten zu generieren. Ihr Ziel ist es stets, möglichst viel Geld abzuschöpfen und dieses schnell ins Ausland zu transferieren. „Dabei müssen es nicht immer riesige Summen sein, die diese Banden erbeuten. Sie starten parallel mehrere IT-Angriffe – die Masse macht’s. Bricht den Kriminellen dann ein Bereich weg, diversifizieren sie auf neue Geschäftsmodelle“, verrät ein Insider.
Endgeräte regelmäßig aktualisieren
Nicole Gemperlein, Onlinebanking-Expertin von der Hamburger Volksbank, betont, dass man das Thema mit der nötigen Sensibilität behandele, schließlich seien mehr als 70 Prozent der Privatgirokonten für Onlinebanking freigeschaltet. „Die Kundenbedürfnisse haben sich geändert. Selbstverständlich bieten wir Online- und Mobilebanking über den PC oder das Smartphone an. Dabei werden die neuesten Sicherheitsstandards immer über unseren genossenschaftlichen Finanzverbund sichergestellt. Für das Handy stellen wir unseren Kunden die VR-Banking-App zur Verfügung“, erläutert Gemperlein. Diese App sei vor allem bei der jungen Klientel ab 16 Jahren sehr beliebt. „Natürlich ist die Sicherheit auch immer abhängig vom Nutzer. Wichtig ist zum Beispiel, dass der Kunde regelmäßig seine Endgeräte aktualisiert und sorgsam mit seinen persönlichen Daten umgeht“, betont Gemperlein. Auf der eigenen Homepage habe das Unternehmen Erklärfilme und nützliche Tipps für die Kunden bereitgestellt.
Die TAN-App sowie das Smart-TAN-Verfahren mit einem Lesegerät böten einen deutlich höheren Sicherheitsstandard. Dennoch empfiehlt Gemperlein Kunden, die Umsätze auf dem Girokonto regelmäßig zu checken und ungewöhnliche Buchungen sofort der Bank zu melden. „Bei Unregelmäßigkeiten sollte das Onlinebanking umgehend über die einheitliche Hotline 116 116 gesperrt werden.“ Sollte es doch mal unverschuldet zu einem Betrugsfall kommen, greife die Versicherung der Bank, sagt Gemperlein und unterstreicht, dass ein Kreditinstitut nie per E-Mail oder am Telefon Passwörter und Zugangsdaten abfrage.
Wer trotz Vorsichtsmaßnahmen Betrugsopfer wird, sollte nach der Sperrung von Karten auch Anzeige bei der Polizei erstatten.
Vorsicht vor Fallen
- E-Mail-Phishing – Passwortdiebstahl mit manipulierten E-Mails: Beim Onlinebanking bestätigt der Kunde mit Passwort, PIN und TAN seine Identität. Kriminelle versuchen, genau diese Daten auszuspähen. Der Fachbegriff hierfür ist Phishing.
- Schadsoftware – trojanische Pferde sammeln unbemerkt Daten: Ein gesundes Misstrauen schadet nicht, wenn es um Onlinebanking geht. Beim sogenannten Man-in-the-Middle-Angriff überwachen Schadprogramme den Verkehr zwischen Anwender und Bank. Führt der Benutzer eine Überweisung durch, werden Konto sowie Betrag verändert und das Geld ist futsch. Der Anwender bemerkt davon zunächst nichts. Beim Man-in-the-Browser-Angriff wird hingegen nur die Darstellung der Bank-Website manipuliert.
- Mobilebanking – unterwegs lauern Gefahren: Es ist riskant, fremde Rechner fürs Onlinebanking zu nutzen. Denn Browser speichern Daten der letzten Verbindungen in einem Zwischenspeicher ab – dem sogenannten Cache. Wer Bankgeschäfte etwa im Internetcafé abwickelt, riskiert, dass Kriminelle später diese Informationen im Cache auslesen. Die Gefahren beim Onlinebanking beschränken sich nicht nur auf PCs. Inzwischen nehmen die Angreifer auch Smartphones und Tabletcomputer ins Visier – auch weil viele Nutzer den Schutzbedarf mobiler Endgeräte noch unterschätzen.