Mediathek
Donnerstag, 23. Oktober 2008

Online-Banking: Spezialisten greifen an

Hersteller von Antiviren-Software haben im vergangenen Jahr einen enormen Anstieg an Schadprogrammen, die Banken angreifen, festgestellt. Kunden und Banken tun daher gut daran, ihre Abwehrmaßnahmen zu überprüfen.

Laut Roel Schouwenberg vom Antiviren-Spezialisten Kaspersky Lab entwickeln die kriminellen Programmierer zunehmend Schädlinge, die auf die bekanntesten Banken spezialisiert sind. Daraus schließt er, dass sich die Attacken auch in Deutschland auf die Kunden von ein bis drei Banken konzentrieren.

Schouwenberg vermutet dafür vor allem zwei Gründe: Zum einen hätten die betroffenen Banken einen großen Kundenstamm. Andererseits - das ist bedenklich - sei es bei diesen Instituten aufgrund schwacher Sicherheitsvorkehrungen besonders einfach, Zugriffe auf Konten zu erhalten.

Tarnung oberstes Gebot

Der Viren-Analyst geht davon aus, dass die meisten Bank-Schädlinge nicht via E-Mail auf die Computer kommen, sondern über das Internet verbreitet werden. Der Grund dafür sei, dass E-Mail-Schädlinge zu sehr die Aufmerksamkeit von Antiviren-Herstellern, Banken und Medien auf sich zögen. Tarnung ist für die "Tresorknacker" oberstes Gebot. Ein Kunde, der sich bei einem scheinbar unproblematischen Download unbemerkt einen Schädling einfängt, arbeitet mit seinem Rechner vermutlich so weiter wie bisher. Das heißt, er gibt auch weiter vertrauliche Daten ein, die von Online-Kriminellen gestohlen und missbraucht werden können.

Die Analyse von Roel Schouwenberg passt auch zu einem weiteren Trend, den Antviren-Experten im vergangenen Jahr festgestellt haben: Die Zahl der Trojaner, die Daten, die in Web-Formulare eingegeben werden, abfangen, hat zugenommen. Die Schädlinge spionieren beispielsweise Passwörter oder Kreditkartendaten aus. Auch der Zugang zu Online-Konten, bei denen zur Authentifizierung Benutzernamen und Passwort genügen, sind für die Trojaner eine leichte Beute. Einige der raffiniertesten Trojan-Downloader seien sogar so konstruiert, dass sie sich nach erfolgreicher Zustellung selbst zerstören. Eine Analyse durch Antivirus-Spezialisten sei so unmöglich, schreibt Schouwenberg.

Blauäugige Bankkunden

Laut Kaspersky Lab ist Phishing bei Cyber-Gangstern nach wie vor sehr beliebt. Das liege unter anderem daran, dass immer noch viele User auf gefälschte Mitteilungen hereinfielen, die angeblich von einer Firma oder Behörde stammen und dazu auffordern, vertrauliche Daten anzugeben.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt daher dringend, Virenschutzprogramme und Firewalls einzusetzen und die Programme stets aktuell zu halten. Auch das Betriebssystem sollte immer auf dem neuesten Stand sein. Passwörter sollten schwer zu erraten, PINs und TAN-Listen sicher aufbewahrt und auf keinen Fall abgespeichert werden. Sehr wichtig: Banken verschicken niemals E-Mails, in denen Kunden aufgefordert werden vertrauliche Daten oder TANs einzugeben!

Auch gefälschte Internet-Seiten sind leicht zu erkennen: Bei aktuellen Internet-Browsern (Internet Explorer, Firefox) werden sichere Seiten durch einen grüne Färbung der Adresse angezeigt. Ist diese Markierung nicht zu sehen, sollten auf keinen Fall empfindliche Daten eingegeben werden.

Banken in der Kritik

Sicherheitsexperten bemängeln allerdings, dass die Schutzmechanismen vieler Banken nach wie vor völlig unzureichend seien. Tatsächlich sind einfache TANs (Transaction Authorisation Numbers) für Trojaner kein ernstzunehmendes Hindernis: Gibt der Anwender die TAN ein, unterbricht das Schadprogramm die Übertragung und sendet zum Beispiel eine Fehlermeldung. Der Kunde gibt eine neue TAN ein, wodurch die zuvor verwendete TAN frei zum Missbrauch ist.

Sicherer ist es, das so genannte iTAN-Verfahren zu verwenden, bei dem der Kunde dazu aufgefordert wird eine bestimmte TAN (z.B. Nr. 17) zu verwenden. Dadurch ist eine TAN an einen bestimmten Auftrag gebunden und kann nicht beliebig verwendet werden. Dieses Verfahren ist bei den meisten Online-Banken Standard, bietet jedoch noch zu wenig Sicherheit, da beispielsweise iTAN-Listen gestohlen werden können.

Noch besser sind mobile TANs (mTANS), ein Verfahren, das unter anderem die Postbank anbietet. Dabei erhält der Kunde eine TAN per SMS geschickt, die ebenfalls nur für einen Vorgang gültig ist.

Sicherheit ist nicht teuer

Kaum zu knacken ist die Absicherung des Online-Bankings durch so genannte TAN-Generatoren. Hierbei werden mit Chip-Karte und einem Lesegerät (TAN-Generator) per Knopfdruck Einmal-Passwörter erzeugt, die nur für eine kurze Zeit gültig sind. Dieses Verfahren bieten unter Sparkassen, die BW-Bank sowie Volks- und Raiffeisenbanken an. Die Kosten halten sich in Grenzen: Der TAN-Generator der Sparkassen kostet beispielsweise zwölf Euro. Es ist also nur schwer nachvollziehbar, warum nicht alle Banken TAN-Generatoren zur Verfügung stellen.

Quelle: n-tv.de