Homebanker, aufgepasst!
Bankkunden mit Onlinekonto sind Ziel neuer Abzockmethoden
Die E-Mail sieht hoch offiziell aus: Logo, Schriftzug, Layout, Farben – alles wie von der eigenen Hausbank gewohnt. Nichts, was Verdacht erregt. Freundlich, aber bestimmt bittet die Bank darin, möglichst bald die Webseite des Instituts zu besuchen. „Aus Sicherheitsgründen“ müssten persönliche Daten auf den neuesten Stand gebracht werden.
Klickt der Empfänger auf den Link, baut sich tatsächlich die Webseite der Bank auf – es sieht zumindest so aus. Zuerst werden Kontonummer und PIN erfragt, dann eine TAN, um die eigene Akte zu bestätigen.
Spätestens jetzt ist die Falle zugeschnappt: Betrüger haben sensible Daten ausspioniert. Gefährlich, denn mit Hilfe von Kontonummer und PIN erlangen die Kriminellen Zugang zum Konto. Mit der TAN können sie Geld überweisen. Die Diebe räumen so viel Geld ab wie möglich. Meist wird es ins Ausland transferiert. Möglicher Schaden in jedem Einzelfall: Mehrere hundert, mitunter mehrere Tausend Euro.
Bislang galt Homebanking als weitgehend sicher. Aber nun warnen Banken und Behörden vor einer Betrugsmasche, die Experten als „Phishing“ bezeichnen. Die Abkürzung steht für „Password Fishing“, da quasi Passwörter geangelt werden. „Phishing ist in Deutschland seit Ende 2003 bekannt. Es handelt sich dabei aber um ein internationales Phänomen mit Schwerpunkten in USA und Großbritannien“, erklärt das Bundeskriminalamt (BKA). Während im vergangenen Jahr lediglich 300 solcher Phishing-Mails registriert wurden, waren es allein im März über 200.000. Seit Februar verzeichnet das BKA zunehmende Betrugsfälle in Deutschland.
Die vor allem aus USA, Osteuropa und Asien stammenden Betrüger konzentrieren sich nun offenbar auf deutsche Internetbenutzer. Kein Wunder, denn hier gibt es unzählige potenzielle Opfer. Homebanking ist hierzulande äußerst populär: Jeder dritte Deutsche, 29 Prozent aller Erwachsenen, erledigt mittlerweile zumindest einen Teil seiner Geld- und Bankgeschäfte bequem von zu Hause aus. Tendenz: Steigend.
In den Anfangstagen war Onlinebanking nur eine Sache für eingefleischte Computerliebhaber. Man musste über den Postdienst Btx online gehen, um seine Bankgeschäfte von zu Hause erledigen zu können. Diese Zeiten sind vorbei: Seitdem sich jede Bank und Sparkasse auch über das Internet erreichen lässt, wächst das Interesse am Homebanking
Viele entscheiden sich nicht zuletzt aus Kostengründen dafür. Denn vom Kunden selbst gebuchte Überweisungen sind bei vielen Instituten kostenlos oder deutlich günstiger als ein eingeworfenes Überweisungsformular. Viele Girokonten, vor allem bei den boomenden Direktbanken, sind sogar völlig gratis, wenn sie ausschließlich oder überwiegend über Homebanking verwaltet werden.
Der Zugang zum Onlinekonto ist gewöhnlich durch PIN und TAN gesichert. Geraten die Geheimzahlen in falsche Hände, können auch Fremde über das Konto verfügen. Anders als früher besorgen sich die Diebe die sensiblen Daten nicht mehr durch „Hackattacken“ oder durch Ausspionieren der Festplatte. Stattdessen schreiben sie die Homebanker per E-Mail an und bitten sie höflich, die Daten zu verraten. Weil E-Mail und Webseite täuschend echt aussehen, tippen die Opfer arglos PIN und TAN ein. „Die betrügerischen Maßnahmen werden immer raffinierter und immer besser verschleiert“, weiß Fridolin Neumann, Chef bei der Sparkassen Informatik.
Das Prinzip ist stets dasselbe: Die betrügerische E-Mail landet als HTML-Mail im Briefkasten. Natürlich wissen die Betrüger nicht, bei welcher Bank der Empfänger Kunde ist. Sie versuchen es einfach mit verschiedenen Banklayouts. Ist der Empfänger Kunde bei einem anderen Institut, wird er die Mail ignorieren. Ist er jedoch zufällig Kunde, wird er sich automatisch angesprochen fühlen. Die Wahrscheinlichkeit ist dann hoch, dass der Trick funktioniert.
Der Bundesverband Deutscher Banken (BdB) rät: „Der Kunde sollte sich immer vergewissern, mit wem er es zu tun hat.“ Banken und Sparkassen versenden keine E-Mails an ihre Kunden, in denen nach PIN oder TAN gefragt wird. Homebanking-Kunden sollten deshalb äußerst vorsichtig sein und ihre Geheimnummer (PIN) niemals verraten.
Doch PIN und TAN werden zunehmend durch eine neue Technologie abgelöst: HBCI (Home Banking Computer Interface). Bei diesem Verfahren muss sich der Onlinekunde mit Hilfe seiner persönlichen Kundenkarte „ausweisen“, fast wie am Schalter: Will der Kunde auf sein Konto zugreifen muss er seine HBCI-Karte in einen speziellen PC-Leser stecken. In der Plastikkarte ist ein Spezialchip eingebaut, auf dem alle wichtigen Daten gespeichert sind. Anschließend muss auch noch eine Geheimnummer eingetippt werden. Nur die Kombination von Kundenkarte und PIN ermöglicht Zugang zum Konto. Gerät die PIN in falsche Hände, lässt sich kein Geld abheben. Dafür ist die Karte nötig.
Das HBCI-Verfahren setzt sich erst ganz allmählich durch. Einige Banken stellen ihren Kunden den Kartenleser, der an jeden PC angeschlossen werden kann, kostenlos zur Verfügung. Andere Institute erwarten, dass der Kunde das Lesegerät kauft. Kostenpunkt: Ab 25 Euro. Außerdem ist spezielle Software wie Starmoney oder Quicken nötig, um auf ein HBCI-Konto zugreifen zu können. Eine Investition, die sich lohnen kann: Das Homebanking wird sicherer – und niemand muss mehr TAN-Listen verwalten.
Phishing verliert so auch seinen Schrecken. Während sich die Geldinstitute hierzulande mit genauen Daten über Betrugsfälle und verursachten Schaden bedeckt halten, sind aus USA sehr wohl Zahlen bekannt. Demnach haben Betrugsfälle mit gefälschten E-Mails in den USA im vergangenen Jahr einen Schaden von 1,2 Milliarden Dollar verursacht. Schätzungen des Marktforschers Gartner zufolge sollen rund 1,8 Millionen Amerikaner finanzielle und persönliche Daten an Unbefugte weitergegeben gegeben haben.
Phishing betrifft aber nicht nur Homebanker. Alle Internetbenutzer sollten vorsichtig sein. Denn längst wenden die Gauner den Phishing-Trick auch in anderen Bereichen an. Gefährdet sind alle Bereiche, in denen Benutzername und Passwort Zugang zu Konten oder Online-Shops gewähren. So kursieren bereits erste Phishing-Mails, die gezielt eBay-Benutzer ausspionieren. Die Betrüger wollen auf Kosten der Opfer einkaufen gehen. JÖRG SCHIEB
((Kasten 1))
So können Sie sich schützen
Misstrauen bei E-Mails
Absenderangaben in E-Mails lassen sich kinderleicht fälschen. Deshalb E-Mails nicht für authentisch halten, bloß weil das Layout einen guten Eindruck macht oder die Absenderadresse seriös erscheint.
Keine Links anklicken
Webseiten von Banken oder Onlineshops am besten nie durch Anklicken eines Links in einer E-Mail aufrufen, sondern durch Eintippen der Webadresse – oder indem der passende „Favorit“ im Browser ausgewählt wird.
Sensible Daten nicht verraten
Sensible Daten wie Kennung, Passwort, PIN oder TAN niemals preisgegeben. Sie dürfen ausschließlich in die Login-Seite der betreffenden Webseite eingetragen werden. Unter keinen Umständen per E-Mail weitergeben oder auf anderen Webseiten verraten.
Sichere Datenverbindung
Nur eine sichere Datenverbindung (SSL) ist abhörsicher. Darauf achten, dass spätestens bei der Eingabe sensibler Daten eine solche sichere Datenverbindung hergestellt ist. Die meisten Browser zeigen ein geschlossenes Vorhängeschloss. Außerdem: Im Adressfeld wird aus „http“ wird „https:“.
Browser-Update
Da oft Sicherheitslücken in Browsern ausgenutzt werden, um die Täuschung zu verschleiern, sollte der Browser stets auf den neuesten Stand gehalten werden. Deshalb regelmäßig ein Update laden und installieren.
Passwort oder PIN ändern
Sollte der Verdacht aufkommen, gerade erst in eine Falle getappt zu sein: Unverzüglich Passwort oder PIN ändern.
Verschiedene Wege zum Homebanking
Wer sein Girokonto online verwalten will, muss das Konto für den Onlinezugriff freischalten lassen. Der Kunde erhält eine PIN (Persönliche Identifikationsnummer), die beim Anmeldeprozess eingegeben werden muss. Außerdem gibt es eine TAN-Liste auf Papier. Jede einzelne TAN kann nur einmal verwendet werden, sie ist quasi eine virtuelle Unterschrift. Für jede Überweisung, jede Änderung des Dauerauftrags ist eine TAN nötig. PIN und TAN sollten an einem sicheren Ort aufbewahrt werden.
Alle Banken und Sparkassen bieten heute die Möglichkeit, bequem übers Internet auf das Onlinekonto zuzugreifen. Mit einem ganz gewöhnlichen Browser wie Internet Explorer, Netscape oder Firefox. Vorteil: Kein Installationsaufwand. Nachteil: Die Buchungen lassen sich meist nur 90 Tagen einsehen.
Viel praktischer sind spezielle Homebanking-Programme wie Quicken oder StarMoney. Die verwalten bequem mehrere Konten und werfen auf Knopfdruck praktische Übersichten über Ein- und Ausgaben oder Statistiken aus. Alle Buchungen bleiben dauerhaft gespeichert. Mit solchen Programmen lassen sich alle Onlinekonten verwalten.
Wer auf Nummer Sicher gehen will, schaltet sein Girokonto für HBCI frei. Der Kunde erhält eine HBCI-Karte für den Onlinezugang. Die muss in ein am PC angeschlossenes Lesegerät gesteckt werden. Ohne Karte gibt´s keinen Zugang. Die Geheimnummer ist auf der Karte gespeichert. Das Hantieren mit TAN-Listen hat ein Ende, weil die HBCI-Karte in Kombination mit der PIN ausreicht, um sich zu legitimieren. Praktisch für alle, die viele Buchungen durchführen müssen. Noch nicht alle Banken unterstützen HBCI.
