Freitag, 29. März 2024

Archiv


Grauzonen im Internet

Phishing nennt sich eine Form des Identitätsdiebstahls. Dabei "fischen" Kriminelle per E-Mail oder mit Schadprogrammen nach PIN-Nummern von EC-Karten oder anderen sensiblen Daten ihrer Opfer. Die ahnen nicht, dass ihre PINs schon vor dem eigentlich Kartendiebstahl entwendet wurden.

Von Joachim Hagen | 17.04.2013
    Umfrage:
    "Die Cyberkriminellen haben ihre Energie auf das Web verlagert"
    "Es gibt kein hundertprozentiges sicheres Internet, das wird nie schaffbar sein."
    "Da konnten wir herausfinden, dass es einen illegalen Handel mit fremden PINs und Bankzugangsdaten gibt."
    "Sie öffnen einen Anhang und schon habe ich diese Schadsoftware auf meinem Rechner implementiert. Ohne dass ich das merke."
    "Eben hier sprechen wir von der Underground-Economy, die diese Daten, die missbräuchlich erlangt worden sind, wieder zum Kauf anbietet."

    Cyberkriminelle, geplünderte Online-Bankkonten, gestohlene Zugangsdaten - das Internet ist nicht mehr das unschuldige Computer-Wunderland von einst. Die Schattenseiten im Netz werden größer: die Grau-Zonen, in denen man damit rechnen muss, bestohlen zu werden. Um zum Opfer zu werden, muss man nicht mal einen Computer besitzen.

    Brigitte Heinlein:
    "Ich bin aus dem Auto gestiegen, habe schon zu Hause meine Handtasche in die große Einkaufstasche getan. Also habe sie nicht vor dem Auto öffentlich in die Tasche gesteckt."

    Brigitte Heinlein wird diesen Tag im November nicht so schnell vergessen. Die 59-Jährige will nur schnell in den Supermarkt.

    Brigitte Heinlein:
    "Nehme mir meinen Wagen, hänge meinen Beutel dran und gehe in den Supermarkt. Kurz vorm Kassenbereich treffe ich noch eine ehemalige Nachbarin. Gehe zur Kasse und will die Tasche rausnehmen und da war der Schreck groß."

    Die Handtasche ist weg. Und der Dieb auch. Brigitte Heinlein heißt in Wirklichkeit anders, aber ihren echten Namen möchte sie nicht im Radio hören. Nach dem ersten Schreck weiß sie erst gar nicht, was sie machen soll. Die anderen Supermarktkunden raten ihr, die Polizei zu rufen. Danach fährt sie sofort zu ihrer Bank, um die EC-Karte sperren zu lassen.

    Brigitte Heinlein:
    "Die Bank war ja auch bereitwillig dabei, aber ein paar Minuten zu spät. In dem Moment sieht sie vier Abbuchungen à 500 Euro. Das Geld war weg."

    Schaden bei EC-Karten-Phishing hängt am Kunden
    Aber das ist erst der Anfang. Die Bank weigert sich, Heinlein die 2000 Euro zu erstatten. Die Begründung: Der Dieb habe das Geld am Bankautomaten nur mit der richtigen PIN-Nummer abheben können. Deshalb müsse sie ihre PIN entweder auf der Karte vermerkt oder einen entsprechenden Zettel in der Handtasche gehabt haben. Sie habe es dem Dieb leicht gemacht, an das Geld zu kommen. Brigitte Heinlein weiß, dass das nicht stimmt.

    Brigitte Heinlein:
    "Vielleicht machen das ja manche Leute, aber bei mir war das nicht. Ich habe diese Nummer schon seit zehn Jahren im Kopf."

    Rechtsanwalt Ulrich Schulte am Hülse hat sich auf Fälle wie den von Brigitte Heinlein spezialisiert. In der Fachsprache nennt sich diese Form des Betrugs "Phishing", da die Kriminellen nach den persönlichen Daten ihres Opfers, wie Passwörtern oder PIN-Nummern, fischen. Die Masche der Betrüger ist immer dieselbe, erzählt Schulte am Hülse.

    Ulrich Schulte am Hülse:
    "Die technischen Abläufe bei solchen Fällen könnten sich so zugetragen haben, dass die PIN, die man ja braucht, um am Geldautomaten Verfügungen tätigen zu können, im Vorfeld abgefangen worden ist. Da gibt es verschiedene Varianten, wie die Täter vorgehen können. Wir haben mittlerweile aber auch festgestellt, dass solche PINs, die eben ausgefischt werden, die quasi im Hintergrund abgegriffen werden, dass mit diesen PINs Handel getrieben wird, und zwar illegaler Handel."

    Illegaler Handel mit PIN-Nummern im Netz
    Dieser illegale Handel findet im Internet statt, sagt Schulte am Hülse. Dort gibt es Web-Seiten, auf denen PIN-Nummern und andere persönliche Zugangsdaten angeboten werden, und zwar noch bevor die EC-Karten überhaupt entwendet wurden. Der Dieb braucht dann nur die Kontonummer der gestohlenen EC-Karten einzugeben und erhält die passende PIN. Der rechtmäßige Besitzer der EC-Karte ahnt nicht, dass seine PIN bereits vor dem Diebstahl der EC-Karte abgefischt wurde.

    Ulrich Schulte am Hülse:
    "Eine Möglichkeit ist, dass grundsätzlich auch Geldautomaten oder sogenannte Point-of-Sales-Terminals, also Zahlungsterminals, manipuliert werden können. Und dass es den Tätern auf diese Weise gelingt, an die PIN als auch an die auf der EC-Karte gespeicherten Daten zu gelangen."

    Der Schaden, der durch Kredit- und EC-Karten-Betrug entsteht, liegt bei etwa 30 Millionen Euro pro Jahr. Dazu kommt nach Schätzungen des Bundeskriminalamtes noch einmal ein Schaden von 26 Millionen Euro durch Betrug beim Online-Banking. Dies sei eine wachsende Bedrohung für die Nutzer des Internets, heißt es in einer Untersuchung des Bundeskriminalamtes zum Thema Internetkriminalität. Dieser gefährliche Teil des Internets, in dem Computer-Hacker und Betrüger ihren Opfern auflauern, das ist der dunkle Teil des Netzes. Hier gibt es Seiten, auf denen sich die Kriminellen darüber austauschen, welche Betrugsmasche die erfolgreichste ist, wer die beste Software anbietet, um fremde Computer auszuspähen?

    Natürlich gibt es auch das Internet, in dem gebrauchte Kinderwagen versteigert werden, in dem gespielt und gechattet wird. Aber inzwischen sieht es so aus, als werde der dunkle Teil des Interneta immer größer. Fast täglich werden Hacker-Angriffe auf Konzerne, Banken und Internet-Firmen gemeldet. Da werden Betriebsgeheimnisse gestohlen und Webseiten blockiert. Allerdings darf man nicht vergessen, dass es oft Sicherheitsfirmen sind, die auf die neuen Bedrohungen aufmerksam machen, die einen neuen Computer-Virus entdecken oder den Diebstahl Tausender von Passwörtern melden. Diese Firmen wollen ihre Sicherheitsprogramme verkaufen. Und was wäre eine bessere Werbung als die Entdeckung einer neuen Bedrohung?

    Trojaner spähen Daten aus
    Wie schnell das dunkle Internet der Hacker und Betrüger wirklich wächst, das erfährt Frank Müller täglich. Müller ist Leiter des Dezernats für Computerkriminalität beim Landeskriminalamt Schleswig-Holstein. Auf seinem Schreibtisch landen die Strafanzeigen der Menschen, die im Internet zu Opfern wurden. Große Sorgen machen ihm sogenannte "Trojaner": eine Schadsoftware, mit der Kriminelle fremde Computer kapern.

    Frank Müller:
    "Hier stellen wir fest, dass viele Bürger eine E-Mail erhalten. Dort ist ein Anhang drin. Sie öffnen diesen Anhang und schon kann ich diese Schadsoftware auf meinem Rechner implementiert haben - ohne dass ich das merke. Tätige ich dann eine Überweisung über das Online-Banking, dann kann es sein, dass ich nicht auf die Seite meiner Hausbank gelange, sondern auf eine andere Seite - ohne dass ich das merke. Und dann meine TAN-Nummer, die ich hier eingebe, ausgespäht wurde und missbräuchlich durch die Täter genutzt wurde."

    Mit dieser TAN kann der Betrüger hohe Geldbeträge von dem Konto des Opfers an einen Komplizen überweisen. 4000 Euro, schätzt die Polizei, so groß ist der durchschnittliche Schaden pro Betrugsfall. Und die Verfolgung der Täter ist schwierig, seufzt Müller.

    Frank Müller:
    "Die Erfahrung, die wir hier als Ermittlungsbehörde im LKA haben, ist, dass die Täter oftmals im Ausland sitzen, sie Anonymisierungssoftware einsetzen, so wo wir sehr schwer an den Hersteller, an den Versender dieser Schadsoftware gelangen. Diese Cyberkriminalität, die Erscheinungsform, die wir hier feststellen, ist international. Hier ist es erforderlich, mit anderen Ländern Informationen auszutauschen. Hierzu müssen wir uns der internationalen Rechtshilfe bedienen. Aber - auf den Punkt gebracht - hier haben wir zurzeit leider lange Informationswege."

    Im Klartext: Die Zusammenarbeit mit den Ländern, in denen sich die Betrüger befinden, ist miserabel. Dabei ist schon seit Langem bekannt, wo die Internet-Betrüger sitzen, sagt Waldemar Grudzien, der für Sicherheitsfragen zuständige Direktor beim Bundesverband deutscher Banken.

    Waldemar Grudzien:
    "Es gibt da so eine Zweiteilung der organisierten Kriminalität: Im Onlinebanking ist es der russische Sprachraum, vor allem Ukraine, Russland, Weißrussland, noch ein bisschen die baltischen Staaten. Bei der Karte ist es nicht ganz so weit im Osten, da sind es vor allem Bulgarien und Rumänien, die diese organisierte Kriminalitätsart Kartenbetrug anführen."

    Auch der Verband der Internetwirtschaft, Eco, weist immer wieder auf die Betrugs-Gefahr im Internet hin. Kurt Brand ist bei Eco für Sicherheitsfragen zuständig. Die Kriminellen, gibt er zu, haben in den vergangenen Jahren technisch große Fortschritte gemacht.

    Kurt Brand:
    "Das ist jetzt so, dass auf den Webseiten, die inzwischen alle Organisationen und Firmen haben, dass sich auf diesen Seiten Lücken befinden, diese Lücken werden genutzt, um dort Schadcodes, beispielsweise Trojaner, abzulegen. Und das kann man dann so machen, dass ein Nutzer, der nur die Seite anschaut, schon bereits infiziert werden kann. Sodass gar kein weiteres Klicken nötig ist. Also ist die Bedrohung im Web schwerwiegender, da wir uns alle anstecken können, also unseren Rechner anstecken, ohne dass wir irgendeine weitere Aktion ausführen."

    Erst vor Kurzem war der Deutsche Sparkassen- und Giroverband Ziel eines solchen Angriffs. Computer-Hacker hatten einen Trojaner auf der Internet-Seite "Sparkasse.de" versteckt. Allerdings seien die Seiten für das Online-Banking nicht betroffen gewesen - so die Versicherung des Sparkassen- und Giroverbands. Aber der Fall beweist, dass auch angeblich vertrauenswürdige Seiten zum dunklen Teil des Internet gehören können.

    Schuld liegt nicht automatisch beim Kunden
    Brigitte Heinlein, deren EC-Karte gestohlen wurde und deren PIN möglicherweise schon vor dem Diebstahl abgefischt worden war, sie will jetzt gegen ihre Bank klagen, damit die ihr den Schaden von 2000 Euro erstattet. Freiwillig sei die Bank dazu nicht bereit.

    Brigitte Heinlein:
    "Ja, es ist Eigenverschulden, sagt die Bank. Weil, ich hätte meine Nummer in der Handtasche gehabt oder auf die Karte geschrieben."

    Rechtsanwalt Ulrich Schulte am Hülse kennt diese Argumentation. Grundlage sei eine veraltete Rechtsauffassung, sagt er. Vor zwei Jahren habe der Bundesgerichtshof aber entschieden, dass nicht automatisch von einer Schuld des EC-Kartenbesitzers ausgegangen werden könne, wenn der Kartendieb auch die passende PIN habe.

    Ulrich Schulte am Hülse:
    "Es ist Aufgabe der Banken, die ja in diesem Fall Systemanbieter sind, für sichere Systeme zu sorgen. Der einzelne Bankkunde wäre damit auch heillos überfordert. Er kennt nur seinen eigenen Fall. Die Banken wissen ganz genau, wie viel Schadensfälle es pro Jahr gibt, welche Angriffsszenarien dem zugrunde liegen und die Banken sind im klassischen Sinne Systemanbieter. Das heißt, sie haben für sichere Verfahren zu sorgen."

    Diese Entscheidung des Bundesgerichtshofes kennen natürlich auch die Banken. Trotzdem müssen die geschädigten Kunden, wie Brigitte Heinlein, meist klagen. Erst im Laufe des Prozesses, so Schulte am Hülse, werde dann oft ein Vergleich erzielt. So würden die Banken ein Grundsatz-Urteil vermeiden, in dem die Sicherheit des EC-Karten-Systems infrage gestellt werden könnte. Und das, obwohl auch die Banken zugeben, dass der finanzielle Schaden durch das Ausspähen von Kreditkartendaten und Phishing beim Online-Banking nicht so hoch ist, wie allgemein vermutet. Etwa jeden zweiten Euro, den Betrüger so ergaunern, können die Banken wieder zurückholen, versichert Waldemar Grudzien vom Bundesverband deutscher Banken. Oder das Geld wird gar nicht erst losgeschickt, wenn die Überweisung nicht dem üblichen Verhaltensmuster des Bankkunden entspricht.

    Waldemar Grudzien:
    "Beim Online-Banking wird zum Beispiel geschaut, hat der Kunde bisher Geld ins Ausland überwiesen. Wenn er das bisher kaum oder nie getan hat und auch nicht in größeren Summen, so ab tausend Euro zum Beispiel, dann fragt die Bank nach, wollen Sie wirklich das Geld ins Ausland oder sogar ins außereuropäische Ausland überweisen. Dann wird ihre Zahlungshistorie angeschaut, haben Sie überhaupt jemals größere Beträge in den letzten Jahren überwiesen, ja oder nein? Wenn Nein, dann wird auch nachgefragt, kann das jetzt möglich sein, dass dieser Mensch 5000 Euro auf ein Konto überweisen will, das er bisher noch nie als Zielkonto benutzt hat."

    Trotzdem macht sich die Internetwirtschaft Gedanken darüber, wie Geschäfte im Netz sicherer gemacht werden können. Muss dafür das Netz besser überwacht werden, um Gefahren frühzeitig zu erkennen? Müssen die Banken ihre Sicherheitssysteme aufrüsten? Oder reicht es, die Nutzer besser über die Gefahrenquellen im Netz zu informieren und ihnen die Verantwortung für den Schutz ihrer Rechner zu überlassen? Für Kurt Brand vom Internetverband Eco geht es nicht nur um Online-Banking, sondern um jede Art von Bezahlvorgängen im Internet. Technische Sicherheitsvorkehrungen gibt es schon.

    Kurt Brand:
    "Um geschäftliche Transaktionen sicher zu machen und um die Kriminalität zu bekämpfen, brauchen wir natürlich auch Identifikation. Gerade wenn etwas eingekauft wird, wollen wir ja als Unternehmer auch wissen, mit wem haben wir es da zu tun. Und wenn wir das wissen wollen, müssen wir halt entsprechende Mechanismen einsetzen. Beispielsweise könnten wir das über den Personalausweis, den neuen, machen, weil der solche Mechanismen enthält. Aber dann müsste dafür gesorgt werden, dass es an jedem Platz, bei jedem Nutzer, der im Internet eine Transaktion auslöst, dass bei dem auch ein entsprechendes Lesegerät dafür vorgehalten wird."

    Solche Lesegeräte für den neuen maschinenlesbaren Personalausweis kosten zwischen 30 und 70 Euro. Das größte Interesse an der Verbreitung müssten eigentlich die Banken haben, um die Betrügereien beim Online-Banking zu bekämpfen. Aber bislang ist nicht geplant, die Bank-Kunden mit Lesegeräten für den neuen Personalausweis auszurüsten. Für das Online-Banking sei der neue Personalausweis nicht sicher genug, heißt es beim Bundesverband deutscher Banken.

    Die Antwort auf die Frage, ob man eine Aufrüstung des Internets für notwendig hält, ist abhängig von der persönlichen Einstellung: Wie optimistisch oder pessimistisch blickt man in die Zukunft? Wird die dunkle Seite des Internets weiter so schnell wachsen wie bisher? Oder ist das nur eine Übergangsphase? Kurt Brand vom Internetverband Eco gehört zu den Optimisten.

    Kurt Brand:
    "Wenn man mal zurückblickt, dann wurde das World Wide Web ja erst 1992 erfunden, und zwar für wissenschaftliche Zwecke. Und wenn man sich jetzt vorstellt, dass das Web erst 20 Jahre alt ist, in seiner modernen Ausprägung ja noch viel jünger, dann ist es klar, dass auch das Bewusstsein für Gefahren, der Umgang mit Gefahren, dass das noch in einem jungen Stadium ist."

    Aber dieses Stadium der Unerfahrenheit wird bald überwunden sein. Da ist sich Brand sicher.

    Kurt Brand:
    "Ich sehe das als einen Durchgangszustand an, genauso wie wir ja beispielsweise beim PKW hatten. Da haben wir viele Jahre gekauft, weil es bei einem einzelnen Modell vielleicht einen Airbag mehr gab als in einem anderen. Das sind heute keine Erwägungen mehr. Das heißt, wir sind aus dieser Phase heraus. Und ich glaube, dass das auch im Internet so sein wird, dass wir in vielleicht zehn Jahren zu einem Zustand kommen, der so eine Art inhärente Sicherheit hat und auch ein hohes Sicherheitsbewusstsein."

    Renaissance des normalen Phishings
    Brand ist zuversichtlich, dass die Angst vor Kriminalität im Internet in etwa zehn Jahren keine große Rolle mehr spielen wird. Waldemar Grudzien vom Bundesverband Deutscher Banken ist sich da nicht so sicher. Er vermutet, dass es Betrügern immer wieder gelingen wird, die Gutgläubigkeit und die Unkenntnis der Menschen auszunutzen.

    Waldemar Grudzien:
    "Was wir jetzt zum Erstaunen feststellen müssen: Nach den ganzen simplen Phishing-E-Mails 2004 bis 2007 in miserablem Deutsch und manchmal auch ein bisschen Englisch und dann ausgefeilteren Methoden mit trojanischen Pferden, gibt es jetzt wieder eine Renaissance des normalen Phishings. Wo simple E-Mails kommen mit halbwegs brauchbarem Deutsch und leider immer noch Kunden glauben, dass eine Testüberweisung kommen wird, oder glauben, dass ein Sicherheitszertifikat aktualisiert werden soll auf dem PC oder auf dem Smartphone. Ich glaube, dass diese Ausspionierungswellen immer die gleichen sein werden."

    Aber das ist kein Problem des Internets. Es sei nur das Medium, das die Betrüger nutzen, sagt Grudzien. Würde es das Internet nicht geben, würden die Kriminellen andere Möglichkeiten finden, ihre Opfer auszuspionieren. Auch der Datenschutzbeauftragte für Schleswig-Holstein, Thilo Weichert, will den Nutzen technischer Sicherheitsvorkehrungen nicht überbewerten. Betrüger werden immer einen Weg finden, solche Schutzmechanismen auszuhebeln. Aber eine stärkere Kontrolle des Internets durch die Polizei oder andere Behörden lehnt Weichert ab. Er spricht nicht von einem schwarz-weißen Internet, sondern von einem bunten. Darin müsse es auch möglich sein, sich unter dem Deckmantel einer falschen Identität zu bewegen.

    Thilo Weichert:
    "Die Möglichkeit für den User, im Internet anonym zu sein oder unter einem Pseudonym kommunizieren zu können, ist ganz wichtig, weil das, was man an freier Meinungsäußerung von sich gibt und das, was man kauft, und welche Buchungen man vornimmt, im Banken- und Versicherungsbereich an Transaktionen vornimmt, das soll nicht miteinander verknüpfbar sein. Denn es besteht die große Gefahr, dass alle Aktivitäten im Internet miteinander verbunden werden, Persönlichkeitsprofile erstellt werden, und die dann beim Abschluss eines Versicherungsvertrages oder was den Abschluss eines Kreditvertrages angeht, dann unter Umständen nachteilig vorgehalten werden."

    Das ist für Weichert eine der Gefahren des Internets, vor denen der Nutzer sich schützen müsse. Auch in Zukunft wird es kein vollständig sicheres Internet geben, da sind sich Weichert und andere Experten sicher. Aber vielleicht ist das auch gar nicht so erstrebenswert.