"Es ist ein Wettlauf zwischen den Banken und den Internet-Kriminellen", sagte die Sprecherin des Bundesverbandes deutscher Banken (BdB), Kerstin Altendorf, der Finanz- Nachrichtenagentur dpa-AFX. "Die so genannten Phishing-E-Mails werden sukzessive weiter verfeinert. Die Geschichten werden immer schlüssiger, das Deutsch wird besser."
"Phishing" steht für das Fischen nach Passwörtern. Dabei erhalten Bankkunden eine E-Mail, die den Anschein erweckt, von ihrem Kreditinstitut zu sein. Die Empfänger werden aufgefordert, sich über einen angezeigten Link auf eine imitierte Bankseite zu begeben und dort sensible Daten wie etwa ihre Kontonummer oder PIN einzutragen. Mit den so "abgefischten" Daten versuchen die Betrüger dann, die Bankkonten der Opfer abzuräumen. Für die Online-Banking-Nutzer gibt Altendorf Entwarnung: "Wenn die Kunden die Sorgfaltspflichten beachten, sind sie auf der sicheren Seite."
Waren zunächst vor allem die großen Institute betroffen, sind es nun die Volks- und Raiffeisenbanken sowie die Sparkassen. "Banken in kleineren Ländern und die Kunden kleinerer Institute geraten zunehmend in den Fokus, weil sich die Großen immer besser schützen", sagte die Branchenexpertin Martha Bennett von Forrester Research.
Die Anti-Phishing Working Group (APWG) hat im Dezember vergangenen Jahres weltweit 7197 Phishing-Sites gezählt – deutlich mehr als in den beiden vorangegangenen Monaten. Wie der Interessenverband der von den Angriffen betroffenen Unternehmen im Februar mitteilte, waren die in betrügerischer Absicht eingerichteten Websites durchschnittlich 5,3 Tage online. Die Zahl der gemeldeten Phishing-Fälle ging dagegen auf 15.244 zurück. Betroffen waren in erster Linie Finanzdienstleister (89,3 Prozent). Daneben richteten sich die Phishing-Attacken auch gegen Internet-Anbieter (5 Prozent) und Einzelhändler (2,5 Prozent).
"Dabei rückt das ’social engineering‘ in den Vordergrund. Phishing-Emails werden nicht mehr an Hinz und Kunz verschickt, sondern es wird versucht, so viel wie möglich an lokalem Wissen und Zusammenhängen einzubinden", sagte Bennett. "Nachdem Hacker E-Mail- Listen einer Universität gestohlen hatten, schrieben sie in der Annahme, dass die Studenten ihr Konto bei einer Bank in der Nähe der Hochschule haben würden, Phishing-Mails im Namen der Universität. Darin wurden die Studenten auf den Datenklau aufmerksam gemacht und gebeten, ihre Kontodaten zu überprüfen – und dafür ihre Daten auf der natürlich gefälschten Website der Bank einzugeben." Auch dafür hat die Branche schon ein neues Schlagwort: Spear-Phishing.
Dem britischen Finanzdienstleisterverband APACS zufolge haben sich die Verluste durch Betrug im Online Banking im vergangenen Jahr knapp verdoppelt: auf 23,2 Millionen britische Pfund (33,8 Millionen Euro). Dies sei im Wesentlichen auf Phishing-Attacken zurückzuführen. Zum Vergleich: Die Verluste durch Kartenbetrug beim Einkauf im Internet oder am Telefon beliefen sich im gleichen Zeitraum auf 183,2 Millionen Pfund. In Deutschland werden von der Branche keine vergleichbaren Zahlen veröffentlicht.
"Technisch hat sich auf der Angreiferseite nicht viel getan", sagte Bennett. "Die von den Kriminellen eingesetzten Tricks sind alle zehn bis fünfzehn Jahre alt." Die direkten Verluste durch Phishing, die Aufzeichnung von Tastatureingaben durch bösartige Software (Keystroke-Logging) und die Weiterleitung auf andere Websites (URL-Redirecting) seien nach wie vor minimal und die Einführung einer neuen Sicherheitstechnologie wäre zum jetzigen Zeitpunkt für die Banken meist teurer, als die Verluste schlicht und einfach zu ersetzen.
"Aber für die Banken ist es peinlich, wenn die persönlichen Daten der Kunden in die falschen Hände geraten", sagte Bennett. "Die Bank muss es merken, wenn solche Angriffe erfolgen und nach Möglichkeit verhindern." In Deutschland führen immer mehr Banken die indexierte Transaktionsnummer (iTAN) ein. "Insgesamt beobachten wir ein Festhalten der Kunden am PIN/TAN-Verfahren, das ja auch sicher ist, wenn die erforderliche Sorgfalt eingehalten wird", sagte Altendorf.
"Man will den Kunden nicht mit Geräten und Passwörtern überlasten", sagte Bennett. "Mehr und mehr Firmen tummeln sich auf diesem Gebiet und es herrscht große Verwirrung bei den potenziellen Abnehmern im Finanzdienstleistungsbereich." Es gebe großes Interesse an Methoden, um die IP-Adresse dessen, der sich anmeldet, mit der üblichen IP-Adresse des Kunden zu vergleichen, und Veränderungen der IP-Adresse während einer Sitzung wie etwa bei einer so genannten Man-in-the-Middle-Attacke zu erkennen. Bei einem solchen Angriff versucht ein Außenstehender, eine Online-Banking-Sitzung zu übernehmen.
"Profiling-Software könnte einen zum Beispiel die Stromrechnung aus dem Urlaub in Florida bezahlen lassen, aber keine Änderung der Anschrift dulden", erklärte Bennett. "Mit Hilfe solcher Instrumente wäre dann vielleicht für Überweisungen an Familienangehörige vom PC zuhause aus keine TAN mehr nötig."
Mit Technologie allein wird das Problem allerdings nicht zu lösen sein. "Es ist die Kombination von Technik und Prozess, die Sicherheit gibt", sagte Bennett. "Wenn man sich auf die Technik allein verlässt, wird es wahrscheinlich so kompliziert, dass man die Kunden vergrault."
Quelle: heise.de