Noch größer als die Chance, bei der Benutzung eines Geldautomaten abgezockt zu werden, ist die Gefahr, kriminellen Interneträubern ins Netz zu gehen.
Fast jeder Internetnutzer kennt die E-Mails, die zum Beispiel mit dem Logo der Volksbanken und Raiffeisenkassen verschickt werden. Wer auf die Aufforderung zur technischen Überprüfung der Kundendaten reagiert und bereitwillig seine Kundendaten, die persönliche Identifikationsnummer (PIN) und die Transaktionsnummern (TAN) preisgibt, hat schon verloren. Die Betrüger haben sich an dem Konto bedient, bevor der Onlinebanking- Kunde seinen Computer ausgeschaltet hat. Phishing heißt diese Art des elektronischen Überfalls.
Verantwortungsbewusste Banken machen deshalb ihre Kunden darauf aufmerksam, nie, unter keinen Umständen, ihre PIN jemandem mittzuteilen – weder einem Bankangestellten noch der Polizei. Bisher wurden Pishing-Schäden den Kunden in der Regel von den Banken erstattet. Aus Kulanzgründen, heißt es in diesem Falle meistens. Dabei sollte der Kunde nicht vergessen, dass die Bank selbst großes Interesse daran hat, Bankgeschäfte übers Internet für Normalkunden zu propagieren. Medienberichte über Sicherheitslücken im Netz und ausgeraubte Kunden kommen da schlecht an.
Beim Pharming gehen Betrüger noch sehr viel raffinierter vor. Dabei wird ein spezielles Programm auf den Computer des Onlinekunden geschleust. Das manipuliert den Browser, also das Programm, mit dem das Internet benutzt wird. Wenn dann die Internetadresse fürs Onlinebanking aufgerufen wird, erscheint eine gefälschte Website, die der echten täuschend ähnlich sieht. Wenn der Onlinebanking-Kunde dann seine Kontodaten und die PIN eingibt, landen sie bei den Hackern. Die sind dann in der Lage, die Transaktion des Kunden zu vollenden — allerdings wird das Geld auf die Konten der Betrüger gelenkt.
Das Problem ist, dass die Manipulation oft selbst von Computerspezialisten nicht erkannt wird. Erst wenn der Schaden eingetreten ist und unerklärliche Geldabbuchungen registriert werden, wird klar, dass der Kunde Opfer von Pharmern geworden ist.
Aber auch Trojaner – das sind Programme, mit denen alle Daten im PC ausgespäht werden können – richten große Schäden an. Wenn es Internetkriminellen gelingt, ein solches Programm auf einen Rechner einzuschleusen, beispielsweise über Anhänge zu E-Mails, können sie auch PINs und TANs bei Eingabe ausspionieren. Einen Hinweis darauf, dass ein Trojaner den Computer infiziert hat, gibt zum Beispiel der Abbruch der Verbindung zum Onlinebanking nach Eingabe einer TAN durch eine Fehlermeldung.
Dabei gibt es durchaus einen gewissen Schutz vor dem Angriff durch Phisher, Pharmer und Trojaner. Das zurzeit noch sicherste Verfahren ist das Home Banking Computer Interface (HBCI), für das eine Diskette, eine Chipkarte und ein separates Lesegerät für die Verschlüsselung des Datenverkehrs erforderlich sind.
Für den Onlinekunden bedeutet das, dass er nur von dem PC, an dem das Gerät installiert ist, seine Bankgeschäfte ausführen kann. Außerdem müssen die Kunden meist die Kosten für das Lesegerät von 80 und 120 Euro übernehmen.
Nur zehn von zwanzig Banken bieten jetzt diesen Service an, das haben die Mitarbeiter der Zeitschrift Finanziert zu Beginn des Jahres 2007 ermittelt.
Andere Banken versuchen mit Variationen der Kombination PIN und TAN die Kunden in Sicherheit zu wiegen, beispielsweise durch das I-TAN-Verfahren. Dabei gibt die Bank die TAN bei jeder Überweisung vor.
Beim eTAN-Verfahren erhält der Onlinekunde eine PIN und ein kleines Gerät, mit dem er für jeden Vorgang eine eigene TAN- Nummer generieren kann. Der Betrüger muss mehrere TANs oder gar den Generator erbeuten, um die richtige Nummer zu erwischen.
Schlechte Noten von den Experten
Die kriminelle Kreativität beunruhigt längst die Experten für Datensicherheit. Eine Untersuchung des Fraunhofer Instituts im Auftrag des Magazins Capital, die bereits in den Jahren 2005 und 2006 durchgeführt worden war, hatte ebenfalls die Schwachstellen des Onlinebanking aufgedeckt. Keines der 20 untersuchten Geldinstitute hatte die maximale Punktzahl von 31 und damit die Note sehr gut erreicht. Am besten schnitten die Deutsche Bank AG, die Postbank AG, die Commerzbank AG und die Berliner Volksbank ab – mit 25,24, 23 und 22 Punkten.
Bei 16 von 20 Banken stellte das Fraunhofer Institut für Sichere Informationstechnologie erhebliche Schwachstellen bei Technik und Informationsqualität fest. 40 Prozent der getesteten Banken erreichten nicht einmal die Hälfte der zu vergebenden Punktzahl. Die Onlineangebote von Corta Consors, SEB und die Volkswagen Bank schafften gerade einmal ein Drittel der möglichen Punkte und erhielten die Note mangelhaft.
Viele Institute lassen ihre Kunden mit den Gefahren allein, erkannte der Leiter des Tests, SvenTürpe. Die Kostenersparnis, die Geldhäuser dank des Onlinebanking erzielen, werde nicht vorrangig in neueste Technik investiert. Besonders kritisch sieht Türpe das klassische PIN/TAN-Verfahren, bei dem sich der Kunde mit einer Identifikationsnummer (PIN) und einer variablen Transaktionsnummer (TAN) auf der Internetseite der Bank identifiziert. Diese Methode bewertete er als leicht angreifbar durch Phishing oder Trojaner.
Bei 20 Millionen Onlinebanking-Kunden ist es für die Banken offenbar immer noch günstiger, die durch unzureichende Sicherheitsvorkehrungen ausgeraubten Kontoinhaber zu entschädigen, als für alle Schutzmaßnahmen zu treffen, die den immer intelligenteren Angriffen von Hackern und Internetdieben standhalten können.