Onlinebanking: Wie sich Verbraucher vor Betrügern schützen

04. November 2015, 14:44 Uhr · Quelle: klamm.de

Die steigende Verbreitung von Computern und mobilen Endgeräten lässt die Anzahl der Menschen, die das Onlinebanking nutzen, kontinuierlich steigen. Durch die wachsende Nutzeranzahl gibt es aber auch mehr Menschen, die von ihrer Naivität profitieren und sie betrügen möchten.

Laut dem Branchenverband BITKOM gibt es allein in Deutschland rund 37 Millionen Menschen, die Onlinebanking nutzen. Etwa jeder zweite Internetuser (45 %) tätigt seine Bankgeschäfte bereits online.

Angesichts der wachsenden Verwendung dieser Tätigkeit machen sich immer mehr Menschen Gedanken über das Thema Datensicherheit und -schutz. Insbesondere jüngere Endverbraucher zeigen Interesse, dass ihre Daten korrekt behandelt und sicher übermittelt werden.

Bei den aktuellen Bedrohungen zeigt sich eine große Anzahl an potenziellen Gefahren: Sie reichen über Man-in-the-Middle-Angriffe bis hin zu klassischem Phishing. Alle sind sie aber gleich gefährlich, denn sie zielen darauf ab, die Daten des Kunden abzufangen und auszunutzen. Aus diesem Grund müssen Verbraucher sich selbst vor potenziellen Angriffen schützen. Wie das geht, wird im Anschluss erklärt.

Als Inspiration für den nachfolgenden Artikel dient eine Checkliste zum Thema sicheres Onlinebanking von der VW-Bank.

Es gibt nicht die perfekte Lösung

Vorab eine klare Bemerkung: Die Suche nach der perfekten Onlinebankinglösung endet, bevor sie begonnen hat. Der Grund ist simpel: Es gibt sie nicht. Jeder Verbraucher hat eigene Anforderungen an einer solchen Lösung. Es kann keine allgemeine Empfehlung ausgesprochen werden, die in allen Fällen gültig ist. Aus diesem Grund werden im Anschluss Tipps und Informationen offeriert, die den Umgang mit Onlinebanking sicher gestalten sollen.

Der elementare Grundstein für das sichere Nutzen von Onlinebanking liegt darin, sich darüber bewusst zu werden, welchen Gefahren man ausgesetzt sein kann. Laut dem Bundeskriminalamt nahmen die Anzahl von Phishingattacken 2014 um 20 Prozent gegenüber dem Vorjahr zu. Der Diebstahl einer Identität kann verschiedenen Zwecken dienen. Die zwei Häufigsten lauten:

das Konto des Opfers wird leer geräumt
die Daten werden auf dem Schwarzmarkt veräußert

Der durchschnittliche Schaden einer solchen Attacke beläuft sich auf etwa 4.000 Euro.

Mobilebanking: Gezahlt wird inzwischen über das Smartphone

Onlinebanking konzentriert sich längst nicht mehr ausschließlich auf stationäre Geräte. Durch die Verbreitung von Smartphones entwickeln viele Banken spezielle Apps, die ihren Kunden den mobilen Zugang auf ihr Konto ermöglichen.

Durch die große Anzahl an Endgeräten und Betriebssysteme, mit denen sie laufen, entstehen verschiedene Herausforderungen: Banken nutzen unterschiedliche Technologien, die das mobile Onlinebanking ermöglichen. Gleichzeitig müssen sie ihre Apps für verschiedene Betriebssysteme entwickeln und aktualisieren. Auf Sicherheitslücken müssen sie schnell reagieren, damit Angreifer sie nicht ausnutzen können.

Beim Internetbanking ist grundsätzlich zwischen folgenden Methoden zu unterscheiden:

Browserbasiert: Die meisten Banken bieten ihren Kunden die Möglichkeit, ihr Konto über einen Webbrowser aufzurufen. Die Art der Authentifizierung ist von Bank zu Bank verschieden.
Softwarebasiert: Clientsoftware wird in Deutschland einheitlich über Financial Transaction Services (FinTS) ermöglicht.
Appbasiert: Spezielle Apps werden auf dem Endgerät (Smartphone oder Tablet) installiert. Die Funktionalität kann gegenüber den ersten beiden Methoden eingeschränkt sein.

Mobilebanking ist nur mit der ersten und dritten Methode möglich. Die Homebankingsoftware muss in der Regel auf einem Computer installiert werden.

Gefährdungsszenarien im Bereich Onlinebanking

Gefahren beim Onlinebanking manifestieren sich in unterschiedlichen Formen. Zunächst ist ein Unterschied zwischen der Sicherheit bei der Abwicklung am Endgerät sowie der Datenübertragung zwischen der Bank und dem eigenen System zu unterscheiden.

Bei browser- sowie clientbasierten Systemen wird die Übertragung verschlüsselt, sodass eine Manipulation nur schwer möglich ist. Folglich konzentrieren sich Angreifer auf die Endgeräte. Mit Viren, Keyloggern und Malware versuchen sie, die Zugangsdaten zum Onlinekonto abzufangen.

Eine weitere beliebte Angriffstechnik ist das sogenannte Phishing. Das Phishing erfordert die wenigsten Ressourcen und baut auf die Naivität des Kunden.

Phishing: Wenn die Naivität der Verbraucher ausgenutzt wird

Lieber Kunde, gestern kam es bei unserer Bank zu einem Serverausfall, sodass alle Kundenpasswörter gelöscht wurden. Um den Zugang zu ihrem Konto wieder herzustellen, teilen Sie uns bitte Ihr Passwort mit.

So oder so ähnlich kann der Inhalt einer simplen Phishing-E-Mail lauten. Gutgläubige Verbraucher denken sich nicht viel dabei und senden dem Absender ihr Passwort zu. Dieser benötigt keine weiteren Daten, um das Konto leer zu räumen oder zu verkaufen.

Die große Gefahr dieser E-Mails geht von ihrer Authentizität aus. Sie sehen echt aus, verwenden die korrekten Logos und auch der Absender wird gefälscht. Gegen solche Attacken hilft nur eine simple Regel: Keine Bank der Welt verlangt das Passwort seiner Kunden!

Täter immer raffinierter: mTan-Verfahren ausgenutzt

Ein aktueller Fall zeigt, Täter immer raffinierter werden. Kürzlich haben sie mithilfe von Spähstoftware Computer von Bankkunden infiziert und deren Zugangsdaten für ihr Onlinebanking ergattert. Aus dem Konto sammelten sie die Mobilfunknummer des Kunden und gaben sich gegenüber einem Mobilfunkbetreiber als Mitarbeiter eines Mobilfunkshops aus. Sie meldeten den Verlust einer SIM-Karte und gaben an, eine Ersatzkarte aktivieren zu wollen, um auf diese Weise die mTan zu erhalten. Mithilfe der mTan konnten sie Überweisungen tätigen und das Geld des Geschädigten extrahieren.

Dieser Fall demonstriert, dass sich Bankkunden nicht nur gegen Phsihing-E-Mails schützen müssen. Indem sie ihr System frei von schädlicher Software halten, können sie Angreifer abwehren: