BKA meldet mehr "Phishing"-Fälle: Ferngesteuerte Rechner

Eigentlich weiß es inzwischen jeder Bank-Kunde und jeder Internet-Nutzer: Mails, die angeblich von einer Online-Bank oder einem Internet-Zahlungsanbieter stammen, sollte man mit Vorsicht genießen und im Zweifelsfall erst gar nicht anklicken. Gleiches gilt für die Eingabe von Zugangsdaten oder Kreditkartennummern in Web-Formulare auf dubiosen Websites: Dahinter steckt meistens ein "Phisher", der versucht, Nutzerinfos abzufischen und Konten leer zu räumen.

Doch trotz aller Warnungen besteht das Problem weiter. Aktuellen Zahlen des Bundeskriminalamtes (BKA) zufolge stieg die Zahl der gemeldeten "Phishing"-Fälle 2007 um weitere 20 Prozent. 4200 davon musste das BKA im vergangenen Jahr bearbeiten - 700 mehr als im Vorjahr, wie BKA-Chef Jörg Ziercke am Wochenende der "Neuen Osnabrücker Zeitung" sagte.

Auch die Schäden steigen deutlich: "2006 lag die Schadenshöhe im Durchschnitt noch bei 2500 Euro, jetzt sind es schon 4000 bis 4500 Euro pro Phishing-Fall." Das Potenzial für Internet-Betrug sei weiter hoch: Nach Schätzungen seien allein in Deutschland über 750.000 PCs mit Schadsoftware infiziert. "Etwa 150.000 Rechner werden von Kriminellen unbemerkt ferngesteuert", sagte Zierke. Verwendet werden die "entführten" Computer zum Versand von Spam oder für Hackangriffe, aber auch zum Erspähen von Bankdaten.

Der Grund für die Zunahme der Phishing-Fälle ist Experten zufolge vielfältig. Einerseits liegt es an Nutzern, die nicht vorsichtig genug vorgehen - da immer mehr IT-Neulinge ins Netz strömen, macht es hier offenbar die schiere Masse. Andererseits ist die Technik keineswegs perfekt - wer seinen Windows-R nicht ständig mit Updates und frischen Virendefinitionen auf dem neuesten Stand hält, hat sich leicht einen Schädling eingefangen, der das Abfischen der Daten dann im Hintergrund erledigen kann, ohne dass man davon etwas mitbekommt. Dennoch halten sich die Beschwerden im Online-Banking-Bereich bei den Verbraucherzentralen offenbar noch in Grenzen.

Bei der VZ Hamburg sagte man auf Nachfrage von taz.de, die Zahl der dort gemeldeten Fälle sei vergleichsweise gering. Ein möglicher Grund dafür könnte sein, dass die Banken sich verhältnismäßig kulant zeigten und Unregelmäßigkeiten intern regeln: "Sonst könnten die ihr Online-Banking womöglich dichtmachen", sagte eine Sprecherin. Bei EC-Karten-Betrug und dem Verschwinden von PIN-Nummern sähe man aber viel mehr Probleme. Die Berliner Verbraucherzentrale berichtet ebenfalls nur von vergleichsweise wenigen Fällen, in denen sie eingreifen musste - auf Vermittlung der Verbraucheranwälte war es allerdings möglich, die betroffene Bank zur Rücküberweisung zu bewegen.

Das Phishing wird erleichtert, wenn Banken, Sparkassen und Online-Zahlungsanbieter ihre eigenen Systeme nicht ausreichend absichern oder es unentdeckte Lücken gibt. Und das betrifft längst nicht nur die kleinen Anbieter: In der vergangenen Woche wurde bekannt, dass das Online-Banking der Postbank, der hiesigen Nummer eins im Web-Geschäft, ein potenziell gefährliches Sicherheitsloch aufweist. Laut einem Bericht des Senders "SWR3" ist es möglich, durch das einfache Kopieren einer Internet-Adresse Zugriff auf Bankdaten auch von einem Rechner aus zu erhalten, von dem man sich gar nicht mit Kontonummer und Passwort eingeloggt hat. Dazu muss das Opfer dem Angreifer allerdings die aktuell in der Adresszeile angezeigte Seite (URL) übermitteln (etwa durch das Versenden des im Browser angezeigten Kontoauszuges als Mail-Quittung) oder diese auf anderem Weg "abgesaugt" werden, beispielsweise durch einen Online-Schädling.

So lange das Opfer sich nicht offiziell vom Postbank-Banking abgemeldet hat, kann ein Angreifer dann von außen in den Bankdaten wühlen und etwa Kontostand oder jüngste Kontobewegungen abfragen - es wird technisch offenbar nicht kontrolliert, ob es sich um den selben Rechner handelt, der sich zuvor authentifiziert hatte. Zum Glück ist allerdings das Durchführen von Aufträgen oder Überweisungen auf diese Art nicht möglich, weil hierzu noch zusätzlich TAN-Sicherheitsnummern benötigt werden. Aber auch auf die haben es Phisher mit ihren Mails stets abgesehen - "Kombiattacken" speziell auf Postbank-Kunden wären also denkbar. Die Postbank arbeitet deshalb derzeit fieberhaft daran, das Problem zu lösen - schließlich hat sie einen guten Ruf zu verlieren und bislang stets die neuesten Sicherheitsmaßnahmen implementiert. Wer auf Nummer sicher gehen will, sollte niemals Online-Banking-Adressen oder Quittungen aus dem Browser per Mail versenden und sich stets nach den Bankgeschäften mit einem Klick auf "Beenden" ausloggen. Dann lässt sich die Kontositzung auch nicht mehr entführen.