Donnerstag, 25. August 2016
Handwerksblatt Logo
Anzeige

Online-Banking nur mit sicherem PC

Kontostände abfragen und Überweisungen vornehmen – immer mehr Bundesbürger erledigen ihre Bank-Geschäfte per Computer. Mit immer neuen Standards wollen Banken diese Art der Kontoführung sicherer machen. Doch das schwächste Glied der Kette bleibt: der heimische PC.

Handwerk
Foto: Fotolia / DHB-Montage

Online-Banking ist bequem und schnell: Jeder Konto-Besitzer kann sich rund um die Uhr in seine digitale Bankfiliale einloggen. Doch es gibt auch Gefahren: Online-Banker waren schon immer ein beliebtes Ziel von Kriminellen. Dies zeigen auch die neuesten Zahlen der polizeilichen Kriminalstatistik, die das Bundeskriminalamt (BKA) Ende Juni 2011 in Zusammenarbeit mit dem Hightech-Verband Bitkom (Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V.) präsentierte. Demzufolge stieg die Zahl der Computerbetrügereien im Jahr 2010 um fast 20 Prozent auf 27.000 Fälle allein in Deutschland.

Besonders stark zugenommen hat das sogenannte Phishing im Zusammenhang mit Online-Banking: Im letzten Jahr wurden dem BKA rund 5.300 Fälle gemeldet – 82 Prozent mehr im Vergleich zum Vorjahr. Der registrierte Schaden aller „Cybercrime“-Delikte ist um zwei Drittel auf insgesamt rund 61,5 Millionen Euro gestiegen. Die durchschnittliche Schadenssumme: Rund 4.000 Euro pro Fall. „Verschiedene Trojaner sind speziell auf den deutschen Bankenmarkt ausgerichtet und verfügen über das technische Potenzial, das iTAN-Verfahren erfolgreich anzugreifen“, warnt BKA-Präsident Jörg Ziercke. „Wer Online-Banking macht, sollte unbedingt auf die neuen Verfahren wie Chip-TAN umsteigen.“

Sicherheitsstandards grundsätzlich sehr hoch

Übersicht: Die häufigsten Online-Banking-Verfahren (als pdf-Datei) Doch auch dieses ist nicht zu 100 Prozent sicher – nämlich dann, wenn Nutzer die Sicherheit des eigenen PCs vernachlässigen. So ist es Online-Betrügern trotz Chip-TAN-Komfort-Verfahren bereits gelungen, Geld auf ein fremdes Konto umzuleiten – mithilfe eines Trojaners. Um für das trickreiche Vorgehen der Online-Kriminellen gerüstet zu sein, muss man zunächst die Funktionsweise des Chip-TAN-Komfort-Verfahrens verstehen.

Die Sicherheitsstandards sind dabei grundsätzlich sehr hoch: Der Kunde muss zunächst einen TAN-Generator käuflich erwerben. Dieser sieht aus wie ein kleiner Taschenrechner und verfügt über einen Einschubschacht für eine EC-Karte. Wenn der Kunde nun eine Online-Transaktion wie zum Beispiel eine Überweisung vornehmen will, füllt er zunächst wie gewohnt am PC die entsprechende Bildschirmmaske aus. An der Stelle, wo bislang eine iTAN abgefragt wurde, ist nun eine animierte Grafik zu finden.

Jetzt muss die eigene EC-Karte in den TAN-Generator gesteckt werden, der an seiner Unterseite mehrere Sensoren besitzt. Diese werden nun an den Monitor gehalten und „scannen“ die Grafik. War der Vorgang erfolgreich, werden alle Einzelheiten der Transaktion wie Kontonummer und Betrag auf dem Display des TAN-Generators angezeigt. Diese Daten müssen mit einem Klick auf „OK“ bestätigt werden. Daraufhin wird eine einmalige und nur wenige Minuten gültige TAN-Nummer generiert, die nun am PC-Bildschirm in ein entsprechendes Feld eingetragen werden muss. Mit einem Klick auf „Absenden“ wird der Auftrag ausgeführt.

Viele PC-Nutzer in Sicherheitsfragen nachlässig

Handwerk Auch ein Bielefelder Sparkassen-Kunde vertraute auf die Sicherheit des Verfahrens – und ahnte nicht, dass sich ein Trojaner auf seinem PC eingenistet hatte. Als der Kunde eine Überweisung ausführen wollte, blendete der Trojaner verschiedene Pop-up-Fenster mit dem Hinweis „Sicherheitstest“ ein – und legte im Hintergrund unbemerkt eine Überweisungsabfrage an.

Eine weitere Text-Einblendung verlangt dann eine Synchronisierung des TAN-Generators – ein Vorgang, der eigentlich nur ein einziges Mal durchgeführt werden muss, nämlich beim Austausch einer EC-Karte. Der Kunde wusste dies offenbar nicht und bestätigte alles – und nach einem Klick auf „Absenden“ transferierte er ohne sein Wissen fast 4.900 Euro auf fremde Konten.

Dieses Beispiel zeigt, dass sich Online-Kriminelle gezielt das schwächste Glied in der Kette heraussuchen und gezielt angreifen: die Computer der Kunden. Laut Bundesamt für Sicherheit in der Informationstechnik (BSI) setzen Angreifer immer öfter auf Trojanische Pferde, um an Konto-Daten zu gelangen. Eine repräsentative Umfrage des BSI bestätigt, dass viele PC-Nutzer in Sicherheitsfragen nachlässig sind: 13 Prozent haben keinen Virenscanner installiert, 40 Prozent verzichten auf eine Firewall – und 27 Prozent haben noch nie ein Sicherheitsupdate für Betriebssystem oder Anwenderprogramme durchgeführt.

Keine Zeit verlieren

Kein Wunder also, dass Online-Kriminelle immer wieder Erfolge verbuchen: Einer Studie des Internet-Sicherheitsdienstleisters Trusteer zum Thema „Phishing-Angriffen auf Bankkunden“ zufolge kommen auf eine Million versendeter Phishing-Mails rund 560 erfolgreich erschlichene Konto-Daten.

Wer glaubt, selbst Opfer eines Phishing-Angriffs geworden zu sein, sollte keine Zeit verlieren: Es empfiehlt sich, nicht nur die örtliche Polizeidienstelle und die Bank zu informieren, sondern auch das eigene Konto sperren zu lassen. Alle verfügbaren Beweise sind schnellstmöglich zu sichern. Darüber hinaus sollten sämtliche Passwörter und Zugangsdaten unverzüglich geändert werden.

Von Thomas Busch


Übersicht: Die häufigsten Online-Banking-Verfahren (als pdf-Datei)

Um Gefahren beim Online-Banking zu minimieren, gibt die Sparkasse Leverkusen die folgenden Tipps: :

– Persönliche Daten schützen: Geben Sie Ihre persönlichen Kontodaten nie aus der Hand und speichern Sie Zugangsdaten und Passwörter niemals auf dem PC. Auch sollte man Mails ignorieren, die nach geheimen Online-Banking-Daten fragen. Ebenfalls wichtig: PIN und TAN niemals auf fremden Seiten eingeben.

– Den heimischen PC absichern: Virenschutzprogramm und Firewall sind absolut notwendig und müssen stets aktuell gehalten werden. Hier gibt es auch sehr gute kostenlose Angebote: Eine entsprechende Auflistung stellt das Bundesamt für Sicherheit in der Informationstechnik online zur Verfügung. Auch Browser, Betriebssystem und sonstige PC-Programme müssen regelmäßig aktualisiert werden.

– Nur den eigenen PC nutzen: Nutzen Sie zum Online-Banking immer nur den eigenen Rechner. Auf keinen Fall geheime Daten wie PIN und TANs an fremden PCs eingeben, wie z. B. in Internet-Cafés.

– Sichere Adresse und Programme verwenden:
Für maximale Sicherheit sollte Online-Banking ausschließlich auf den von der Sparkasse benannten Internet-Seiten bzw. mit zertifizierten Online-Banking-Programmen durchgeführt werden.

– Auf verschlüsselte Internetverbindung achten:
Achten Sie stets auf eine sichere Internetverbindung („https://“). Diese erkennt man u. a. an dem geschlossenen Schloss-Symbol, das sich beim Internet-Explorer z. B. direkt neben der Adresszeile befindet.

– Daten sorgfältig vergleichen:
Ganz wichtig beim Chip-TAN-(Komfort)-Verfahren: Immer die Auftragsdaten im Display des TAN-Generators sorgfältig mit dem im Online-Banking eingegebenen Auftrag vergleichen. Nur wenn die Daten übereinstimmen, darf der Auftrag freigegeben werden.

– Abbruch bei verdächtigen Aktionen: Sollte Ihnen irgendetwas seltsam vorkommen, weil es z. B. vom gewohnten Ablauf abweicht – dazu zählen auch Sicherheitsupdates, die die Eingabe vertraulicher Daten erfordern –, sollten Sie den Vorgang vorsichtshalber abbrechen und Ihre Sparkasse informieren. Bei Verlust der SparkassenCard sollte der Kunde umgehend die Karte bzw. den Online-Banking-Zugang direkt bei der Sparkasse oder der zentralen 24-Stunden-Hotline 116 116 sperren lassen.








Warnung
Vor einer neuen Variante des Banking-Trojaners „ZeuS“ warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI): Dieser werde derzeit über eine massive Spamwelle verbreitet. Die Betreffzeilen lauten z. B. „Werkzeuge 425-736“, „Die Zahlung 785-774“ oder „Antwort“.

Die in fehlerfreiem Deutsch verfasste E-Mail versucht, den Leser dazu zu bewegen, einen Link anzuklicken, über den die Datei „Konto055.zip“ heruntergeladen wird. Da der Trojaner aktuell nur von wenigen Virenschutzprogrammen erkannt wird, empfiehlt das BSI, derartige Mails sofort zu löschen und niemals darin enthaltene Links anzuklicken, Dateien herunterzuladen oder auszuführen.










Interview: „Chip-TAN-Komfort ist doppelt sicher“

Internet-Abstürze sanft abfedern
Erfolgreicher Kampf gegen illegale Downloads
Rundfunkgebührenpflicht für PCs gelockert
Weitere Meldungen aus der Rubrik "Informationstechnologie"

Leserkommentare

nach oben