Vorsicht beim Online-Banking!

Wenn es allein um das Kriterium ‚praktisch‘ ginge, würde wohl kaum ein Bankkunde davor zurückschrecken, seine Bankgeschäfte online zu erledigen: Einige Klicks am Computer oder Smartphone genügen, und die Überweisung ist getätigt, der Kontostand geprüft. Doch spätestens seit den Enthüllungen zum NSA-Abhörskandal sind die Deutschen alarmiert: Laut einer repräsentativen Umfrage des Branchenverbandes Bitkom Ende vergangenen Jahres halten vier von fünf Deutschen ihre Daten im Internet für unsicher. Und etwa jeder Dritte Internetnutzer verzichtet aus Sicherheitsgründen auf Online-Banking.

Ganz unbegründet ist die Sorge nicht. Trotz besserer Sicherheitsverfahren zählt das Bundeskriminalamt (BKA) 2012 noch fast dreieinhalbtausend Betrugsfälle, in denen Kriminelle sich Zugangsdaten und Transaktionsnummern (TANs) der Bankkunden erschlichen haben (sogenanntes ‚Phishing‘); im Schnitt haben sie 4000 Euro erbeutet. Auch die zunehmende Nutzung von Smartphones zur Abwicklung von Bankgeschäften bietet Hackern gute Angriffsflächen.

„Mobile Endgeräte stellen ein interessantes Zielfeld für Täter dar, weil sich die Nutzer der Gefahr mobiler Betriebssysteme unzureichend bewusst sind“, schreibt das BKA in seinem aktuellen Lagebild zur Internetkriminalität. Doch wie genau funktionieren iTANs, mTANs, Foto-TANs oder NFC-TANs? Und wo liegen bei diesen gängigen Online-Banking-Verfahren die Sicherheitslücken? Der Reihe nach:

iTANs: Für jedes Bankgeschäft, das der Kunde im Internet oder per Smartphone tätigen will, fordert ihn die Bank auf, eine spezielle (‚indizierte‘) Transaktionsnummer einzugeben. Eine Liste solcher durchnummerierter

TANs bekommt der Kunde meist mit Eröffnung des Onlinekontos vom Kreditinstitut zugeschickt. Die Vorteile liegen auf der Hand: Zum einen kann der Kunde ohne zusätzliche Gerätschaft, allein mit einem Stück Papier in der Hand, zum Beispiel eine Überweisung in Auftrag geben. Die Gefahr, dass die Betrüger die Nummernliste tatsächlich physisch in die Finger bekommen, ist ebenfalls recht gering.

Dennoch sind iTAN-Nutzer vor Betrug nicht gefeit. „Ein besonders hinterhältiger Internetvirus könnte sich nämlich auf dem Rechner oder Smartphone einnisten und, vom Nutzer gänzlich unbemerkt, Überweisungen manipulieren“, weiß Steffen von Blumröder, Sicherheitsexperte für Finanzdienstleistungen beim Branchenverband Bitkom. Auch die meisten Banken warnen ihre Kunden regelmäßig vor immer neuen sogenannten Trojanern, die in der Regel über schädliche Email-Anhänge – von der vermeintlich neuen Gebührenordnung bis zum Sicherheitsupdate – auf die Festplatte des Computers oder das Smartphone gelangen.

Trojaner als ‚man in the middle‘

„Ist der Trojaner einmal drauf, kann er sich bei Onlinetransaktionen des Kunden als unsichtbarer ‚man in the middle‘ zwischenschalten“, sagt von Blumröder und zitiert ein Beispiel: Angenommen, ein Kunde weist 50 Euro an Adressat X an und bestätigt den Vorgang mit der abgefragten Tan. Noch bevor die Informationen über den Sicherheitsserver an die Bank gelangen kann, konvertiert die Schadsoftware sie zu ihren Gunsten. Statt 50 Euro an X werden 5000 Euro an Y angewiesen.

Bevor der Kunde die Bestätigung der Bank über die höhere Überweisung aber übermittelt bekommt, ändert der Trojaner die Information erneut ab. Der Kunde wird in dem Glauben belassen, er habe 50 Euro an X überwiesen. „Manche Trojaner sind so clever, dass der Kunde die höhere Abbuchung erst Tage nach dem Vorgang auf seinem Kontoauszug sehen kann“, so von Blumröder. Sein Tipp: Immer die neueste Antischadsoftware auf dem Rechner oder Smartphone installieren.

Alternativ dazu könnten sich Bankkunden aber auch überlegen, die sogenannten mobilen TANs (mTANs) zu verwenden. Bei dieser Variante erhält der Onlinebankkunde keine Papierliste von Transaktionsnummern, sondern zur Bestätigung eines jeden Bankgeschäfts einen Zahlencode aufs Handy geschickt. Weil mTANs nur begrenzt gültig sind und der Nutzer die Zielkontonummer und den Betrag der Überweisung in der SMS nochmals ablesen und überprüfen kann, gilt das Verfahren im Vergleich zu den iTANs als sicherer.

„Das mTAN-Verfahren soll Nutzer vor ungewollten Überweisungsumleitungen auf ein anderes Konto durch einen ‚man in the middle‘-Angriff schützen“, sagt Christian Solmecke, IT-Rechts-Experte und Partner in der Kölner Medienrechtskanzlei Wilde, Beuger und Solmecke.  

Allerdings ist auch beim mTAN-Verfahren Gefahr im Verzug: nämlich dann, wenn es Kriminellen gelingt, eingehende SMS vom Handy des Onlinekunden abzufangen und auf ein eigenes Zweitgerät umzuleiten. Dafür verschaffen sich Betrüger zunächst Zugang zu den Login-Daten des Onlinekunden – und sind, was die Varianten des „Passwortfischen“ (englisch: Phishing) angeht, äußerst einfallsreich.

Manipulation beim mTAN-Verfahren

Eine beliebte Masche: Die Betrüger fordern Onlinekunden in einer echt aussehenden Mail auf, ihre Bankdaten inklusive Log-in-Daten einzugeben, etwa, um einen Datenabgleich vorzunehmen. Ein in der Mail enthaltener Link führt den Nutzer dann allerdings auf eine gefälschte Internetseite, die der Seite der eigenen Bank bis ins Detail ähnelt. „Die Betrüger sind teilweise so geschickt, dass selbst Experten keinen optischen Unterschied zur richtigen Seite erkennen“, so Solmecke. Hat der Kunde seine Daten einmal eingegeben und das Formular abgeschickt, ist es zu spät:

Nun können die Hintermänner Kundendaten – darunter Kundennummer, Handynummer und Geburtsdatum – unbemerkt einsehen. Solmecke liegen Fälle vor, in denen sich Betrüger vom Handyanbieter der geschädigten Nutzer eine zweite Sim-Karte haben zusenden lassen. Die Eingabe eines einfachen Codes genügte, um SMS – und somit auch die mTANs – nur noch auf dieser zweiten Sim-Karte zu empfangen.

„Dann geht das Spielchen los“, sagt Solmecke: Die Hacker loggen sich in das Onlinekonto des Nutzers ein, überweisen im Zweifel Geld vom Spar- auf das Girokonto, um dann größere Summen an Finanzagenten zu transferieren. „Uns liegen Fälle vor, in denen Hacker das Überweisungslimit – via mTAN – auf 100.000 Euro angehoben haben.“

Ist das Geld erst einmal von Konto verschwunden, wird es schwer, seinen weiteren Weg zu verfolgen. „Die Strohmänner behalten sich meist nur eine Provision ein und schicken den Restbetrag anonym per Western Union an die Betrüger ins Ausland“, weiß Solmecke. Besonders brisant für Verbraucher: Im schlimmsten Fall bleiben sie auf der veruntreuten Summe sitzen.

„Wenn es darum geht, dass PINs und TANs abhanden gekommen sind, kann der Bankkunde nur dann auf Erstattung des Schadens durch die Bank hoffen, wenn er nachweislich nicht grob fahrlässig gehandelt hat.“ Dann müsste der Verbraucher nur einen Eigenanteil von 150 Euro selbst tragen (§675v BGB).

Was bedeutet grobe Fahrlässigkeit?

Doch was bedeutet grobe Fahrlässigkeit in dem Zusammenhang? „Wer auf einer manipulierten Seite zum Beispiel einer Aufforderung folgt, mehrere TANs gleichzeitig einzugeben, handelt wohl grob fahrlässig“, meint Solmecke. Die sei insbesondere der Fall, wenn die Bank den Kunden vorab darauf hingewiesen hat, dass sie nie mehr als eine TAN-Nummer abfragt. Ungünstig sieht es für den Kunden ebenfalls aus, wenn er nicht die neueste Viren-Software auf seinem Rechner installiert hatte – und sich ein Trojaner so relativ leicht auf der Festplatte einnisten konnte.

Weniger klar gestaltet sich für Solmecke der Fall, wenn ein Kunde auf einer manipulierten Homepage – zum Beispiel auf einem schwarzen Bildschirm – eine Tan eingibt, die den vermeintlich geblockten Account wieder freischalten soll. „Wer so etwas sieht, gibt natürlich erst einmal eine Tan ein. Man möchte jetzt ran an das Geld und die Überweisung tätigen.“ Die Banken sehen dies aber anders und so streitet die Kanzlei gerade vor Gericht.

Weil schließlich selbst das mTAN-Verfahren professionelle Betrüger (‚Phisher‘) nicht abschreckt, geht die Suche nach sicheren Authentifizierungs-Alternativen weiter. Einige Banken bieten ihren Kunden kleine Minicomputer an, die ihnen für jede Transaktion einen neuen Zahlencode generieren.

Dafür muss der Kunde die Bankkarte in das Gerät einführen und entweder eine am PC generierte Zahlenkombination per Hand eingeben; oder das Gerät liest einen sogenannten 2D-Code vom Computerbildschirm ab (Chip-TAN-Verfahren). Wie beim mTAN-Verfahren muss der Kunde auch hier Empfänger und Betrag noch einmal bestätigen.

Alternativ dazu hat das Stuttgarter IT-Unternehmen GFT mit der NFC-TAN ein Verfahren entwickelt, bei dem ein vom PC generierter 2D-Code mit dem Smartphone abfotografiert werden kann. „Generell sollten für das Online-Banking und die TAN-Generierung unterschiedliche Geräte verwendet werden, um gegen Missbrauch vorzubeugen“, fasst Bitkom-Experte Steffen von Blumröder zusammen – auch wenn die Sicherheit letztlich zu Lasten der Benutzerfreundlichkeit geht.