Sicherheit beim Onlinebanking: Gesundes Misstrauen
Endlich reagieren die Banken mit neuen Sicherheitsmaßnahmen auf die Phishing-Mails von Betrügern. Diese konnten sich Zugang zu Online-Bankkonten verschaffen.
Keiner gibt seinen Wohnungsschlüssel jemandem, der aus heiterem Himmel behauptet, er wolle nur mal die Sicherheit der Fenster prüfen. Aber eine Menge Bankkunden haben ohne Zögern auf eine E-Mail reagiert, die sie aufforderte, ihre persönlichen Zugangsdaten für das Onlinebanking an den Absender zu übermitteln.
Die E-Mail stammt von einem Betrüger, doch sie sieht aus, als sei sie von der Bank. Darin heißt es, die Bank sei gezwungen, die Zugangsdaten neu abzugleichen.
Der beigefügte Link führt auf eine Internetseite, die dem Webauftritt der Bank täuschend ähnlich sieht. Gibt der Verbraucher dann seine persönliche Identifikationsnummer (Pin) und eine Transaktionsnummer (Tan) dort ein, hat der Betrüger den Schlüssel zum Onlinekonto.
Phishing heißt die Masche – ein Kunstwort für das Fischen nach Passwörtern.
Banken schweigen über Schaden
Viele Banken geben zu, dass ihre Kunden Phishing-Mails erhalten haben und Betrüger an deren Pin und Tan gelangen konnten. Doch alle versichern, kein Kunde habe einen Schaden erlitten. „Das hat nie zu Betrugsfällen geführt“, heißt es bei der ING Diba. „Die Frühwarnsysteme haben betrügerische Überweisungen gestoppt“, versichert die Dresdner Bank. Die Sparkasse Nürnberg sagt, „zu Schaden ist es bisher nicht gekommen“, und die Citibank teilt mit: „Schäden infolge von Phishing sind uns nicht bekannt.“
Das sieht der Berliner Kriminalhauptkommissar Andreas Klingbeil anders: „Es fanden tatsächlich Überweisungen in großem Stil statt.“ Derzeit bearbeitet er etwa 100 Ermittlungsverfahren zum Phishing. Nicht immer kam der Betrüger an Geld. Aber auch das gelingt immer häufiger.
Klingbeils größter Fall ist eine Überweisung von 29 000 Euro, ausgelöst durch eine Phishing-Mail, mit der ein Betrüger Pin und Tan eines Bankkunden ergaunert hat. „Das Geld ist weg“, sagt Klingbeil.
„Bisher haben die Sparkassen jedoch in solchen Fällen kulant gehandelt und den Schaden erstattet“, berichtet Frank Hardt, Sicherheitsexperte beim Deutschen Sparkassen- und Giroverband.
Nummerierte Tan-Listen
Die Banken reagieren auf die steigende Zahl der Phishing-Attacken mittlerweile mit Aufklärung und neuer Technik und sie verfeinern den Ablauf des Onlinezugangs.
Nahezu jedes Kreditinstitut informiert seine Kunden inzwischen auf den Internetseiten, auf Kontoauszügen, Kreditkartenabrechnungen, Kundenmitteilungen, per Newsletter oder beim Einloggen über die Methoden der Phisher.
Viele Banken bieten ihren Kunden Sicherheitssoftware an. Bei der Sparkasse Nürnberg bekommt jeder Onlinekunde kostenlos eine CD mit aktuellen Virenschutz- und Firewallprogrammen.
Den Missbrauch der Tan erschwert eine indizierte, also durchnummerierte Tan-Liste. Bisher können die Kunden aus der Liste die Tan frei wählen. Jetzt gibt der Bankrechner bei einer Onlinetransaktion dem Kunden nach dem Zufallsprinzip vor, welche Tan er von der Liste nehmen soll.
„Durch die feste Zuordnung von Auftrag und Tan kann mit dieser Tan kein anderer Auftrag ausgeführt werden“, erläutert Frank Stefes von der 1822direkt. „Auch nicht, wenn sie abgefangen wird.“
1822direkt und Postbank nutzen die „iTan“ bereits. Andere wie die Netbank, ING Diba und alle Sparkassen wollen sie einführen.
Handy als Sicherheitsmodul
Die Postbank schickt ihren Kunden auf Wunsch eine Tan auch per SMS (9 Cent) auf das Handy. Wer am Arbeitsplatz Onlinebanking macht, muss also nicht seine iTan-Liste dabei haben. Diese mTan – „m“ für „mobile“ – ist nur für kurze Zeit gültig und nur für die bestimmte Transaktion.
Die Citibank meldet jede Abbuchung vom Konto des Kunden, die über 50 Euro liegt, per SMS (1,50 Euro monatlich) auf sein Handy und übermittelt auch gleich die Telefonnummer des Callcenters, wo der Kunde Betrug sofort melden kann.
Kunden der 1822direkt können sich jeden Login per SMS aufs Handy melden lassen. Auf diese Weise erfahren sie für 99 Cent pro Monat sehr schnell von unberechtigten Zugriffen.
Geräte erzeugen zeitnah Tan
Auf neue Technik setzt die GE Money Bank. „Künftig ist Onlinebanking bei uns nur noch mit einem Tan-Generator möglich“, kündigt Pressesprecher Ingo Brengmann an. Das Gerät heißt „eTan“ und ähnelt einem kleinen Taschenrechner. Die Freischaltung des Geräts kostet den Kunden einmalig 15 Euro.
Bei einer Onlineüberweisung erzeugt die Internetseite der Bank eine Kontrollnummer, die der Kunde in den Tan-Generator eingibt. Das Gerät antwortet mit einer Nummer, die der Kunde als Tan für die Bestätigung der Überweisung eintippt.
Bei der Dortmunder Volksbank erzeugt „Sm@rt-Tan“ bei Bedarf die neue Tan, bei der Volkswagen Bank ist es „Bankey“.
Die 1822direkt hat neu eingeführt, dass die Kunden für ihr Konto die Öffnungszeiten selbst festlegen können. Wer vier Wochen Urlaub macht, kann sein Konto in dieser Zeit für das Onlinebanking sperren.
Kunde muss sorgfältig handeln
Gelingt einem Betrüger der Angriff auf ein Onlinekonto, hat der Kunde das Nachsehen, wenn die Bank nicht kulant ist. „Er ist verpflichtet, mit seinen Kundendaten sorgfältig umzugehen, sie geheim zu halten und keinem Dritten weiterzugeben. Das tut er aber, wenn er Pin und Tan auf eine gefälschte Webseite eingibt“, warnt Ingo Brengmann von der GE Money Bank.
Gut dran sind Kunden der Netbank. Sie übernimmt den Schaden, es sei denn, sie kann dem Kunden ein Verschulden nachweisen. Üblich ist der andere Weg: Der Kunde muss seine Unschuld beweisen.
Lesen Sie auf der nächsten Seite:
Interview
Dieser Artikel ist hilfreich. Nutzer finden das hilfreich.
Schreiben Sie bitte einen Kommentar
Nur registrierte Nutzer können Kommentare verfassen.
Jetzt einloggen oder Neu registrieren.
Individuelle Fragen richten Sie bitte an den Leserservice
Kommentare (0)
weitere Kommentare anzeigen