So ist Online-Banking sicher

Der Schädling Tspy_Agent.POA tauchte im März zum ersten Mal auf. Er lotste den Anwender beim Online-Banking auf eine täuschend echt wirkende Bank-Website. Dort sollte man wegen einer Umstellung auf ein neues Sicherheitsverfahren mehrere seiner iTANs eingeben (siehe unten). Wer das tat, war sein Geld los.

Wie viel Geld bereits durch Betrüger übers Internet gestohlen wurde, ist nicht bekannt, denn die Banken geben dazu keine Informationen heraus. Dennoch ist Online-Banking für die meisten Anwender einfach zu verlockend, um es nicht zu nutzen. Das System bietet schließlich viele Vorteile. So sind entsprechende Konten oft günstiger als übliche Filial-Konten, der Weg zum Rechner ist kürzer als der zum Bankschalter, und die Online-Bank ist rund um die Uhr geöffnet. Damit die Vorteile für Sie auch weiterhin überwiegen, zeigen wir, wie Sie sich gegen die Gefahren absichern.

Moderne Räuber sind online. Bankgeschäfte über das Internet bieten einem Hacker generell drei Angriffspunkte: den Rechner der Bank, Ihre Verbindung zur Bank über das Internet sowie Ihren Rechner. Auf die Sicherheit des Bankrechners haben Sie keinen Einfluss. Sie müssen davon ausgehen, dass dieser geschützt ist.

Die Verbindung zur Bank läuft über das SSL-Protokoll (Secure Socket Layer) in
einer Verschlüsselungsstärke von 128 Bit. Diese gilt momentan als sicher. Allerdings muss gewährleistet sein, dass die Verbindung korrekt zwischen dem Bank-Server und Ihrem PC aufgebaut wird. Andernfalls sind „Man in the Middle“-Angriffe denkbar (siehe unten). Die größte Schwachstelle bleibt Ihr PC.

Angriffe auf Ihre Bankgeschäfte konzentrieren sich zum größten Teil auf Ihren Rechner. Die meisten Kunden arbeiten mit dem PIN/TAN-System. Damit die Diebe an Ihr Geld kommen, benötigen sie Ihre Kontodaten, die PIN und eine verwendbare TAN. Sie versuchen auf zwei Wegen, an diese Informationen zu gelangen: über gefährlichen Code und über Phishing-Attacken.

Gefährlicher Code: Um die Bankdaten zu klauen, schleusen die Hacker Schädlinge auf ungeschützte PCs. Seit die Banken das TAN-System verbessert haben, wollen die Programme nicht mehr eine TAN abfangen, sondern dienen dazu, eine „Man in the Middle“-Attacke zu starten. Das ist technisch zwar anspruchsvoll, aber bereits vorgekommen. Der Trick der Gauner: Wenn sie sich in die Kommunikation mit der Bank einklinken, müssen sie nur den Empfänger und den Betrag einer Überweisung manipulieren, bevor die Daten bei der Bank ankommen. Die nötige TAN gibt der Anwender freiwillig ein, denn er will ja eine Überweisung bestätigen.

Da diese Methode aber wirklich sehr aufwendig ist, versuchen es die Diebe noch auf eine andere Art. Dabei leitet der Code den Anwender auf eine gefälschte Website, die ihn auffordert, zehn oder mehr iTAN-Nummern einzugeben. Solche Angriffe lassen sich jedoch durch ein aktuelles Antiviren-Programm unterbinden. Deshalb versuchen die Diebe es häufiger mit Phishing-Attacken.

Für technisch Interessierte: Code, der Ihren Browser von der Bank-Site auf eine gefälschte Site umleiten kann, erledigt das meist über einen Eintrag in der hosts-Datei.

Phishing: Bei Phishing-Attacken stehlen die Angreifer die Daten wieder mittels gefälschter Web-Seiten, die mehr oder weniger der originalen Bank-Site ähneln. Dorthin wird der Anwender aber nicht per Code geleitet, sondern über ebenfalls gefälschte Mails. Zwar fallen erfahrene Anwender auf diesen Trick schon lange nicht mehr rein, aber Online-Banking wird von vielen Menschen betrieben. Und nicht jeder liest regelmäßig die Sicherheits-Tipps in PC-Zeitschriften. Für die Betrüger lohnt sich das „Geschäft“ mit Phishing also allemal. Der Antiviren-Hersteller Sophos hat sogar Phishing-Kits im Internet entdeckt, mit denen sich ohne große Programmierkenntnisse eine Phishing-Attacke erzeugen lässt.