HOME

Internetbetrug: Neue Technologien im Kampf gegen das Phishing

Das kriminelle "fischen" nach Bankdaten ist zu einer leidigen Alltäglichkeit geworden. Wie man den Kriminellen künftig das Handwerk legen wird, erklären Experten auf der Cebit.

Die Welle gefälschter E-Mails, mit denen Bankkunden zur Herausgabe ihrer Geheimzahlen gebracht werden sollen, hat sich in den vergangenen Monaten nicht abgeschwächt. Zur Abwehr solcher Angriffe stellt eine ganze Reihe von Anbietern auf der Cebit neue Technologien vor. "Es ist ein Wettlauf zwischen den Banken und den Internet-Kriminellen", sagte die Sprecherin des Bundesverbandes deutscher Banken (BdB), Kerstin Altendorf, der Finanz- Nachrichtenagentur dpa-AFX. "Die so genannten Phishing-Emails werden sukzessive weiter verfeinert. Die Geschichten werden immer schlüssiger, das Deutsch wird besser."

Was bedeutet "Phishing"

"Phishing" steht für das Fischen nach Passwörtern. Dabei erhalten Bankkunden eine E-Mail, die den Anschein erweckt, von ihrem Kreditinstitut zu sein. Die Empfänger werden aufgefordert, sich über einen angezeigten Link auf eine imitierte Bankseite zu begeben und dort sensible Daten wie etwa ihre Kontonummer oder PIN einzutragen. Mit den so "abgefischten" Daten versuchen die Betrüger dann, die Bankkonten der Opfer abzuräumen. Für die Online-Banking-Nutzer gibt Altendorf Entwarnung: "Wenn die Kunden die Sorgfaltspflichten beachten, sind sie auf der sicheren Seite."

Waren zunächst vor allem die großen Institute betroffen, sind es nun die Volks- und Raiffeisenbanken sowie die Sparkassen. "Banken in kleineren Ländern und die Kunden kleinerer Institute geraten zunehmend in den Fokus, weil sich die Großen immer besser schützen", sagte die Branchenexpertin Martha Bennett von Forrester Research.

Die Anti-Phishing Working Group (APWG) hat im Dezember vergangenen Jahres weltweit 7197 Phishing-Sites gezählt - deutlich mehr als in den beiden vorangegangenen Monaten. Wie der Interessenverband der von den Angriffen betroffenen Unternehmen im Februar mitteilte, waren die in betrügerischer Absicht eingerichteten Websites durchschnittlich 5,3 Tage online. Die Zahl der gemeldeten Phishing-Fälle ging dagegen auf 15 244 zurück. Betroffen waren in erster Linie Finanzdienstleister (89,3 Prozent). Daneben richteten sich die Phishing-Attacken auch gegen Internet-Anbieter (5 Prozent) und Einzelhändler (2,5 Prozent).

Spear-Phishing

"Dabei rückt das 'social engineering' in den Vordergrund. Phishing-Emails werden nicht mehr an Hinz und Kunz verschickt, sondern es wird versucht, so viel wie möglich an lokalem Wissen und Zusammenhängen einzubinden", sagte Bennett. "Nachdem Hacker Email- Listen einer Universität gestohlen hatten, schrieben sie in der Annahme, dass die Studenten ihr Konto bei einer Bank in der Nähe der Hochschule haben würden, Phishing-Mails im Namen der Universität. Darin wurden die Studenten auf den Datenklau aufmerksam gemacht und gebeten, ihre Kontodaten zu überprüfen - und dafür ihre Daten auf der natürlich gefälschten Website der Bank einzugeben." Auch dafür hat die Branche schon ein neues Schlagwort: Spear-Phishing.

Dem britischen Finanzdienstleisterverband APACS zufolge haben sich die Verluste durch Betrug im Online Banking im vergangenen Jahr knapp verdoppelt: auf 23,2 Millionen britische Pfund (33,8 Mio Euro). Dies sei im Wesentlichen auf Phishing-Attacken zurückzuführen. Zum Vergleich: Die Verluste durch Kartenbetrug beim Einkauf im Internet oder am Telefon beliefen sich im gleichen Zeitraum auf 183,2 Millionen Pfund. In Deutschland werden von der Branche keine vergleichbaren Zahlen veröffentlicht.

"Technisch hat sich auf der Angreiferseite nicht viel getan", sagte Bennett. "Die von den Kriminellen eingesetzten Tricks sind alle zehn bis fünfzehn Jahre alt." Die direkten Verluste durch Phishing, die Aufzeichnung von Tastatureingaben durch bösartige Software (Keystroke-Logging) und die Weiterleitung auf andere Websites (URL- Redirecting) seien nach wie vor minimal und die Einführung einer neuen Sicherheitstechnologie wäre zum jetzigen Zeitpunkt für die Banken meist teurer, als die Verluste schlicht und einfach zu ersetzen.

"Aber für die Banken ist es peinlich, wenn die persönlichen Daten der Kunden in die falschen Hände geraten", sagte Bennett. "Die Bank muss es merken, wenn solche Angriffe erfolgen und nach Möglichkeit verhindern." In Deutschland führen immer mehr Banken die indexierte Transaktionsnummer (iTAN) ein. "Insgesamt beobachten wir ein Festhalten der Kunden am PIN/TAN-Verfahren, das ja auch sicher ist, wenn die erforderliche Sorgfalt eingehalten wird", sagte Altendorf.

IP-Adresse ein möglicher Schlüssel

"Man will den Kunden nicht mit Geräten und Passwörtern überlasten", sagte Bennett. "Mehr und mehr Firmen tummeln sich auf diesem Gebiet und es herrscht große Verwirrung bei den potenziellen Abnehmern im Finanzdienstleistungsbereich." Es gebe großes Interesse an Methoden, um die IP-Adresse dessen, der sich anmeldet, mit der üblichen IP-Adresse des Kunden zu vergleichen, und Veränderungen der IP-Adresse während einer Sitzung wie etwa bei einer so genannten Man- in-the-Middle-Attack zu erkennen. Bei einem solchen Angriff versucht ein Außenstehender, eine Online-Banking-Sitzung zu übernehmen.

"Profiling Software könnte einen zum Beispiel die Stromrechnung aus dem Urlaub in Florida bezahlen lassen, aber keine Änderung der Anschrift dulden", erklärte Bennett. "Mit Hilfe solcher Instrumente wäre dann vielleicht für Überweisungen an Familienangehörige vom PC zuhause aus keine TAN mehr nötig."

Mit Technologie allein wird das Problem allerdings nicht zu lösen sein. "Es ist die Kombination von Technik und Prozess, die Sicherheit gibt", sagte Bennett. "Wenn man sich auf die Technik allein verlässt, wird es wahrscheinlich so kompliziert, dass man die Kunden vergrault."

Andreas Hippin/DPA / DPA
Kann ich mich auf Geschwindigkeitsanzeige FritzBox verlassen?
Hallo zusammen, erstmal herzlichen Dank für die Leute, die sich Zeit nehmen Fragen zu beantworten oder ihre Erfahrungen mit anderen teilen. Das ist oft hlifreich, wenn man sich nicht so auskennt. Ich hoffe, dass mir jemand weiterhelfen kann. Die Telekom hat hier nach langer und ersehnter Zeit schnelle Leitungen verlegt. Mitarbeiter waren auch zu Besuch da und auch nett:-) Sie wollten ja auch, dass ich von 1und1 wieder zurück wechsel. Das ist für mich in Ordnung und gehört zum Wettbewerb. Da jedoch die Mitarbeiter mir sagten, dass die Telekom für paar Jahre das Vorrecht hätte, könnte ich schnelles Internet nur über Telekom beziehen. Sprich entweder Telekom und schnelles Internet oder langsames Internet. Da habe ich im Internet recherchiert und rausgefunden, dass das so nicht mehr stimmt. Das war der Grund, warum ich dann bei 1und1 DSL100 abgeschlossen habe, da man mir am Telefon gesagt, dass es ohne Probleme möglich wäre. Nun ist es jedoch so, dass wir gar nicht so merken, dass unser Internet schneller ist. Gerade in der oberen Etage kann man nicht ohne Router surfen oder Sky über Internet Fernsehen. Nun meine Frage: Bei der Fritzbox wird es jedoch angezeigt. Kann ich mich drauf verlassen? Oder wie macht ihr eure Messungen? Ich weiss, dass es Software gibt, aber der feste Rechner ist bereits alt und hat einen alten Internet Explorer drauf. Wenn ich mit einem Laptop im Wlan mich reinhänge, wird sicher die Geschwindigkeit sowieso niedriger und nicht verwertbar sein, oder? Vielen Dank für die Antworten.