Georg Ehring: Immer mehr Menschen erledigen ihre Bankgeschäfte online. Viele Banken drängen ihren Kunden das Internet mit Gebühren für papiergestützte Überweisungen regelrecht auf, allen Sicherheitsbedenken zum Trotz. Eine neue Betrugsserie könnte den Trend zum Internet-Banking jetzt bremsen. Nach einem Bericht der "Süddeutschen Zeitung" beträgt der Schaden mehr als eine Million Euro und die Zahl der geschädigten Kunden liege im mittleren zweistelligen Bereich. - Über die Sicherheit des Online-Banking möchte ich jetzt sprechen mit Tim Griese vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Guten Tag, Herr Griese.
Tim Griese: Guten Tag, Herr Ehring.
Ehring: Herr Griese, zunächst zum aktuellen Fall. Hier haben Betrüger ein Verfahren geknackt, bei dem die Überweisung am Computer ausgeführt und die Transaktionsnummer per SMS auf das Handy geschickt wird. Können Sie sagen, wie so etwas möglich ist?
Griese: Ja. Grundsätzlich ist das eigentlich ein Verfahren, was wir durchaus empfehlen, das SMS-TAN-Verfahren, weil dort zwei Übertragungswege normalerweise genutzt werden. Ich mache an meinem eigenen Rechner die Online-Banking-Anwendung auf, gebe dort die Sachen ein und bekomme dann auf mein Handy von der Bank die TAN geschickt, die ich dann dort eingebe, um die Überweisung oder die Transaktion abzuschließen. Im Prinzip ist das ein gutes Verfahren. Jetzt ist es hier aber wohl Angreifern gelungen, über zwei Zugangswege im Prinzip die Informationen zu erhalten, die sie brauchen, um dort Überweisungen auf eigene Rechnung machen zu können.
"Nutzer muss sich vor Schad-Software schützen"
Ehring: Haben denn in solchen Fällen die Kunden Mitschuld? Haben die da irgendwie nicht aufgepasst?
Griese: Die haben insofern nicht aufgepasst, als sie ihren eigenen Rechner offenbar nicht ausreichend geschützt haben. Ein Teil dieses Angriffs besteht darin, dass der Angreifer den Rechner des Anwenders übernehmen muss, eine Trojaner-Software dort installieren muss, um an die Zugangsdaten zum Beispiel zu gelangen, oder auch an die Mobilfunknummer, die auf dem Rechner möglicherweise irgendwo gespeichert ist. Um diese Daten auszuspionieren, muss der Angreifer den Rechner des Nutzers mit einer Schad-Software infizieren, und dagegen kann ich mich als Anwender schützen, indem ich einige Maßnahmen ergreife, die eigentlich zum Standard gehören sollten, wenn ich mich ganz generell im Internet bewege.
Ehring: Und das wären, vielleicht noch mal kurz zur Wiederholung?
Griese: Das sind im Prinzip Basismaßnahmen wie ein aktueller Virenschutz. Es gehört dazu, die Software, die man hat, auf dem aktuellen Stand zu halten, das heißt, möglicherweise vorhandene Sicherheitslücken schnellstmöglich zu schließen mit den entsprechenden Updates der Hersteller. Es gehört dazu eine Firewall, es gehört dazu auch eine gewisse Aufmerksamkeit. Das Technische ist immer das eine; ich kann andererseits aber auch durch mein Verhalten einiges schon verhindern, indem ich misstrauisch bin bei verdächtigen E-Mails, die ich möglicherweise kriege, die mich auf Webseiten leiten wollen, oder wo Dateianhänge dran sind, die dann mit Schadsoftware infiziert sein könnten. Das ist nämlich genau der Weg, den die Angreifer wählen, um diesen Rechner zu infizieren.
"TAN-Generatoren sind empfehlenswert"
Ehring: Das sind dann sogenannte Phishing-Mails?
Griese: Genau. Phishing-Mails die zugegeben immer besser werden. Es ist nicht mehr so wie vielleicht vor einigen Jahren noch, dass man die sofort erkannt hat an schlechtem Deutsch, mieser Grammatik etc. Die werden immer besser. Das ist so, das beobachten wir schon länger. Trotzdem muss man ein gewisses Misstrauen walten lassen, bevor man dann auf Links oder auf Dateianhänge klickt.
Ehring: Gibt es denn noch sicherere Verfahren?
Griese: Ja, die gibt es. Es gibt die sogenannten TAN-Generatoren, die wir auch durchaus empfehlen, wenn man Online-Banking machen will, die dann immer bei der Transaktion selbst erst eine TAN generieren an meinem eigenen Rechner. Das ist ein Zusatzgerät, was ich dafür brauche, was aber auch meines Wissens die meisten Banken inzwischen anbieten.
Ehring: Tim Griese war das vom Bundesamt für Sicherheit in der Informationstechnik. Herzlichen Dank.
Äußerungen unserer Gesprächspartner geben deren eigene Auffassungen wieder. Der Deutschlandfunk macht sich Äußerungen seiner Gesprächspartner in Interviews und Diskussionen nicht zu eigen.