Viele arglose Bankkunden fallen auf immer neue Tricks von Cyberbetrügern rein. Die Betrugsmaschen gehen häufig zu Lasten der Banken.
Christian Ohde | dpa
Banken und Finanzinstitute sind nach wie vor lohnende Ziele für Cyberkriminelle und dabei sind immer auch die Privatkunden im Fokus, die Online-Banking Services nutzen. Sie sehen sich seit einigen Jahren mit einer Welle von so genannten Microsoft Scams konfrontiert. Dabei handelt es sich um eine Betrugsmasche, bei der sich Kriminelle als vermeintliche Support-Mitarbeiter großer IT-Firmen ausgeben und dem Nutzer kostenpflichtige "Dienstleistungen" verkaufen. Die Beträge, die von den Hintermännern ergaunert werden, gehen in die Millionen.
Laut einer Studie von McAfee beläuft sich der durch generelle Cyberangriffe verursachte jährliche Schaden weltweit auf rund 445 Milliarden US-Dollar, davon in Deutschland etwa 64 Milliarden US-Dollar. Der Branchenverband Bitkom bezifferte 2015 in einem Report den Schaden für Deutschland auf rund 51 Milliarden Euro. 2.175 Fälle von Phishing im Onlinebanking in Deutschland erfasste letztlich das BKA für 2016. Der Schaden und vor allem der Ärger der Kunden sorgen für ein negatives Image des Online-Bankings und viele halten es nur für bedingt sicher.
Wo liegen Schwachstellen und Angriffspunkte?
Deshalb suchen Banken nach Wegen, um das Online-Banking gleichzeitig sicherer aber auch für ihre Nutzer einfacher zu gestalten. Leider erfordern viele gängige Sicherheitsmaßnahmen vom Kunden, dass er sich mit Informationen einloggt, die er über ein zweites Gerät, etwa einem Token, zugespielt bekommt. Das ist zum einen umständlich und zum anderen zeitaufwendig. Leider ist es ab und zu auch schlecht gemacht, so kann beispielsweise bei einem Microsoft Scam ein mehrstufiges Authentifizierungsverfahren wie ein TAN-Verfahren nicht sicher genug sein. Die Cyberkriminellen loggen sich direkt in die Session ein und fangen die TAN-Eingabe einfach über ein Remote-Access-Tool ab – Stichwort ist hier der Man-in-the-Browser-Angriff. Mit den abgefangenen Daten führen die Täter dann den Betrug durch.
Replay-Attacken basieren "auf der Wiedereinspielung von vorher gesammelten Daten für die Authentifizierung und die Zugriffskontrolle", so erklärt es das Info-Portal IT Wissen. Der Angreifer arbeite mit Identitätsdiebstahl und benutze dabei die erfassten Daten, mit denen er eine fremde Identität vortäuscht. Mit dieser greift er dann auf Ressourcen und Datenbestände zu. Der Angriff auf die Authentifizierungs- und Zugangsdaten könne über einen Man-in-the-Middle-Angriff erfolgen.
Übertragen auf das Online-Banking heißt das, dass die Session in der der Privatnutzer seine Transaktionen durchgeführt hat, wieder eröffnet wird und der Angreifer sich mit den alten Daten Zugriff verschafft, die im Cache des Browsers zwischengespeichert wurden. Alles, was die Angreifer tun müssen, ist über eine Remote-Verbindung einen Trojaner und einen Keylogger installieren, um alle Tätigkeiten des Nutzers auszuspionieren.
Kriminelle Telefonanrufe angeblicher Service-Mitarbeiter
Bei diesen kriminellen Aktivitäten handelt es sich um Telefonanrufe, die von angeblichen Microsoft-Mitarbeitern durchgeführt werden und den Nutzer des Online-Bankings auf angebliche Vireninfektionen oder Probleme mit der Windowsinstallation aufmerksam machen. Dabei installieren sie über Remote-Programme wie Team Viewer die Schadsoftware auf den Rechnern der Opfer und halten über das Internet eine konstante Verbindung. Der Trojaner informiert die Cyberkriminellen, wenn der Nutzer in seinem bevorzugten Browser den Online-Banking-Service seiner Bank aufruft, und beginnt dann mit der Aufzeichnung der Zugangsdaten.
Die Bank haftet fast immer
Banken entstehen hier jedes Jahr Millionenverluste, denn nach § 675u BGB haftet der Zahlungsdienstleister für nicht autorisierte Zahlungsvorgänge. Zwar müssen Online-Banking-Nutzer nachweisen können, dass sie ein aktuelles Antiviren-Programm und eine Firewall aktiviert haben, doch nützen diese traditionellen Sicherheitsprogramme nichts gegen Microsoft Scams oder Schadsoftware, wie sie von Cyberkriminellen eingesetzt werden. Deshalb suchen Banken nach Wegen, um das Identitätsmanagement mit biometrischen Verfahren zu ergänzen oder die bisherigen TAN-Verfahren zu ersetzen.
Bei Banken ist im Privatkundenbereich noch vielfach ein TAN-Verfahren im Einsatz. Entweder über eine gedruckte Liste mit TAN-Nummern oder aber die TAN-Nummer wird per SMS auf ein Smartphone geschickt. Ein paar Verfahren setzen auch auf die Übermittlung per E-Mail. Andere Verfahren nutzen einen Chip-Kartenleser oder aber ein Gerät, dass automatisiert TAN-Nummern generiert. Beide Methoden sind sicherer als die TAN-Verfahren ohne externes Gerät, allerdings umständlicher, weil sie eben ein externes Gerät erfordern, dass nicht jeder automatisch griffbereit hat oder ständig mit sich führt.
Bedenken gegen biometrischer Authentifizierung
Immer wieder werden Projekte auch mit biometrischer Authentifizierung durchgeführt, allerdings wollen die wenigsten Nutzer, dass ihre biometrischen Fingerabdrücke, Handvenen oder Sonstiges bei der Bank gespeichert werden. Viele haben aufgrund des Datenschutzes Bedenken. Zwar wurde durch die Verbreitung des Fingerabdrucks zur Authentifizierung am eigenen Smartphone der eine oder andere Nutzer überzeugt, jedoch gibt es nach wie vor große Bedenken unter den Nutzern. Wobei die Nutzung des Fingerabdruckes im Smartphone meistens lokal passiert und mit dem Fingerabdruck lediglich ein Passwort freigeschaltet wird. Somit stellt diese Lösung auch nur eine vermeintlich höhere Sicherheit dar.
Ein Verfahren, dass bei vielen Banken in Europa im Einsatz ist, ist die automatisierte Analyse des Tippverhaltens des Bankkunden. Hierbei muss der Nutzer nach wie vor in seinem Browser den Online-Banking-Service aufrufen und seinen Benutzernamen sowie ein Passwort eingeben. Doch anders als bei anderen Verfahren muss er dann nichts mehr tun, um sich einzuloggen – ohne externe Geräte und ohne zusätzlichen Aufwand beim Nutzer.
Technik erkennt das Tippverhalten des Nutzers
Die Lösung ist für den Endkunden völlig transparent. Anhand seines Tippverhaltens erkennt eine intelligente Software, ob es sich beim Eingeloggten auch tatsächlich um den User handelt, der er vorgibt zu sein. Weiterhin wird geprüft, ob es sich um einen echten Nutzer handelt oder um eine Maschine. Darüber hinaus erkennt die Software auch, ob eine Remote-Verbindung via TeamViewer oder anderer Programme besteht, um sicherzustellen, dass kein Betrug vorliegt. Während der kompletten Session wird ein Scoring berechnet und das Verhalten des Benutzers bewertet, damit beim Absenden einer Transaktion sicher ist, ob dies rechtmäßig ist.
Banken und gerade Sparkassen sollten daher in Nachfolger für die aus der Zeit gefallenen TAN-Verfahren investieren, wie etwa in Identitätsmanagement-Lösungen, die den Nutzern das Einloggen so einfach wie möglich und sicher wie nötig machen.
