taz_archiv_535183705884

Ein Passwort geht ins Netz

Betrüger locken immer wieder Kunden von Banken auf gefälschte Websites und erschleichen dort ihre Passwörter. Die leichtgläubigen User könnte nur eins schützen: ein besseres Sicherheitssystem

VON NIKLAUS HABLÜTZEL

Mit der üblichen Verspätung von etwa drei Monaten hat die neuste Mode des Internetbetrugs aus den USA auch Deutschland erreicht. Sie heißt sinnfällig „Phishing“ – das Wort ist aus „Password“ und „Fishing“ abgeleitet – und erfordert keine nennenswerten technischen Kenntnisse, weil sie mit der Dummheit unerfahrener Netzbenutzer rechnet. Der Betrüger lässt seinen Computer ein paar hunderttausend Mails an zufällig erzeugte Adressen schicken. Die Wahrscheinlichkeit, dass einige tatsächlich ankommen, ist recht groß. Dem Empfänger wird mitgeteilt, dass seine Bank oder sonst ein Onlinebezahldienst seine Daten überprüfen müsse. Er möge daher den Link für eine Website anklicken, die ihn nun auffordert, eine Eingabeform für seinen Namen sowie seine PIN-Nummer und die nächste, unverbrauchte Nummer auf seiner TAN-Liste abzusenden.

US-amerikanische Banken, allen voran die Citibank, die von über 90 Prozent der Phishing-Attacken betroffen ist, schätzen den inzwischen aufgelaufenen Schaden auf Milliardenhöhe. Eine Arbeitsgruppe glaubt, dass etwa 5 Prozent der Kunden die gefälschten Anweisungen befolgen. Natürlich werden ihre Daten nicht dem Geldinstitut übermittelt, das diese schon im eigenen Sicherheitsinteresse niemals auf eine derart unsichere Weise überprüfen würde. Sie landen vielmehr bei dem Betrüger, der nun vollen Zugriff auf das Konto des Empfängers hat – entscheidend dafür ist die TAN-Nummer, die nur in Verbindung mit der individuell für jeden Kunden erstellten Nummernliste gültig ist.

Dieses technisch simple Verfahren schien bisher ausreichend sicher. Aber es schützt offensichtlich nicht vor der Leichtgläubigkeit der Nutzer. Deutsche scheinen deutlich skeptischer als Amerikaner zu sein. Erste Opfer in Deutschland waren Kunden der Deutschen Bank. Weil ihnen selbst Zweifel kamen und die Sicherheitsabteilung der Bank bereits über massenhaft verbreitete gefälschte Phishing-Mails informiert hatte, konnten die Transaktionen gestoppt werden, und die gefälschte Website wurde umgehend geschlossen. Im Juni wurden vereinzelte Fälle bei den Volks- und Raiffeisen-Banken gemeldet, am Wochenende wurde eine betrügerische Abbuchung von 21.000 Euro bei der Postbank bekannt. Sie war von der Sicherheitsabteilung wegen ihrer ungewöhnlichen Höhe angehalten worden. Ein anderer Postbankkunde konnte eine gefälschte Überweisung von 9.000 Euro selbst widerrufen.

Den ermittelnden Staatsanwälten sind keine materiellen Schäden bekannt. Mögliche Täter allerdings auch nicht, einige Spuren führen nach Russland – die nötigen Mail- und Webadressen können heute überall bei völlig unverdächtigen Anbietern kurzfristig unter falschen Namen und Postanschriften eingerichtet und ebenso schnell wieder gelöscht werden.

Sicherheit kostet Geld

Weil Phishing-Betrüger – anders als Virenhacker – keine technischen Tricks anwenden, ist ihnen mit technischen Lösungen allein nicht beizukommen. Eher hilflos verweist etwa die Postbank auf die Verschlüsselung der Kundendaten auf ihrer echten Website und das Sicherheitszertifikat, das mit einem Mausklick auf das winzig kleine Schlosssymbol am unteren Fensterrand des Browsers anzuklicken sei. Beides fehlt bei der Fälschung, aber wer nur annähernd versteht, was ein „128-Bit-Schlüssel“, „SSL“ und ein „Sicherheitszertifikat“ ist, wird vermutlich niemals auf die Idee kommen, auf eine unverlangt angekommene Mail hin seine TAN-Nummer abzuschicken: Er könnte ebenso gut dem Tischnachbarn in der Kneipe seine Kreditkarte samt Geheimnummer übergeben.

Dennoch sind derart naive Kunden nicht ganz auszuschließen – und weil die Phishing-Methode gute Aussichten hat, zum Volkssport für Kleinkriminelle zu werden, werden die Banken wohl kaum umhinkönnen, ihr uraltes TAN-System durch bessere Lösungen zu ersetzen. Bloße Verbesserungen der Software und der Datenübertragung genügen nicht. Wenn sie nicht von Hackern geknackt werden, scheitern sie schlicht daran, dass zu viele sie nicht verstehen. Nach Meinung aller Fachleute bietet einen seriösen, der Kreditkarte vergleichbaren Schutz nur ein persönlicher Sicherheitscode, der auf einer von der Hardware des Computers getrennten Karte gespeichert und nur mit einem speziellen Lesegerät eingegeben werden kann. Die Technik dafür ist längst ausgereift, die Banken scheuten aber bisher die Kosten eines solchen Systems: Um ihre Onlinekunden zu behalten, müssten sie ihnen die erforderlichen Lesegeräte nämlich umsonst zu Verfügung stellen.