Online-Banking, Gefahren und Risiko

Als die Deutsche Bundespost, damals noch ein Staatsunternehmen, den Bildschirmtext-Dienst, kurz Btx, über ein proprietäres Datennetz in 1983 startete, nutzten diesen Dienst eigentlich nur Behörden und wenige Unternehmen. Bankgeschäfte von einem lokalen Rechner aus zu tätigen, war das Ergebnis der Zusammenarbeit von Post und Banken und trug massgeblich zur Verbreitung dieses Dienstes bei.

Viele gängige Funktionen waren damals schon vorhanden, Anzeige von Konto und Bestand, Einzel- und Vormerkungsüberweisungen, Daueraufträge, Auslandszahlungen, oder Pin-Änderungen, wenn auch nicht so benutzerfreundlich wie heute. Die textbasiertes Systeme konnten allerdings Daten oder Statistiken nicht graphisch aufbereiten da es keine graphische Benutzeroberflächen gab. Die Bedienung der Rechner setzte Programmierkenntnisse voraus und Eingabegeräte wie etwa die Maus ebenfalls noch nicht benutzt wurden.

Das proprietäre Datennetz, begrenzte technische Möglichkeiten, hoher technischer und finanzieller Aufwand und die vergleichsweise geringe Verbreitung machten Btx relativ sicher, wenn auch Btx-Hacks bekannt geworden sein sollen. Die Nutzerzahlen waren damals weit entfernt von den heutigen Online-Banking-Treibenden 20% der Deutschen Bevölkerung.

Aufgrund der rasanten Verbreitung des Internet, der Massenzugänglichkeit und eine gewisse Anonymität, haben auch minderbemittelte Kriminelle Zugang zu den neuen Technologien gefunden. Einschlägige Informationen und technisches Know-how ist frei erhältlich, - von der Nutzung für den kriminellen Einsatz dieser Möglichkeiten hält also nur noch die Moral ab. Mit den Online-Angeboten wachsen auch die potentiellen Schwachstellen. Bei einem Service-Umfang wie Girokonto-Zahlungsverkehr, Wertpapiergeschäfte, Kredite, Versicherungen und Festgeldprodukte über Internet, ist es nur eine Frage der Zeit, wann neue Sicherheitslücken entstehen und bekannt werden.

Online-Banking-Hack: Wenige Mittel nötig, Wissen aus dem Internet

Kriminelle Energie und Kreativität geben jeder neuen Entwicklung eine weitere Bedeutung - während legitime Nutzer noch die neuen Möglichkeiten erkunden, tüfteln Betrüger schon an der nächsten Masche. »Was ist wenn?«, das Risiko war seit Anfang der Btx-Tagen bekannt und gewissermassen einkalkuliert, als erfolgreiche Angriffe aber nicht mehr geheimgehalten werden können und an die Öffentlichkeit sickern, bekommen immer mehr Online-Betrüger zur Tat die nötige Motivation. Zur Durchführung brauchen sie eigentlich nur wenige Mittel, und das Wissen aus dem Internet.

Hacken auf Online-Banking mit Sniffer und Trojaner

Die Mittel erster Wahl sind Sniffer und Trojaner, sie werden meistens über Email in das System des Opfers eingeschleust und übernehmen dort die Funktion einer Fernsteuerung. Die Angriffe über Email sind am bekanntesten aber natürlich nicht die einzige Möglichkeit ein Rechner zu infiltrieren - Angriffe können ja erst bekannt werden, wenn sie auffliegen. Gute Angriffsmöglichkeiten bieten ActiveX-Steuerelemente da sie weitgehende Systemzugriffe unter Windows haben, JavaScript kann ebenfalls missbraucht werden, ebenso wie Flash und VB-Script. Die letzteren Technologien sind aufwendig und damit schwieriger zu enttarnen.

Sicherheitslücken bei Online-Banking

Emails, ICQ, die Technologien ActiveX, JavaScript, Flash und VB-Script sind nicht an sich Gefährlich, sie werden lediglich dazu benutzt weiteren Code oder Programme auf dem Zielrechner zu platzieren. Zumeist entstehen die Sicherheitslücken, die einen Missbrauch dieser Technologien erst ermöglichen, in Zusammenhang mit Browser und Emailprogramme. Die eingeschleusten Programme, etwa Trojaner, sind ebenfalls völlig harmlos - die Menschen die solche Programme Kontrollieren sind die Gefahr. Manche Hacker sind nur neugierig und richten mit ihren Angrifffen keinen Schaden an, wobei der Angriff selbst immer noch ein Eingriff in die Privatsphäre des Opfers ist, also wollen wir mal die Problematik nicht verharmlosen.

Angriffe auf Online-Banking durch Surfen

Angriffe können von auf spezielle Sicherheitslücken zugeschnittenen Webseiten gestartet werden, das heisst, eine besonders programmierte Webseite im Internet wartet auf den Besuch eines Browsers mit Schwächen, und nutzt diese dann um einen Code auf dem Rechner des Besuchers oder ein Programm durch diese Sicherheitslücke auf den Rechner des Besuchers einzuschleusen. Der Code kann in den Arbeitsspeicher des Opfers geladen und gleich ausgeführt werden, oder auf die Festplatte geschrieben werden für anderweitige Verwendung, zum Beispiel einen Trojaner-Server zu Starten. Anstatt im Internet auf Opfer zu warten, kann man aber auch den Angriff zum Opfer tragen. HTML-haltige Emails sind nicht weniger tückisch als Angriffslustige Webseiten im Internet, die Angriffsweise ist ebenfalls ähnlich, die besonderen Sicherheitslücken des Emailclients treten hier jedoch in den Vordergrund. Zusätzlich bieten Emails mit Datei-Anhängen eine Eintrittspforte für Trojaner, Viren oder Würmer, aber auch Spyware der üblen Sorte.

Antiviren-Software für Online-Banking nicht ausreichend

Wer sich nur auf eine Antiviren-Software verlässt, hat meistens schon verloren. In Sicherheit sollte man sich ebenfalls nicht lullen, wenn man ein sicheres Protokoll wie das obligatorische HTTPS für den Datenaustausch mit seiner Bank verwendet. Dabei stellt nicht die Verschlüsselung das Problem dar, sondern dass die Daten vor der Verschlüsselung von einem Trojaner abgefangen werden. Wenn man nun eine Online-Transaktion vornimmt, verschickt der Trojaner die Zugangsdaten und die Transaktionsnummer an den Täter, die Bank quittiert mit einer Fehlermeldung und bricht die Verbindung ab, der Täter benutzt die gestohlenen Zugangsdaten um grösstmögliche Summen auf ausländische Konten zu transferieren und von dort aus nochmal zügig weiterzuleiten oder gleich abheben zu lassen.

Überweisungen lassen sich unter Umständen zwar noch stoppen, wenn dem Opfer klar wird was gespielt wurde und es Beweise dafür liefern kann, was durchaus nicht unmöglich ist. Verpennt man das, ist in der Regel das gute Geld aber zu verabschieden, gegen die Behauptung dass es noch keinem Täter gelungen ist mit der geklauten Kohle davon zu kommen. Die erfolgreichen Fälle werden wohl aus demselben Grund nicht bekannt - weil sie erfolgreich sind.