Trickbetrüger im Vormarsch: Der Kampf gegen die Online-Bankräuber
© Bild:
2011 Getty Images
Online-Bankräuber schlagen immer öfter zu. Das belegen Zahlen des Bundeskriminalamts (BKA) und der IT-Branchenvereinigung Bitkom: Sie rechneten mit bis zu 5000 angezeigten Phishing-Fällen - also das illegale Abfischen von Passwörtern im Netz - für 2010. Das wäre ein Plus von rund 71 Prozent gegenüber dem Vorjahr - plus einer Dunkelziffer.
Die Schadenssumme für 2010 lag einer ersten Bitkom-Prognose zufolge bei 17 Mio. Euro. Dabei hatten die Schadensfälle schon 2009 um mehr als 60 Prozent zugelegt. Immerhin zwei Prozent der Internet-Nutzer sind laut BKA schon einmal Opfer eines Betrugs beim Online-Banking geworden.
Die exakten Zahlen für 2010 und die Prognose für das laufende Jahr gibt die Bitkom im Herbst bekannt.
Die Gauner wenden immer raffiniertere Angriffsmethoden zur Infektion von PCs mit Schadprogrammen an. Vor allem sogenannte Man-in-the-Middle-Trojaner - also Schadprogramme, die sich unbemerkt auf Computer einnisten und Daten ausspionieren - sind besonders gefährlich. Sie haben es auf Bankkunden abgesehen, die das noch verbreitete PIN-iTAN-Verfahren im Online-Banking nutzen.
Doch die Banken sehen dem Treiben nicht länger zu. 2011 gilt schon jetzt als großes Jahr der Umstellung - weg vom PIN-/iTAN-Verfahren, hin zu Verfahren, die mehr Sicherheit bieten. Sicherheitsexperten zufolge schützen M-TAN-, Chip-TAN- und E-TAN-plus-Verfahren derzeit wirkungsvoll vor den berüchtigten Man-in-the-Middle-Angriffen. "Ein hohes Sicherheitsniveau haben alle Verfahren, in denen die Transaktionsdaten wie Kontonummer und Überweisungsbetrag, über einen zweiten Kanal angezeigt, eingeben und bestätigt werden können. Dafür kann entweder ein Chipkartenleser oder auch das Mobiltelefon zum Einsatz kommen", sagt Bitkom-Sprecher Ralf Beunink.
Bei den großen Privatbanken zählt die Postbank zu den Sicherheitspionieren. Notgedrungen, denn in der Vergangenheit wurde ihre große Online-Kundschaft oft ins Visier von Online-Abzockern genommen. Die Bank hat im April damit begonnen, das i-TAN-Verfahren abzuschaffen. Der Vorgang soll 2011 beendet sein. Fortan können die Kunden M-TAN und Chip-TAN-comfort- Verfahren nutzen. Während die M-TANs teils kostenlos sind, müssen Verbraucher für das Chip-TAN-Verfahren einen TAN-Generator erwerben.
Hier ein Überblick über die einzelnen Sicherungsverfahren.
PIN-TAN-Verfahren: Nach Einloggen mit einer persönlichen Identifikationsnummer (PIN) kann der Bankkunde mit einer Transaktionsnummer (TAN), die er selbst aus einer in der Regel in Papierform vorliegenden Liste auswählen kann, eine Transaktion freigeben. Die Papierliste hat ihm die Bank zur Verfügung gestellt. Die TAN verbraucht sich dann mit der Transaktion.
Das Verfahren gilt sicherheitstechnisch als anfällig für Phishing- und Trojanerangriffe und als nicht mehr zeitgemäß. Derzeit hat es etwa noch die Targobank im Einsatz, wird es aber 2011 einstellen. Ihren Kunden offeriert die Bank aber eine Online-Sicherheits-Garantie und verspricht ihren Kunden, Geldbeträge zu ersetzen, die durch Missbrauch der Zugangsdaten durch Dritte verfügt wurden. Um die Garantie zu bekommen, muss man sich lediglich bei der Bank registrieren und im Fall des Falles Strafanzeige umgehend erstatten.
Einige Onlinebroker, die kein Banking, sondern nur Brokerage anbieten und Überweisungen in aller Regel nur auf Referenzkonten zulassen, wie etwa die OnVista Bank, arbeiten sogar nur mit Username und PIN. Wenn Unbefugte allerdings an die Zugangscodes kommen, können sie zumindest das Depot kapern und darin großen Schaden anrichten, indem sie etwa werthaltige Aktien verkaufen und Penny Stocks kaufen, um diese Werte zu pushen.
Das Verfahren verliert zunehmend an Bedeutung. Der Kunde erhält eine TAN-Liste, in der die TANs durchnummeriert sind. Die Bank fordert bei einer Transaktion dann online eine ganz bestimmte TAN zur Freigabe der Transaktion an. Nach Analysen von Verbraucherschützern erschwert das Verfahren Abzockern zwar die Arbeit, schließt sie aber nicht aus.
"Das iTAN-Verfahren ist allenfalls ein Notpflaster, es bietet keinen ausreichenden Schutz mehr", warnt etwa Frank-Christian Pauli, Bankenexperte des Verbraucherzentrale Bundesverbands (VZBV). Sicherheitsexperten bei Banken zufolge sind zum Beispiel so genannte 20-TAN-Trojaner im Umlauf, die Opfer zur Eingabe von 20 iTANs auffordern.
Das iTAN- Verfahren ist derzeit allerdings immer noch weit verbreitet. Zum Beispiel kommt es derzeit bei comdirect, der Commerzbank, der DAB bank, der Deutschen Bank, flatex der HypoVereinsbank, ING-Diba, der netbank, maxblue, dem Sparkassenbroker und ViTrade zum Einsatz. Bei der Commerzbank gibt es zusätzlich eine sogenannte Bestätigungsnummer (BEN) auf der iTAN-Liste.
Nach Durchführung einer Transaktion wird die BEN dem Kunden auf einer Bestätigungsseite im Onlinebanking angezeigt. Die BEN sollte dann mit dem Code auf der iTAN-Liste verglichen werden. Außerdem ist die Auftragsmaske der Commerzbank mit einem so genannten Wasserzeichen im Hintergrund versehen. Die Commerzbank hält das Verfahren für sicher, andere Stimmen meinen jedoch, dass das Verfahren zwar Falschern zusätzliche Hürden aufbaue, aber Fälschungen nicht ausschließe, da die Bildschirmanzeige manipuliert werden könne. Denn der Nutzer kommuniziert mit seiner Bank stets nur über den Rechner, eine Kanaltrennung finde nicht statt. Ähnliches gelte für das Sicherungsverfahren der ING-DiBa, die noch die zusätzliche Eingabe eines Diba-Keys verlange.
Um mehr Sicherheit zu bieten, haben einige Banken aber weiter verbesserte Verfahren im Einsatz, wie etwa die Mobile TAN (M-TAN). Der erste große Vorteil dieses Verfahrens: die Kanaltrennung. Denn der Bankkunde erhält die nötige TAN für die Transaktionsfreigabe als SMS auf sein Handy geschickt, das natürlich empfangsbereit sein muss. Im Funkloch hat man also ein Problem.
Der Handyvertrag muss im übrigen bei einem inländischen Provider abgeschlossen sein. Aber auch wenn man zum Beispiel beruflich im Ausland unterwegs ist, kann man das M-TAN-Verfahren bequem nutzen, sofern es Roaming-Möglichkeiten gibt. Auch eine SMS aufs Festnetztelefon ist natürlich möglich. Der Kundenauftrag und der TAN-Versand laufen daher über zwei von einander unabhängige Kommunikationskanälen, außerdem ist der Kunde mit dem Verfahren mobil und muss keine TAN-Liste mit sich herumtragen. Der zweite Sicherheitsclou am M-TAN-Verfahren liegt darin, dass wichtige Merkmale der Transaktion in die TAN mit eincodiert werden, der Kunde kann daher in aller Regel nochmals überprüfen, ob die Bank wirklich die von ihm gewünschte Transaktion auslösen wird. Und es gilt derzeit als sehr sicher – solange sich die Abzocker keine neuen Tricks einfallen lassen.
Einen Aspekt sollten M-TAN-Nutzer aber unbedingt beachten: "Keinesfalls sollte man gerade in dem Moment, in dem man sein Handy mit dem Rechner synchronisiert , Online-Banking mit dem M-TAN-Verfahren machen", warnt Pauli, "dann ist die Kanaltrennung nämlich nicht mehr gegeben."
Aufgepasst: Bei manchen Banken, so etwa der Deutschen Bank und maxblue sind die SMS für den Kunden kostenpflichtig (neun Cent pro SMS). Bei der netbank kommt es darauf an, ob das Konto als Gehaltskonto geführt wird, dann sind die SMS umsonst, andernfalls kosten sie 50 Cent pro Monat pauschal. Kostenlos ist das Verfahren dagegen bei Cortal Consors, der DAB bank, bei der HypoVereinsbank und bei der Postbank. Die Targobank will im zweiten Quartal 2011 ebenfalls das M-TAN-Verfahren anbieten; ob die SMS dann was kosten oder nicht, ist derzeit noch offen.
Vorsichtig sein sollten auch Nutzer von i-Phone-Apps: Um auch hier die für die Sicherheit wichtige Kanaltrennung zu gewährleisten, versagen die allermeisten Banken und Sparkassen die Nutzung von M-TANS für das App-Banking; sie lassen nur Tan-Generatoren oder das iTAN-Verfahren zu. Eine Ausnahme ist allerdings derzeit die DAB bank, bei der man sich die erforderliche TAN auf das iphone schicken lassen kann. Sicherheitsexperten sehen das kritisch.
Beim Verfahren, wie es etwa Cortal Consors im Angebot hat, erhält der Kunde von seiner Bank einen scheckkartengroßen TAN-Generator, der auf den Kunden personalisiert und mit einer Tastatur ausgestattet ist; dieses Gerät produziert dann die TAN, in die die Transaktionsmerkmale eincodiert worden sind und vom Kunden kontrolliert werden können.
Auch hier ist also die Kanaltrennung gewährleistet. Die erzeugte TAN muss dann nur noch in die Online-Banking-Maske am Rechner eingetippt werden – fertig. Wenn man von unterwegs aus Geldgeschäfte tätigen will, muss man zwar den TAN-Generator dabei haben, aber dafür ist das Gerät auch praktikabel und sicher, wenn man es zum Beispiel für Banking via iPhone-App nutzen möchte. Cortal Consors gibt den TAN-Generator kostenlos ab. "Uns war es wichtig, unseren Kunden den größtmöglichen Sicherheitstandard zu gewähren", so Sprecher Dirk Althoff.
Auch bei diesem Verfahren, wie es viele Sparkassen und die Postbank offerieren, liegt der Sicherheitsclou darin, dass eine Kanaltrennung erfolgt und die Transaktionsdaten in die TAN eincodiert werden und somit kontrollierbar sind. Im deutschen Sparkassensektor waren Ende 2010 berits rund eine Millionen Chip-TAN-Geräte im Markt.
Das Chip-TAN-Verfahren ist damit auch problemlos fürs App-Banking einsetzbar. Das dafür nötige Gerät kostet derzeit aber bei der Postbank zwischen 11,90 und 14,90 Euro einmalig. Dafür kann es auch die Chipkarten andere Banken und Sparkassen lesen. Man steckt seine Bankkarte in das Gerät, anschließend hält man es vor den Computerbildschirm. Dort liest es in einem blinkenden Codefenster die Auftragsdaten ab. Das geht rasch, anschließend erzeugt das Gerät die TAN und zeigt die Auftragsdetails, wie sie der Bank vorliegen, zur Kontrolle nochmals an.
Stellt der Kunde Abweichungen fest, liegt der Verdacht auf einen infizierten Computer durch eine Schadsoftware (Trojaner) nahe. Die erzeugte TAN ist nur für kurze Zeit und ausschließlich für den jeweils aktuellen Vorgang gültig. Anschließend muss man noch die TAN in die Online-Banking-Maske des Computers eingeben – und fertig. Betrüger haben somit keine Chance, gleichzeitig beide Geräte für ihre Zwecke zu manipulieren.
| Tipps |
|---|
| Die Onlinebankräuber gehen immer raffinierter zu Werke. Daher sollten Bankkunden einige Tipps beherzigen, um sich besser zu schützen: |
| Onlinebanking-Bedingungen studieren: Sofern Sie die dort aufgeführten Sorgfaltspflichten beachten, brauchen Sie sich in puncto Haftung keine Sorge machen. Meist wird verlangt, dass Sie auf ihrem PC einen Virenscanner einsetzen und eine persönliche Firewall installieren, wie sie bei Windows XP schon integriert ist, und die Sicherheitseinstellungen des Webbrowsers aktuell halten. |
| Auf Geheimhaltung achten: Onlinebanking-Pin und Zugangscodes stets geheim halten. Bei Verwendung des iTan-Verfahrens sollten Bankkunden keine Tans auf der Festplatte speichern. |
| Aufrüsten: Möglichst das modernste Sicherungsverfahren nutzen, das die Bank im Angebot hat. |
| Vorsicht bei Mails aus unbekannten Quellen: Nur Mails von vertrauenswürdigen Absendern öffnen, dubiose Mails am besten sofort löschen. Merkwürdige Dateien keinesfalls aufmachen, um eine Infektion des eigenen Rechners zu vermeiden. Windows-Geräte gelten generell als gefährdeter als Apple-Rechner |
| Kontobewegungen checken: Anleger sollten regelmäßig das Konto beobachten und bei Bedarf mit der Bank Höchstgrenzen im Onlinebanking festlegen. |
| Online-Limit erwägen: Vorsichtige Zeitgenossen können mit ihrer Bank auch ein Verfügungslimit für das Online-Banking zum Beispiel pro Woche ausmachen. Achtung Dispokredit: Wird man Opfer eines Online-Bankraubs, kann der Gauner auch den Dispo abräumen. |
Gefunden bei: 
-
boerse-online.de, 11.05.2011
© 2011 Financial Times Deutschland,
© 1999 - 2012 Financial Times Deutschland
Aktuelle Nachrichten über Wirtschaft, Politik, Finanzen und Börsen
Börsen- und Finanzmarktdaten:
Bereitstellung der Kurs- und Marktinformationen erfolgt durch die Interactive Data Managed Solutions AG. Es wird keine Haftung für die Richtigkeit der Angaben übernommen!
Über FTD.de | Impressum | Datenschutz | Disclaimer | Mediadaten | E-Mail an FTD | Sitemap | Hilfe | Archiv
Mit ICRA gekennzeichnet
VW | Siemens | Apple | Gold | MBA | Business English | IQ-Test | Gehaltsrechner | Festgeld-Vergleich | Erbschaftssteuer
G+J Glossar
Partner-Angebote
Aktuelle Nachrichten über Wirtschaft, Politik, Finanzen und Börsen
Börsen- und Finanzmarktdaten:
Bereitstellung der Kurs- und Marktinformationen erfolgt durch die Interactive Data Managed Solutions AG. Es wird keine Haftung für die Richtigkeit der Angaben übernommen!
Über FTD.de | Impressum | Datenschutz | Disclaimer | Mediadaten | E-Mail an FTD | Sitemap | Hilfe | Archiv
Mit ICRA gekennzeichnet
VW | Siemens | Apple | Gold | MBA | Business English | IQ-Test | Gehaltsrechner | Festgeld-Vergleich | Erbschaftssteuer
G+J Glossar
Partner-Angebote