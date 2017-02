Bankkunden auszunehmen ist für kriminelle Hacker fast schon Routine. Die Werkzeuge dazu, etwa Baukästen für Trojaner, gibt es für jedermann im Internet zu kaufen. Virtuelle Bankräuber hingegen, die es auf die Kreditinstitute selbst abgesehen haben, gehen deutlich raffinierter vor - ihre Methoden sind geradezu maßgeschneidert.

Zwar werden auch hier Praktiken wie Social Engineering (Stichwort: Chef-Masche), Phishing und Trojaner genutzt, um Zugang zu den Systemen zu bekommen, aber auf Werkzeuge aus dem Baukasten verzichten die Angreifer meist. Schon allein deshalb, weil die Sicherheitsmechanismen bei Banken wesentlich ausgeklügelter sind und bekannte Schadcodes oder Schwachstellen schneller erkannt beziehungsweise geschlossen werden.

Kriminelle haben es beim digitalen Bankraub auch eher auf große Beträge abgesehen, sagt Martin Rösler von der Sicherheitsfirma Trend Micro. Auf der anderen Seite setzen die Banken viel Geld für die eigene Sicherheit ein, um ihren guten Ruf zu schützen.

Erpressungsmethoden

Während früher häufiger versucht wurde, Bankserver mit sogenannten Distributed-Denial-of-Service-Angriffen (DDoS) lahmzulegen, um die Finanzinstitute zu erpressen, ist diese Methode inzwischen nicht mehr so verbreitet. Bei DDoS-Angriffen werden Webseiten mit massenhaften Anfragen überflutet, so dass sie nicht mehr erreichbar sind. DDoS-Attacken erfordern nicht unbedingt Hacker-Kenntnisse, zudem dringen die Täter dabei in der Regel nicht in ein System ein.

Erpressung mit Ransomware, etwa per Trojaner, ist für Banken bisher auch noch kein nennenswertes Problem. Bei dieser Angriffsmethode werden Daten mit Hilfe von Schadsoftware verschlüsselt. Die Erpresser geben erst nach Zahlung von Lösegeld den Schlüssel heraus und damit die Daten wieder frei. Banken sind gegen diese Art der Angriffe meist gut geschützt, ein einzelner verschlüsselter Rechner würde den Geldverkehr nicht lahmlegen. Daher wird diese Methode eher gegen Privatnutzer eingesetzt.

Eine andere Form der Erpressung werde durch das Umleiten des Datenverkehrs einer Bank möglich, sagt Rösler. Bei diesem Angriff auf die Netzwerkinfrastruktur werden Router im Internet manipuliert. Die Datenpakete der Bank werden auf andere Knotenpunkte umgeleitet. Dafür reiche bereits ein Befehl an einen falsch konfigurierten Router im Internet. Angreifer würden dann von den betroffenen Banken Lösegeld fordern, sagt Rösler, mit dem Versprechen, den richtigen Fluss der Datenpakete wieder freizugeben.

Erpressung funktioniert auch, wenn die Täter durch das Einschleusen von Schadcode auf Kundendaten von Banken zugreifen können. Da Finanzinstitute sehr auf ihre Vertrauenswürdigkeit bedacht sind, haben Kriminelle hier ebenfalls einen Hebel, wenn sie drohen, die entsprechenden Daten zu veröffentlichen.

Gefälschte Überweisungen

Mit Angriffen auf Webserver der Banken haben Kriminelle zudem zumindest grundsätzlich eine Möglichkeit, direkt auf Transaktionen von Bankkunden zuzugreifen, sagt Rösler weiter. Dabei seien oft kleinere Server das Ziel, die als Nebeneingang fungieren. Hacker würden dort Schadcode hochladen, der direkt auf den Servern ausgeführt wird. Die Programme könnten dann beispielsweise Überweisungsdaten abgreifen und die Zahlungsanweisungen manipulieren, in dem sie beispielsweise Beträge und Empfänger verändern würden.

Potenziell interessant für Kriminelle ist auch das TAN-Verfahren der Banken. Kunden müssen beim Online-Banking neben ihren Zugangsdaten für jeden Vorgang eine eigene Transaktionsnummer angeben. Wird eines dieser Verfahren ausgenutzt, ersetzen die Banken meist den Schaden der Kunden, wenn diese nicht grob fahrlässig gehandelt haben. Deshalb gelten heute beispielsweise die klassischen TAN-Listen als unsicher und werden von Banken nicht mehr genutzt.

Was sind TAN-Verfahren? Wenn man von einer TAN spricht, meint man in der Regel eine Transaktionsnummer - ein einmalig einsetzbares Kennwort, mit dem sich beim Onlinebanking unter anderem eine Überweisung freigeben lässt. TANs sollen beispielsweise sicherstellen, dass jemand, der sich den Zugang zu einem Bankkonto erschleicht - etwa, in dem er die Pin zum Einloggen mitschneidet - nicht einfach beliebig Geld auf andere Konten überweisen kann.



Eine TAN ist also eine zusätzliche Absicherung, dass die Person, die Onlinebanking betreibt, tatsächlich die ist, für die das System sie hält. Für die Übermittlung der TAN an den Kunden gibt es verschiedene Wege, man spricht hier von TAN-Verfahren. Welche TAN-Verfahren sind in Deutschland im Einsatz? mehrere Verfahren zur Auswahl, in der Regel drei bis vier. Manche Verfahren gibt es bei mehreren Banken, einige nur bei einzelnen Anbietern. Klare Vorgaben, auf welches Verfahren Kunden setzen sollten, macht keine der Banken. Zu groß scheint die Angst, Kunden zu verlieren, wenn man sie zum Wechsel auf ein neues ungewohntes oder aufwendiger erscheinendes Verfahren drängt.



Einige Banken wie die Commerzbank oder die Comdirect empfehlen immerhin explizit das sogenannte PhotoTAN-Verfahren, bei dem ein farbiger Barcode auf dem Computerbildschirm mit einem Smartphone oder Lesegerät gescannt wird. Auch die Deutsche Bank wirbt für das Verfahren, das sie 2015 eingeführt hat. Wie im Herbst 2016 bekannt wurde, ist es den Sicherheitsforschern Vincent Haupert und Tilo Müller allerdings bereits gelungen,



Obwohl alle Banken eine modernere Alternative zur Papiervariante bieten, haben einige bis heute auch noch iTAN-Listen im Einsatz - wenn auch teilweise nur noch für Bestandskunden. Das iTAN-Verfahren basiert auf einer durchnummerierten Liste von TANs, von denen etwa bei einer Überweisung eine bestimmte abgefragt wird.



iTAN-Listen gelten als Auslaufmodell, da es bei ihnen vor allem im Kontext von Phishing-Angriffen vergleichsweise häufig zu Betrugsfällen kommt. Klassische TAN-Listen, bei denen die Nummern der Reihe nach abgefragt werden, gibt es heute eigentlich nicht mehr. Anfragen von Ende 2016 bei den elf wichtigsten Privatkundenbanken mit Girokonto-Angeboten zeigen: Alle großen Banken bieten ihren Kunden, in der Regel drei bis vier. Manche Verfahren gibt es bei mehreren Banken, einige nur bei einzelnen Anbietern. Klare Vorgaben, auf welches Verfahren Kunden setzen sollten, macht keine der Banken. Zu groß scheint die Angst, Kunden zu verlieren, wenn man sie zum Wechsel auf ein neues ungewohntes oder aufwendiger erscheinendes Verfahren drängt.Einige Banken wie die Commerzbank oder die Comdirect empfehlen immerhin explizit das sogenannte-Verfahren, bei dem ein farbiger Barcode auf dem Computerbildschirm mit einem Smartphone oder Lesegerät gescannt wird. Auch die Deutsche Bank wirbt für das Verfahren, das sie 2015 eingeführt hat. Wie im Herbst 2016 bekannt wurde, ist es den Sicherheitsforschern Vincent Haupert und Tilo Müller allerdings bereits gelungen, das PhotoTAN-Verfahren unter bestimmten Voraussetzungen zu knacken Obwohl alle Banken eine modernere Alternative zur Papiervariante bieten, haben einige bis heute auch nochim Einsatz - wenn auch teilweise nur noch für Bestandskunden. Das iTAN-Verfahren basiert auf einer durchnummerierten Liste von TANs, von denen etwa bei einer Überweisung eine bestimmte abgefragt wird.iTAN-Listen gelten als Auslaufmodell, da es bei ihnen vor allem im Kontext von Phishing-Angriffen vergleichsweise häufig zu Betrugsfällen kommt. Klassische TAN-Listen, bei denen die Nummern der Reihe nach abgefragt werden, gibt es heute eigentlich nicht mehr. Welches Verfahren ist am beliebtesten? SMS-TAN-Verfahren, auch mTAN-Verfahren genannt. Dabei schickt die Bank die für eine Onlineüberweisung nötige TAN per SMS an das Handy des Kunden. Banken wie die Postbank, die Haspa (Hamburger Sparkasse), die ING-DiBa und die Unicredit, zu der die HypoVereinsbank gehört, gaben auf die Nachfrage Ende 2016 an, dass die meisten ihrer Kunden auf dieses Verfahren setzen.



Sicherheitsexperte Vincent Haupert, der Besonders populär ist hierzulande das sogenannte, auchgenannt. Dabei schickt die Bank die für eine Onlineüberweisung nötige TAN per SMS an das Handy des Kunden. Banken wie die Postbank, die Haspa (Hamburger Sparkasse), die ING-DiBa und die Unicredit, zu der die HypoVereinsbank gehört, gaben auf die Nachfrage Ende 2016 an, dass die meisten ihrer Kunden auf dieses Verfahren setzen.Sicherheitsexperte Vincent Haupert, der auch schon das pushTAN-Verfahren der Sparkasse aushebeln konnte , sagt zum mTAN-Verfahren, es sei unbedenklicher gewesen, als Handys noch keine Mehrzweckgeräte waren. Dadurch, dass Mobiltelefone mit dem Internet verbunden seien - und so vom Spezial- zum Mehrzweckgerät wurden -, sei es für Hacker leichter geworden, Zugriff auf die Daten auf dem Smartphone zu bekommen. Zudem ließen sich SMS mit einem gewissen Aufwand abfangen. Welche Verfahren gelten als sicher?



Für die mit Blick auf die Sicherheit beste Wahl hält Haupert TAN-Verfahren, die auf dezidierte Hardware setzen. Das bedeutet: Verfahren, die zum Beispiel einen Computer oder ein Smartphone mit einem Extragerät fürs Onlinebanking verbinden, etwa einem TAN-Generator oder einem Lesegerät. Haupert sagt, er selbst habe immer ein ChipTAN-Lesegerät dabei.



SPIEGEL ONLINE Zwei-Faktor-Authentifizierung setzen, also zwei getrennte Geräte benutzen, denn es ist immer davon auszugehen, dass einer der beiden Faktoren schon kompromittiert ist." Das heißt: Man muss davon ausgehen, dass Betrüger entweder die Zugangsdaten zum Onlinebanking-Account haben oder Zugriff auf das Handy.



In einem Gastbeitrag für SPIEGEL ONLINE Obwohl Haupert das PhotoTAN-Verfahren selbst geknackt hat: Der Experte sagt, Angriffe wie der von ihm testweise durchgeführte seien noch eher selten, da sie aufwendig seien und nur wenige Menschen das PhotoTAN-Verfahren nutzen. Aus diesem Grund dürfte PhotoTAN zum Beispiel im Vergleich mit dem SMS-TAN-Verfahren, auf das es schon spektakuläre Angriffe gab , noch immer die bessere Wahl sein.. Das bedeutet: Verfahren, die zum Beispiel einen Computer oder ein Smartphone mit einem Extragerät fürs Onlinebanking verbinden, etwa einem TAN-Generator oder einem Lesegerät. Haupert sagt, er selbst habe immer eindabei.SPIEGEL ONLINE sagte er schon 2015 : "Man sollte immer auf einesetzen, also zwei getrennte Geräte benutzen, denn es ist immer davon auszugehen, dass einer der beiden Faktoren schon kompromittiert ist." Das heißt: Man muss davon ausgehen, dass Betrüger entweder die Zugangsdaten zum Onlinebanking-Account haben oder Zugriff auf das Handy.In einem Gastbeitrag für SPIEGEL ONLINE warnte Haupert Ende 2016 vor einer Aufweichung des Zwei-Faktor-Prinzips , vor allem im Zuge des Onlinebankings per Smartphone. TAN-Generatoren beziehungsweise TAN-Lesegeräte sind mittlerweile dünn und handlich und kosten nur einmalig Geld. Die Deutsche Bank etwa bietet online PhotoTAN-Lesegeräte für 14,90 Euro inklusive Versand an, die Postbank empfiehlt verschiedene TAN-Generatoren ab 12,90 Euro. Was passiert, wenn die TAN-Absicherung versagt? In einigen Fällen wird die Bank den Schaden des Kunden übernehmen, sofern der Kunde nicht grob fahrlässig gehandelt hat. Das geschieht manchmal schon aus Imagegründen. "Banken leben von ihrem guten Ruf und ihrer Vertrauenswürdigkeit", sagt Sicherheitsexperte Martin Rösler vom Security-Unternehmen Trend Micro.



Anders als viele andere Banken wirbt die Commerzbank, die auf ihrer Website die Verfahren PhotoTAN und mobileTAN hervorhebt, explizit mit einer "Sicherheitsgarantie" für ihre Kunden. In einer Erklärung dazu heißt es, die Bank biete mit ihren TAN-Verfahren "größtmögliche Sicherheit": "Sollte dennoch einmal etwas passieren, erstatten wir Ihnen den entstandenen Schaden. Voraussetzungen für Sie: Sie haben den Schaden nicht vorsätzlich herbeigeführt, informieren uns sofort über den Schaden und erstatten Strafanzeige bei der Polizei. Sie unterstützen uns aktiv bei der Aufklärung." Setzen sich bald biometrische TAN-Verfahren durch? In Zeiten von Fingerabdruckscannern im Smartphone wäre es nicht abwegig, auch TAN-Verfahren mit Biometrie zu kombinieren. Praktisch hätten solche Verfahren aber Schwachstellen, die andere Verfahren nicht haben. Die größte: Wenn der Fingerabdruck einmal kopiert wurde und sich fortan duplizieren lässt, ist das Verfahren dauerhaft unsicher. Anders als eine aus Ziffern bestehende TAN lässt sich der eigene Fingerabdruck schließlich nicht einfach durch einen neuen ersetzen.

Ein Angriff auf das internationale Bezahlsystem Swift begann offenbar mit dem Einschleusen von Trojanern in das Bankensystem von Bangladesch. Erkenntnissen der Sicherheitsfirma Symantec zufolge wurden so Überweisungsbelege gefälscht. Die genutzte Schadsoftware unterdrückte dabei Mitteilungen über betrügerische Transaktionen, heißt es, und sorgte so dafür, dass der Angriff lange unentdeckt blieb.

Angriff auf Geldautomaten

Eine weitere Gefahr für Banken sind Attacken auf Geldautomaten und Kassensysteme. Hier hätten die Täter oft leichtes Spiel, sagt Trend-Micro-Fachmann Rösler. Besonders ältere Automatensysteme seien leicht zu manipulieren. Angriffe auf Geldautomaten und Bezahlterminals erfolgen meist über Schnittstellen wie USB-Ports, über die die Täter Schadsoftware einschleusen.

Dann werden Geldautomaten beispielsweise dazu gebracht, bei Abhebungen nur Noten mit den höchsten Nennwerten auszugeben. Bei Kassensystemen können Angreifer Daten abgreifen oder Zahlungen manipulieren.

Oft sitzen die Täter auch direkt in der Bank. Immer wieder werden Fälle von Mitarbeitern bekannt, die unter falschen Namen Konten eröffnen oder unberechtigte Überweisungen vornehmen.