Eine Umfrage dürfte die angespannte Stimmung der Sicherheitsfachleute in den Online-Banken weiter reizen: Fast 60 Prozent aller Nutzer von Online-Banking erhielten sogenannte Phishing-Mails, mit denen Betrüger an die Zugangsdaten zum Online-Bankkonto des Kunden kommen wollen. 33 Prozent der Befragten gaben an, möglicherweise Phishing-Mails zu bekommen, aber gar nicht zu wissen, wie diese aussehen, hat die Umfrage des Marktforschungsunternehmens Gewis im Auftrag der Star Finanz ergeben. Mehr als jeder zehnte Befragte erhalte sogar mehrmals in der Woche eine Aufforderung per E-Mail, Kontodaten im Internet anzugeben, hat die Umfrage ergeben.
Täuschend echte Fälschung der Original-Bankenseite
In diesen E-Mails, die scheinbar von der Online-Bank kommen, werden die Internetnutzer unter stetig neuen Vorwänden aufgefordert, auf einen Link zu klicken, der sie scheinbar zur Internetseite der Bank führt. Dort sollen die Kunden dann ihre persönliche Identifikationsnummer (PIN) und eine Transaktionsnummer (TAN) eingeben. Die Internetseite ist aber eine täuschend echte Fälschung des Originals. Die Betrüger sammeln auf diese Weise PIN und TAN ein, um damit Beträge vom Konto abzuheben. Das Problem wächst stetig. Phishing-Angriffe haben nach dem IBM-Monatsbericht Global Security Index im Mai um 200 Prozent gegenüber dem Vorjahr zugenommen. In diesen vier Wochen fing allein der E-Mail-Sicherheitsspezialist Messagelabs mehr als neun Millionen dieser betrügerischen E-Mails ab.
Kunden der Postbank besonders häufig im Visier
Nach Schätzung von Jörg Lamprecht vom IT-Unternehmen Internet Security Systems (ISS) haben Hacker im vergangenen Jahr in Deutschland bei Internet-Unternehmen und Bankkunden rund 70 Millionen Euro Schaden angerichtet. "Die Hacker buchen kleine Beträge, die vom Kunden oft gar nicht bemerkt werden. Wenn sie das hunderttausendmal machen, kommt einiges zusammen", sagte Lamprecht. Die Banken geben keine Schadenssummen bekannt, zeigen sich gegenüber ihren geprellten Kunden kulant.
Alle Banken unter Handlungsdruck
In der Vergangenheit waren die Kunden der Postbank besonders häufig im Visier der Phisher. Aber auch die Kunden der Deutschen Bank oder der Volksbanken blieben von den Betrugsversuchen nicht verschont. Die Banken stehen nun unter Handlungsdruck, denn ihre Kunden sind besorgt, und Nichtkunden werden abgeschreckt. Nach einer Umfrage des Sicherheitsunternehmens Entrust sind 72 Prozent der Online-Bankkunden in Sorge, daß ihre Daten mißbraucht werden könnten. Besonders wichtig für die Banken ist aber die Außenwirkung auf die Bankkunden, die ihr Konto bisher nicht per Mausklick geführt haben: Mehr als die Hälfte der Deutschen macht ihre Entscheidung für oder gegen eine Bank davon abhängig, wie sicher ihre Daten dort sind. 72 Prozent der befragten Deutschen, die ihr Bankkonto bisher nicht online führen, wären prinzipiell dazu bereit, wenn die Sicherheit erhöht wird, hat die Entrust-Umfrage ergeben.
Nicht viele sind bereit, mehr Gebühren für mehr Sicherheit zu zahlen
"Das Bewußtsein der Verbraucher für die Notwendigkeit einer doppelten Absicherung ihrer persönlichen Daten durch die zunehmenden Phishing-Attacken ist erheblich gewachsen", sagt Hans Ydema, der für die Entrust-Geschäfte in Zentraleuropa zuständig ist. Allerdings sind auch 73 Prozent der Deutschen nicht bereit, zusätzliche Gebühren für die Sicherheit ihrer Daten zu zahlen. 17 Prozent halten ein bis zehn Euro für angemessen, hat die Umfrage ergeben.
Einsatz biometrischer Daten gefordert
Die Kritik der Internet-Sicherheitsunternehmen richtet sich vor allem gegen das weitverbreitete PIN/TAN-Verfahren. Die zweifelsfreie Authentifizierung des Kunden mit einer Nummer sei nicht möglich, kritisierten die Sicherheitsunternehmen und fordern statt dessen den Einsatz biometrischer Daten wie Iris und Finderabdruck oder technische Systeme, bei denen sich der Kunde mit einer Chipcard und einem Kartenleser ausweisen muß. Die meisten Banken in Deutschland halten an ihrem PIN/TAN-Verfahren fest, da sowohl biometrische Verfahren als auch die geforderten technischen Lösungen sehr teuer sind. Statt dessen geht der Trend zu Modifikationen des PIN/TAN-Verfahrens.
Modifizierte Tan-Verfahren mit Zeitschlössern
Als erste Banken haben die GE Money Bank und die 1822direkt reagiert. Die GE Money Bank hat die "eTAN" eingeführt. Die 15.000 Online-Banking-Kunden haben ein kleines Gerät bekommen, das erst nach der Eingabe einer transaktionsabhängigen Kontrollnummer die Antwortnummer generiert, die zur Überweisung berechtigt. Die 1822direkt hat den Weg der indizierten TAN gewählt. Für eine Transaktion wird nicht eine beliebige, sondern eine bestimmte TAN benötigt. Sonst funktioniert die Überweisung nicht. Zudem hat die 1822direkt ein Zeitschloß eingeführt: Überweisungen dürfen nur in einem vom Nutzer vorab festgelegten Zeitraum ausgeführt werden.
Postbank und Deutsche Bank stellen um
Die Postbank will die indizierte TAN in diesem Sommer einführen. "Die Deutsche Bank wird die indizierte TAN spätestens bis Anfang 2006 einführen", sagte ein Sprecher. Die Entscheidung sei getroffen. Die Bank bietet zudem eine Sicherheitslösung an, die auf einer Chipkarte basiert. Allerdings war die große Mehrheit der Kunden bisher nicht bereit, die Zusatzgebühr von 39,90 Euro dafür zu zahlen.
Text: ht., F.A.Z., 11.07.2005, Nr. 158 / Seite 19 Bildmaterial: picture-alliance / dpa/dpaweb