Parallel zur Qualität der Angriffe auf Bankkunden und deren Konten steigt auch die Quantität: Die Zahl der sogenannten Phishing-Seiten, mit denen die Bankkunden betrogen werden sollen, ist im Jahr 2005 um mehr als 300 Prozent gestiegen. Fast 7.200 gefälschte Seiten, die meist Banken, Internethändlern oder Kreditkartengesellschaften täuschend ähnlich sehen, hat der Industrieverband Anti Phishing Working Group im vergangenen Dezember gezählt.
Jeden Tag knapp acht Millionen Phishing-Mails
Die Paßwortdiebe begnügen sich aber nicht mehr mit dem Fälschen der E-Mails oder dem Umleiten der Nutzer auf gefälschte Internetseiten, dem sogenannten Pharming. „Mehr und mehr werden Schadprogramme eingesetzt, die sich auf den Rechnern der Bankkunden einnisten und nur dann aktiv werden, wenn der Nutzer die Internetseite seiner Bank aufruft. Diese Programme können gezielt vertrauliche Daten abgreifen oder Tastaturangaben mitschneiden und an den Entwickler der Schadprogramme weiterleiten”, erklärt Lindner. Mit Hilfe dieser Daten lassen sich dann Überweisungen ausführen, oft auf Konten in Osteuropa.
Die Anzahl dieser Spionageprogramme, die vertrauliche Informationen aufspüren und versenden, macht bereits 80 Prozent der 50 am meisten verbreiteten Schädlinge aus, hat Symantec in seinem jüngsten Internetkriminalitätsbericht festgestellt, der auf der Computermesse Cebit vorgestellt wurde. In der Periode zuvor betrug der Anteil 74 Prozent. Auch Phishing hat noch einmal zugenommen. Symantec hat jeden Tag knapp acht Millionen Phishing-Mails abgefangen, rund 40 Prozent mehr als im Halbjahr zuvor. Als ganz neue Bedrohung kommt das sogenannte Speerfischen hinzu. Dabei wird zum Beispiel ein Beschäftigter eines Unternehmens mit einer persönlichen E-Mail ganz gezielt angesprochen und um Herausgabe vertraulicher Daten gebeten. Oft stammt die Mail scheinbar von Vorgesetzten.
„2005 haben sie aber stark nachgelegt”
Die Bankkunden in Deutschland sind verunsichert. „Elf Prozent der Online-Bankkunden schränken die Nutzung ein oder haben sie bereits eingestellt, weil sie Bedenken wegen der Sicherheit haben. Das sind 1,5 Millionen Bankkunden in Deutschland”, sagt Thomas Reim vom Beratungsunternehmen Pass Consulting, der 1.500 Online-Bankkunden und 30 Banken befragt hat. Die Banken fürchten, daß die Kunden wieder auf den vergleichsweise teuren Vertriebskanal Filiale zurückgehen, und sie reagieren: „Noch im Jahr 2004 haben die Banken das Thema Sicherheit kaum vorangetrieben. 2005 haben sie aber stark nachgelegt”, sagt Reim.
Aber nur einige kleine Banken wie die GE Money Bank oder die VW Bank haben sichere Systeme wie die sogenannten Smarttokens eingeführt, die für jede Transaktion eine Zufallsnummer aktuell erzeugen. Vor allem die großen Banken halten am eingeführten System aus persönlicher Identifikationsnummer (PIN) und Transaktionsnummer (TAN) fest. „An dem System wird sich auch in den nächsten Jahren nichts ändern”, erwartet Reim.
„iTAN ist ein Fortschritt, aber nicht absolut sicher”
Zwar haben die Banken Modifikationen wie das iTAN-Verfahren eingeführt, bei dem nur eine bestimmte TAN zur Ausführung einer Transaktion berechtigt. Doch die Fachleute sind skeptisch: „iTAN ist ein Fortschritt, aber nicht absolut sicher”, kritisiert Lindner. Jörg Lambrecht vom Sicherheitsunternehmen Internet Security Systems (ISS) fordert mehr Engagement von den Banken: „iTan hilft nur im ersten Schritt und qualifiziert die Hacker. Am Ende werden nur Verfahren mit einer sicheren Identifizierung, zum Beispiel biometrische Verfahren, das Problem des Phishing beseitigen können. Aber heute zahlen die Banken lieber den Verlustausgleich als die Einführung eines biometrischen Verfahrens”, sagt Lambrecht.
Nicht mehr lange, meint Raimund Genes von Trend Micro: „Die Banken erreichen bald die Schmerzgrenze, an der es ihnen zu teuer wird, alle Betrugsfälle als Kulanz auszugleichen.” Allerdings scheuen die Banken die Kosten für die Umstellung. Auch die Kunden waren bisher nur selten bereit, für Sicherheit zu zahlen. Allerdings wandelt sich die Stimmung: „31 Prozent der befragten Nutzer sind inzwischen bereit, für Sicherheit mehr zu zahlen”, hat Reim herausgefunden.
Neben den Banken stehen auch die Unternehmen unter Druck, da sie immer häufiger gezielten Attacken aus dem Internet ausgesetzt sind. „Designerangriffe auf Bankkunden oder Unternehmen sind ein heißes Thema, weil sie so lukrativ sind. Sie werden nur selten entdeckt”, sagt Lamprecht. Vor allem Mittelständler sind nach seiner Meinung sehr leicht anzugreifen, da sie wenig für ihre Sicherheit tun. „Auftraggeber sind meistens Wettbewerber”, vermutet Lamprecht.
Quelle: faz.net