Im Vergleich zu Kreditkartenbetrug ist der finanzielle Schaden Branchenkreisen zufolge gering. Eine der ersten europäischen Banken, deren Kunden gezielt angeschrieben wurden, war die Postbank. Sie hat inzwischen auf ein System umgestellt, bei dem der Kunde die für einen Online-Banking-Auftrag erforderliche Transaktionsnummer (TAN) nicht mehr selbst auswählen kann. "Systeme, bei denen die Nutzer die TAN-Nummer selbst aussuchen können, halten den heutigen Gegebenheiten nicht mehr stand", betont Martha Bennett, Research Director bei Forrester Research.
Inzwischen sei aus dem Baltikum ein erster Fall gemeldet worden, bei dem ein Hacker die Online-Banking-Sitzung eines Bankkunden übernehmen und selbst Überweisungen tätigen konnte. Im Fachjargon heißt so etwas "man in the middle attack". "Gegen solche Attacken gibt es derzeit keinen wirkungsvollen Schutz", sagte Bennett auf einer Fachkonferenz in London. Neben bösartiger Software, die Tastatureingaben aufzeichnet und auf diese Weise Geheimnummern ausspioniert ("keystroke logging"), gibt es jetzt auch Programme, mit denen sich die Bewegungen des Mauszeigers auf dem Bildschirm verfolgen lassen ("screen scraping"). Damit haben die Kriminellen auf die so genannten "virtuellen Tastaturen" reagiert, mit denen einige Institute ihren Nutzern ermöglichen, Geheimzahlen ohne Tastatur einzugeben. In England, Irland, aber auch teilweise in Frankreich, Italien und Spanien lassen sich Konten schon mit dem Benutzernamen und der PIN-Nummer ausräumen. In Deutschland ist zusätzlich eine TAN-Nummer für jede Transaktion erforderlich.
Russland und Weißrussland gelten als mögliche Herkunftsländer der Angriffe im Cyberspace. Die benachbarten baltischen Staaten dienten offenbar als Testgelände, heißt es in Branchenkreisen. Um zu verschleiern, wohin die gestohlenen Gelder fließen, setzen die Kriminellen auf Mittelsmänner. So wurden in Australien Studenten und andere Menschen mit kleinen Einkommen angeheuert. Sie sollten Gelder, die zuvor auf ihr Konto transferiert wurden, gegen eine Beteiligung von zehn Prozent auf andere Konten weiterleiten. Als die Polizei zugriff, waren diese Konten längst geleert. Geprellte Kunden wurden bislang von den Banken entschädigt.
"Mir ist kein Fall bekannt, bei dem Kunden auf ihren Schäden sitzen geblieben sind", sagt Altenburg. Das eigentliche Risiko für die Finanzinstitute sieht Bennett allerdings nicht im unmittelbaren finanziellen Schaden. "Wenn sich die Kunden irgendwann vom Online-Banking abwenden, wären nicht nur die Investitionen dafür in den Sand gesetzt. Die Kosten für die Kundenbetreuung in den Filialen oder per Telefon würden auch nach oben gehen." In Deutschland, den Niederlanden und in Schweden fühlen sich Online-Banking-Nutzer den Untersuchungen von Forrester zufolge am sichersten. Knapp drei Viertel der deutschen Nutzer sind Zahlen des BdB zufolge von der Sicherheit des Mediums überzeugt. "Die Banken in Deutschland haben viel zu verlieren", sagt Bennett. "Momentan stehen sie sehr gut da." Nach Ansicht der Marktforscherin Bennett sollten die Institute neben der Zugangskontrolle mehr im Hintergrund tätig sein, etwa bei der Auswertung des Online-Verhaltens der Nutzer. Wenn sich dann jemand plötzlich aus Minsk einlogge, könne man ja auch einmal anrufen, um zu prüfen, ob es sich tatsächlich um den Kunden handele. Zudem sollten Banken es ihren Kunden ermöglichen, Auslandsüberweisungen oder Einmalüberweisungen an Dritte von ihren Konten auszuschließen.
[Quelle: Andreas Hippin/DPA]