Bankraub im Digitalzeitalter So kommen Hacker an Ihr Geld

Für kriminelle Hacker sind Bankkunden ein beliebtes Ziel. Hier erfahren Sie, wie die Angreifer vorgehen - und wie Sie sich schützen können.

Kreditkarten
AFP

Kreditkarten

Von


Bankraub kann sich auch im Jahr 2017 lohnen. Mit erfolgreichen Attacken auf die Nutzer von Onlinebanking sei im Netz das größte Geld zu machen, heißt es beim IT-Sicherheitsunternehmen Kaspersky. Im dritten Quartal des vergangenen Jahres hätte mehr als die Hälfte aller registrierten Phishing-Attacken Kunden von Finanzunternehmen wie Banken und Kreditkartendienstleister betroffen.

Die Kriminellen setzen verschiedene Werkzeuge ein, um ans Geld ihrer Opfer zu kommen. Beim erwähnten Phishing werden Nutzer durch einen Link in einer E-Mail oder einer Kurznachricht auf eine gefälschte Webseite geführt. Auf den teils täuschend echt aussehenden Seiten sollen sie Nutzername und Passwort fürs Onlinebanking eingeben. Damit kommen die Kriminellen an Zugangsdaten der Kunden, die sie für Betrugsversuche verwenden können.

Neben Phishing-Nachrichten sind Trojaner eine beliebte Angriffsmethode. Sie werden ebenfalls per E-Mail und auf ähnlichen Wegen verschickt, können aber auch auf infizierten Internetseiten lauern. Einmal aktiv, erlauben Banking-Trojaner Angreifern meistens einen Fernzugriff auf betroffene Computer. Dort können Schadprogramme beispielsweise Finanzdienst-Zugangsdaten mitlesen.

Trojaner für Mobilgeräte können im Hintergrund laufen und Bank- und Kreditkartendaten mitschneiden, beispielsweise beim Kauf von Apps oder auch bei der Nutzung von Onlinebanking-Apps.

Verbraucher können sich vor Betrugsversuchen im Stil der E-Mail-Maschen am besten schützen, wenn sie verdächtige oder unaufgefordert angekommene Nachrichten nicht einfach öffnen. Erst recht sollte man in Nachrichten nicht auf Links klicken, die angeblich von einer Bank kommen. Besser ist es, sich die Seite der Bank als Lesezeichen abzulegen und sich direkt dort händisch einzuloggen - so vermeidet man auch, auf ähnlich aussehende, aber woandershin führende Links reinzufallen. Viele Banken verzichten außerdem bewusst darauf, Nachrichten mit Log-in-Links zu verschicken.

Gegen Trojaner, die im Hintergrund das Surfverhalten überwachen, hilft die Vorsichtsmaßnahme des Direktaufrufs allerdings nicht. Allgemein ist es daher sinnvoller, alle Programme immer auf dem neuesten Stand zu halten und aktuelle Sicherheitssoftware zu nutzen.

Ist man einmal auf einer manipulierten oder Fake-Seite gelandet, kann es unter Umständen schon zu spät sein - bei raffinierten Angriffen reicht manchmal schon der Seitenaufruf, damit ein Gerät infiziert wird. In anderen Fällen wird es erst gefährlich, wenn man etwa seine Daten irgendwo eintippt. Im Zweifel gilt: Hat man etwa ein Formular ausgefüllt und vielleicht nur nicht abgesendet, sollte man trotzdem immer davon ausgehen, dass die Daten bei Kriminellen gelandet sind.

Angriff auf mobile Geräte

Bei Smartphones und Tablets gibt es weitere Angriffswege. Einige Kriminelle stellen online gefälschte Apps zur Verfügung, die vermeintlich vom Anbieter stammen. Wer diese Apps installiert, spielt Schadsoftware auf, über die die Angreifer ebenfalls an wichtige persönliche Daten gelangen können. Hier hilft es nur, darauf zu achten, die richtige App-Version zu erwischen. Dazu sollten Apps nicht über Drittseiten, sondern über die offiziellen App-Stores heruntergeladen werden.

Andere Schadsoftware übernimmt komplett die Kontrolle über das Smartphone. So konnten Forscher auch das lange als sicher geltende PhotoTAN-Verfahren knacken. Der Angriff funktionierte bei einer bestimmten PhotoTAN-Variante, bei der die Banking- und die PhotoTAN-App auf demselben Gerät installiert waren.

Mehr zur Sicherheit bei TAN-Verfahren finden Sie hier:

Was sind TAN-Verfahren?
Wenn man von einer TAN spricht, meint man in der Regel eine Transaktionsnummer - ein einmalig einsetzbares Kennwort, mit dem sich beim Onlinebanking unter anderem eine Überweisung freigeben lässt. TANs sollen beispielsweise sicherstellen, dass jemand, der sich den Zugang zu einem Bankkonto erschleicht - etwa, in dem er die Pin zum Einloggen mitschneidet - nicht einfach beliebig Geld auf andere Konten überweisen kann.

Eine TAN ist also eine zusätzliche Absicherung, dass die Person, die Onlinebanking betreibt, tatsächlich die ist, für die das System sie hält. Für die Übermittlung der TAN an den Kunden gibt es verschiedene Wege, man spricht hier von TAN-Verfahren.
Welche TAN-Verfahren sind in Deutschland im Einsatz?
Anfragen von Ende 2016 bei den elf wichtigsten Privatkundenbanken mit Girokonto-Angeboten zeigen: Alle großen Banken bieten ihren Kunden mehrere Verfahren zur Auswahl, in der Regel drei bis vier. Manche Verfahren gibt es bei mehreren Banken, einige nur bei einzelnen Anbietern. Klare Vorgaben, auf welches Verfahren Kunden setzen sollten, macht keine der Banken. Zu groß scheint die Angst, Kunden zu verlieren, wenn man sie zum Wechsel auf ein neues ungewohntes oder aufwendiger erscheinendes Verfahren drängt.

Einige Banken wie die Commerzbank oder die Comdirect empfehlen immerhin explizit das sogenannte PhotoTAN-Verfahren, bei dem ein farbiger Barcode auf dem Computerbildschirm mit einem Smartphone oder Lesegerät gescannt wird. Auch die Deutsche Bank wirbt für das Verfahren, das sie 2015 eingeführt hat. Wie im Herbst 2016 bekannt wurde, ist es den Sicherheitsforschern Vincent Haupert und Tilo Müller allerdings bereits gelungen, das PhotoTAN-Verfahren unter bestimmten Voraussetzungen zu knacken.

Obwohl alle Banken eine modernere Alternative zur Papiervariante bieten, haben einige bis heute auch noch iTAN-Listen im Einsatz - wenn auch teilweise nur noch für Bestandskunden. Das iTAN-Verfahren basiert auf einer durchnummerierten Liste von TANs, von denen etwa bei einer Überweisung eine bestimmte abgefragt wird.

iTAN-Listen gelten als Auslaufmodell, da es bei ihnen vor allem im Kontext von Phishing-Angriffen vergleichsweise häufig zu Betrugsfällen kommt. Klassische TAN-Listen, bei denen die Nummern der Reihe nach abgefragt werden, gibt es heute eigentlich nicht mehr.
Welches Verfahren ist am beliebtesten?
Besonders populär ist hierzulande das sogenannte SMS-TAN-Verfahren, auch mTAN-Verfahren genannt. Dabei schickt die Bank die für eine Onlineüberweisung nötige TAN per SMS an das Handy des Kunden. Banken wie die Postbank, die Haspa (Hamburger Sparkasse), die ING-DiBa und die Unicredit, zu der die HypoVereinsbank gehört, gaben auf die Nachfrage Ende 2016 an, dass die meisten ihrer Kunden auf dieses Verfahren setzen.

Sicherheitsexperte Vincent Haupert, der auch schon das pushTAN-Verfahren der Sparkasse aushebeln konnte, sagt zum mTAN-Verfahren, es sei unbedenklicher gewesen, als Handys noch keine Mehrzweckgeräte waren. Dadurch, dass Mobiltelefone mit dem Internet verbunden seien - und so vom Spezial- zum Mehrzweckgerät wurden -, sei es für Hacker leichter geworden, Zugriff auf die Daten auf dem Smartphone zu bekommen. Zudem ließen sich SMS mit einem gewissen Aufwand abfangen.
Welche Verfahren gelten als sicher?
Obwohl Haupert das PhotoTAN-Verfahren selbst geknackt hat: Der Experte sagt, Angriffe wie der von ihm testweise durchgeführte seien noch eher selten, da sie aufwendig seien und nur wenige Menschen das PhotoTAN-Verfahren nutzen. Aus diesem Grund dürfte PhotoTAN zum Beispiel im Vergleich mit dem SMS-TAN-Verfahren, auf das es schon spektakuläre Angriffe gab, noch immer die bessere Wahl sein.

Für die mit Blick auf die Sicherheit beste Wahl hält Haupert TAN-Verfahren, die auf dezidierte Hardware setzen. Das bedeutet: Verfahren, die zum Beispiel einen Computer oder ein Smartphone mit einem Extragerät fürs Onlinebanking verbinden, etwa einem TAN-Generator oder einem Lesegerät. Haupert sagt, er selbst habe immer ein ChipTAN-Lesegerät dabei.

SPIEGEL ONLINE sagte er schon 2015: "Man sollte immer auf eine Zwei-Faktor-Authentifizierung setzen, also zwei getrennte Geräte benutzen, denn es ist immer davon auszugehen, dass einer der beiden Faktoren schon kompromittiert ist." Das heißt: Man muss davon ausgehen, dass Betrüger entweder die Zugangsdaten zum Onlinebanking-Account haben oder Zugriff auf das Handy.

In einem Gastbeitrag für SPIEGEL ONLINE warnte Haupert Ende 2016 vor einer Aufweichung des Zwei-Faktor-Prinzips, vor allem im Zuge des Onlinebankings per Smartphone. TAN-Generatoren beziehungsweise TAN-Lesegeräte sind mittlerweile dünn und handlich und kosten nur einmalig Geld. Die Deutsche Bank etwa bietet online PhotoTAN-Lesegeräte für 14,90 Euro inklusive Versand an, die Postbank empfiehlt verschiedene TAN-Generatoren ab 12,90 Euro.
Was passiert, wenn die TAN-Absicherung versagt?
In einigen Fällen wird die Bank den Schaden des Kunden übernehmen, sofern der Kunde nicht grob fahrlässig gehandelt hat. Das geschieht manchmal schon aus Imagegründen. "Banken leben von ihrem guten Ruf und ihrer Vertrauenswürdigkeit", sagt Sicherheitsexperte Martin Rösler vom Security-Unternehmen Trend Micro.

Anders als viele andere Banken wirbt die Commerzbank, die auf ihrer Website die Verfahren PhotoTAN und mobileTAN hervorhebt, explizit mit einer "Sicherheitsgarantie" für ihre Kunden. In einer Erklärung dazu heißt es, die Bank biete mit ihren TAN-Verfahren "größtmögliche Sicherheit": "Sollte dennoch einmal etwas passieren, erstatten wir Ihnen den entstandenen Schaden. Voraussetzungen für Sie: Sie haben den Schaden nicht vorsätzlich herbeigeführt, informieren uns sofort über den Schaden und erstatten Strafanzeige bei der Polizei. Sie unterstützen uns aktiv bei der Aufklärung."
Setzen sich bald biometrische TAN-Verfahren durch?
In Zeiten von Fingerabdruckscannern im Smartphone wäre es nicht abwegig, auch TAN-Verfahren mit Biometrie zu kombinieren. Praktisch hätten solche Verfahren aber Schwachstellen, die andere Verfahren nicht haben. Die größte: Wenn der Fingerabdruck einmal kopiert wurde und sich fortan duplizieren lässt, ist das Verfahren dauerhaft unsicher. Anders als eine aus Ziffern bestehende TAN lässt sich der eigene Fingerabdruck schließlich nicht einfach durch einen neuen ersetzen.

Um sich möglichst gut gegen Angriffe aufs Smartphone zu schützen, sollte man stets die neuesten Versionen des Betriebssystems und der installierten Apps aufspielen. Immer wieder werden mit den Updates kurzfristig auch kritische Sicherheitslücken geschlossen.

Kreditkartenbetrug

Viele Kriminelle haben sich über die Jahre auf Kreditkartenbetrug spezialisiert. Karteninhaber können auf verschiedene Arten Opfer werden. Beispielsweise wenn ihre Daten durch sogenanntes Skimming erbeutet werden. Dabei wird der Magnetstreifen der Karte durch manipulierte Geräte ausgelesen. Die zugehörige PIN wird oft durch versteckt installierte Kameras abgelesen.

Eine andere Methode ist das Vertauschen der Karte, etwa bei Zahlungen in Geschäften oder in Restaurants. Auf diesem Weg gelangt der Angreifer direkt an die Karte, die er dann etwa für Bestellungen oder Offline-Einkäufe nutzen kann.

Mehr zum Thema bei SPIEGEL Plus

Auch über gefälschte Webshops kommen Kriminelle an Kreditkartendaten. Nutzer sollten wissen, dass seriöse Anbieter bei Onlinebestellungen nie nach der PIN fragen. Außerdem ist es wichtig, darauf zu achten, dass Transaktionen verschlüsselt werden. Das lässt sich am https:// und einem kleinen Schloss links in der Browserzeile erkennen. Noch vertrauenswürdiger ist eine Bankseite, wenn neben dem Schloss noch der Bankname auftaucht, da auch Betrüger Wege finden, an das Schloss zu kommen.

Gegen eine weitere Methode des Kreditkartenbetrugs können Nutzer dagegen wenig unternehmen. Sind die Kreditkartendaten bei einem Onlinedienst nicht ausreichend gesichert und wird das Unternehmen Opfer eines Cyberangriffs, können sämtliche Zahlungsdaten erbeutet werden. Eigentlich müssen die Daten verschlüsselt sein, aber es kommt immer wieder vor, dass Kriminelle ganze Kartensätze in die Hände bekommen. Diese werden dann oft im Internet zum Kauf angeboten.

Chef-Masche

Eine weitere Angriffsmethode ist das sogenannte Social Engineering. Dieses vergleichsweise aufwendige Verfahren wird hauptsächlich bei Firmen eingesetzt. Berühmt geworden ist zuletzt die sogenannte Chef-Masche. Dabei gibt sich ein Krimineller per E-Mail oder SMS als ranghohes Firmenmitglied aus und fordert die rasche Überweisung einer hohen Summe.

Dieses Vorgehen erfordert vom Täter einen hohen Rechercheaufwand. Um glaubwürdig zu klingen, muss er sich mit den Hierarchien des Unternehmens vertraut machen, die Namen und Befugnisse von Mitarbeitern recherchieren und zum Beispiel seinen Betrugsversuch starten, wenn der Vorgesetzte etwa auf einer Auslandsreise ist.

Bei der Chef-Masche setzt der angebliche Boss die Untergebenen stark unter Druck. Die Mitarbeiter werden zur Geheimhaltung verpflichtet. Die nötigen Zahlungsaufträge sind bereits vorbereitet, eine nötige zweite Unterschrift wird gefälscht.

Ist die Masche erfolgreich, ist sie wohl den Aufwand wert: Kriminelle erbeuteten mit dem Trick beispielsweise bei FACC, einem österreichischen Hersteller von Flugzeugteilen, mehr als 40 Millionen Euro. Der Autozulieferer Leoni verlor ebenfalls rund 40 Millionen Euro.

insgesamt 91 Beiträge
Alle Kommentare öffnen
Seite 1
see_baer 27.02.2017
1. Einfache Gegenmaßnahme:
LINUX - habe seit 20 Jahren keine Viren ETC.
mcsunny 27.02.2017
2. Nutzungsverhalten überdenken
Muss man überall unterwegs Online-Banking machen? Braucht (!) man wirklich Online-Banking auf dem Smartphone? Es gibt eine absolut sichere Variante: HBCI. Die geht allerdings nur von einem PC mit entsprechendem separatem Kartenlesegerät und Ziffernblock für HBCI-Karte und Pin-Eingabe. Keine TAN, kein hin- und her senden von irgendwelchem Daten die abgefangen werden können. Setzt allerdings voraus, dass man Bankgeschäfte i.d.R. nur daheim tätigt. Und schon ist man befreit von Ängsten und Hackern.
Archie69 27.02.2017
3.
Ich werde zwar von meinem Bankberater immer gedrängt, mache aber kein Online Banking. Neueste "Masche" der Banken ist ja dies über die Kontogebühren zu steuern - nur noch eine bestimmte Anzahl von Abhebungen am EC-Automaten sind kostenfrei - eigentlich eine Sauerei. Meine Kreditkarte benutze ich auch nur in "Notfällen", Auto mieten und Hotelbuchung geht aber gar nicht ohne. Trotz der seltenen Nutzung wurden wurde ich schon zweimal Opfer - habe aber zum Glück immer mein Geld unter Vorbehalt zurückbekommen, war aber immer mit Schreiberei verbunden. Da die Betrüger logischerweise keinen Einspruch eingelegt haben, ist mir kein Schaden entstanden - waren immer kleine Beträge unter oder um die 50€, die nach einer Anmietung von Autos im Ausland dann Monate später abgebucht wurden, wahrscheinlich wurden hier die Daten abgegriffen. Bei kleinen Beträgen scheuen viele den Aufwand.
Deine Mami 27.02.2017
4. Echt jetzt?
Als Informatiker kann man diesen Artikel durchaus zerreißen, aber das möchte ich jetzt nicht, da es den zeitlichen Rahmen sprengt, der mir zur Verfügung steht. Nur eines möchte ich hier doch mal loswerden, denn es tut im Kopf weh, wenn man Sicherheit versprechen möchte, auf einem Kanal, der nicht sicher ist. Digitale Kommunikationswege haben wirklich viele Angriffsflächen. Nicht mal Verschlüsselung kann einen 100%igen Sicherheitseffekt garantieren, weil es diesen Effekt nie gegeben hat und es ihn auch nie geben wird. Er wird nur von Leuten immer wieder suggeriert, die mit ihrem Ratschlag Geld verdienen wollen. Letztendlich ist keine digitale Kommunikation sicher. Was tut man also, um Angreifern beim Banking kein Ziel zu geben? Richtig, man lässt diesen Blödsinn! Keine Transaktion ist es wert, über einen unsicheren Kommunikationsweg geleitet zu werden. Liebe Leute, Sicherheit ist nichts Relatives, sondern eine feste Konstante von 100%. Das darf man nie vergessen! Online-Banking war nich nie sicher, ganz egal, was kommerzielle Schreiberlinge einem auch weismachen wollen....
huebif 27.02.2017
5. Linux auf'm Smartphone?
Danke für den Tipp. soll auch bei manipulierten Geldautomaten helfen :-)
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2017
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.