Phishing gefährdet Online-Banking: Angriffe werden immer raffinierter

Die neueste Masche der Hacker heißt "Phishing". Dieses Kunstwort wird aus "Password fishing" (Fischen nach dem Passwort) gebildet. Es bezeichnet den Trick, mit gefälschten Mails Geheimnummern zu ergaunern. Die Täter schicken dem Internet-Nutzer eine als seriöse Nachricht seiner Bank getarnte Mail. Sie fordert ihn auf, über einen Link die Webseite seiner Bank zu besuchen und eine neue Anwendung zu nutzen. In Wirklichkeit landet das Opfer aber auf einer gefälschten Webseite, die der Bankseite täuschend ähnlich sieht. Dort soll der Kunde seine geheimen Daten wie Kontonummer und Zahlenkombinationen von PIN und TAN aktualisieren. Mit den gestohlenen Daten überweisen die Betrüger in Windeseile Geld vom Konto ins Ausland und nutzen auch noch den Dispo-Kredit aus.

Gigantische Ausmaße
Diese Art des Abkassierens ist nicht neu. Das Bundeskriminalamt (BKA) hat bereits im März vor dem "phishing" bei Kreditkarten gewarnt, der Kreditkartenanbieter MasterCard ließ Phishing-Seiten schließen. Neu sind aber die gigantischen Ausmaße. Nach Angaben des größten IT- Dienstleisters der deutschen Sparkassen, der Sparkassen-Informatik, ist die Zahl der Betrugsversuche im März auf rund 200.000 gestiegen - vor einem Jahr wurden erst 300 solcher Mails in Deutschland registriert. "Dabei ist kein Schaden entstanden", betont Sprecher Michael Heinemann.

Enormer Schaden
"Seit Jahresanfang haben Hacker versucht, rund 50 Konten in Deutschland leer zu räumen", sagt Experte Fischer. Die Banken seien durch Tipps aufmerksam geworden und hätten die Transaktionen in letzter Sekunde verhindert. Eine Schadenssumme ist in Deutschland weder bei den Bankenverbänden noch beim BKA bekannt. In den USA, wo das Phänomen schon länger grassiert, schätzt das Marktforschungsunternehmen Gartner den Schaden der "Passwort-Fischer" auf 1,2 Mrd. Dollar (derzeit 995 Mio. Euro) im Jahr 2003.

Hacker aus Osteuropa
Die Attacken kommen überwiegend aus Osteuropa. So wurden Kunden der Postbank vor einigen Wochen von Massenmails überschwemmt, die auf eine gefälschte Postbank-Webseite mit dem Länderkürzel für Russland leiteten. "Hunderte Kunden haben uns die Mails zugeschickt, keiner ist auf die Masche reingefallen", sagt Postbank-Sprecher Jürgen Ebert. Der Provider sei von den russischen Behörden inzwischen abgeschaltet worden.

Versuche mit Software
Die ebenfalls betroffene Citibank hat die Behörden eingeschaltet und warnt ihre Kunden auf ihrer Web-Seite. Die mit vier Millionen Kunden größte Direktbank in Europa DiBa wurde von Angriffen bisher verschont. "Wir drucken auf allen Kontoauszügen Informationen zur Sicherheit auf", sagt ein Sprecher. Zudem läuft bei drei Banken in Deutschland ein Versuch mit einer neuen Software, die kriminelle Mails abfangen soll.

Auf richtige Adresse achten
Der Bundesverband deutscher Banken (BdB) hat eine Broschüre mit Tipps zum sicheren Online-Banking herausgegeben. "Niemals wird eine Bank per Mail den Kunden auffordern, vertrauliche Daten abzufragen", sagt Sprecher Jens Walter. Kunden sollten misstrauisch werden, wenn es Abweichungen vom gewohnten Ablauf beim Online-Banking gebe. Jeder Kunde sollte die Internet-Adresse seiner Bank kontrollieren und darauf achten, dass die Seite mit "https://", dem Hinweis auf eine sichere Verbindung, beginne. Auch müsse die Adresse korrekt sein und das richtige Länderkürzel sowie keinen Buchstabendreher enthalten. Ein Anti-Viren-Programm sowie eine Firewall, die unbefugte Zugriffe blockiere, runde das Programm ab.

Haftung umstritten
Vorsichtsmaßnahmen sind dringend geraten, denn die Haftung ist bei dieser Art der Kriminalität umstritten. "Die Bank haftet für ihren Bereich, der Kunde für seinen Bereich. Er muss nachweisen, dass er die Sorgfaltspflicht nicht vernachlässigt hat", sagt BdB-Sprecher Walter. (apa)