Aktuelles Girokonto -

"Sie haben eine digitale Valentinskarte erhalten." Wenn solche E-Mails ins eigene Postfach eintrudeln, erscheint das natürlich zunächst verlockend. Doch dann wird es meist weniger romantisch. Denn anstatt die schwülstigen Liebesschwüre eines geliebten Menschen zu lesen, wartet nicht selten ein digitaler Zombie darauf, per Mausklick zum Leben erweckt zu werden. Vergleichsweise harmlose Schädlinge beschränken sich darauf, den PC lahmzulegen. Richtig gefährlich wird es jedoch, wenn die durch den arglosen Nutzer freigesetzten Schadprogramme sensible Daten, wie beispielsweise Details zum Girokonto, ausspähen.

So ähnlich ist es einem 38-Jährigen aus der bayerischen Oberpfalz ergangen. Der Bankkunde hatte eine Überweisung per Online-Banking getätigt und wurde aufgefordert einen weiteren Transaktionscode (TAN) einzugeben. Er kam dieser offiziell aussehenden Aufforderung arglos nach. Ein fataler Fehler, denn diese Meldung war vermutlich das Werk eines "Trojaners", der sich in den PC des Nutzers geschleust und die TAN nach draußen weitergegeben hatte. Wenige Tage später kam das böse Erwachen: Das Girokonto war um mehr als 3.500 Euro erleichtert worden – aufgrund einer höchst dubiosen Überweisung nach Großbritannien. Die hatte der Bankkunde allerdings niemals getätigt.

Daheim gilt die gleiche Vorsicht wie am Geldautomat

Beim Online-Banking reicht die Angebotspalette vom bloßen Abfragen des Kontostands über die Durchführung von Überweisungen und die Einrichtung von Daueraufträgen bis hin zu individuellen Auswertungen der Kontobewegungen. Mittlerweile gibt es Banken, die gar keine Filialen mehr unterhalten, sondern ihre Geschäfte nur noch über elektronische Kommunikationswege abwickeln. So wie man am Bankschalter oder beim Geldautomaten darauf achten sollte, dass Gespräche oder die Eingabe von Kennwörtern und PINs nicht von Fremden mitverfolgt werden, ist auch im Internet Vertraulichkeit oberstes Gebot – das gilt im besonderen Maße für die TANs.

Jeder dritte Deutsche und damit 54 Prozent der Internet-Nutzer wickeln inzwischen Bankgeschäfte online ab. Eine durchaus lukrative Einnahmequelle für Straftäter, die über immer ausgereiftere technische Methoden verfügen. Das so genannte Phishing ("Abfischen von Passwörtern") sei durch die ständige Zunahme des Online-Verkehrs bereits zum "weit verbreiteten Kriminalitätsphänomen" geworden, so ein Sprecher des bayerischen Landeskriminalamtes.

Viele Verbraucher lassen sich von durchaus häufigen Schlagzeilen zum Thema Phishing ins Bockshorn jagen. Wie die Trendstudie "Bankpräferenzen" des Consultinghauses PPI AG herausgefunden hat, ist offenbar das angeblich "zu hohe Risiko" ein gewichtiger Unsicherheitsfaktor für viele. Vier von zehn "Internet-Banking-Verweigerern" fürchten etwa, dass die Kreditinstitute keine Haftung bei Online-Geschäften übernehmen. Noch dieses Jahr tritt jedoch hierzulande eine EU-Richtlinie in Kraft, bei der Internet-Nutzer nur bei grober Fahrlässigkeit haften – und das zusätzlich nur begrenzt bis zu einer Höhe von 150 Euro.  

Die technischen Verfahren werden immer sicherer gemacht. So wird das iTAN-Verfahren von einigen Banken bereits durch ein Kartenlesegerät mit digitaler Signatur ersetzt. Laut der Studie "Bankpräferenzen" böten außerdem TAN-Generatoren und SMS-TAN erheblich mehr Sicherheit bei Online-Transaktionen. 

Spionage-Software sich gar nicht erst installieren lassen

Der Bundesverband deutscher Banken (BDB) schreibt, dass der Kunde sich zunächst immer vergewissern sollte, mit wem er es zu tun hat. Vertrauliche Informationen sollte nur preisgeben, wer verlässlich weiß, dass es sich bei der Internetseite tatsächlich um die seines Kreditinstitutes handelt. Zum Beispiel sollten Abweichungen vom gewohnten Ablauf beim Online-Banking immer misstrauisch machen. Es gibt mehrere Methoden, an die Bankdaten der Kunden illegal zu gelangen.

Die eingangs genannte und besonders heimtückische Sonderform von Viren, die "Trojaner", lauert sehr oft hinter den bereits erwähnten falschen Valentinsgrüßen oder ähnlich präparierten E-Mails (etwa Mails, die in Aussehen und Inhalt jenen von Geschäftspartnern oder Banken gleichen). Entweder sind die infizierten Programme gleich an die jeweilige Mail angehängt und warten darauf, angeklickt zu werden.

Im erste Fall installieren sich die Schädlinge im Hintergrund und haben die Aufgabe "nach Hause zu telefonieren", also im Dienste von Unberechtigten gezielt persönliche Daten auszuspähen. So gelangen diese Straftäter in den Besitz von sensiblen persönlichen Daten wie Passwörter oder Zugangs- und Kreditkartennummern. Es kann oft Monate dauern, bis ein Anwender dieses schädliche Programm auf seinem System bemerkt.

Vorsicht vor TAN-Eingabe auf dubioser Webseite!

Im letzteren Fall wird das Opfer dazu verleitet, in der oft in nicht ganz fehlerfreiem Deutsch verfassten E-Mail auf einen Link zu klicken. Der leitet den Empfänger direkt auf einen fremden Server um. Laut dem Branchendienst antispameurope werden sie dort aufgefordert, Namen, Kontodaten und alle TAN-Nummern der aktuellen TAN-Liste einzugeben. Diese Links führen oft auf eine perfekt gefälschte Banken-Webseite. Gibt das Opfer dort nun seine vertraulichen Kontoinformationen ein (etwa weil er vorher dazu aufgefordert worden ist, eine "Aktualisierung" seiner persönlichen Daten vorzunehmen), "fischen" die Betrüger diese ab und greifen selbst auf das Konto zu.

Die Sparkassen und andere Geldinstitute haben wiederholt darauf hingewiesen, dass sie niemals per E-Mail zur Öffnung einer Website und Eingabe von Kontodaten auffordern würden. Die trotzdem immer wieder zu beobachtenden Phishing-Attacken lassen aber laut antispameurope darauf schließen, dass die Spammer und "Phisher" regelmäßig erfolgreich sind.

Die Banken, etwa die Ing DiBa empfiehlt Folgendes:

• Unter keinen Umständen die eigenen Internetbanking-Zugangsdaten herausgeben. 
• Die URL der eigenen Bank immer selbst in den Browser eingeben. Alternative: Ihr persönlich gespeichertes Lesezeichen bzw. Ihren Favoriten verwenden. Nie über einen Link in einer E-Mail ins Internetbanking des eigenen Geldinstituts gehen.
• Konto- und Zugangsdaten wie Passwörter oder PIN- und TAN-Nummern nie auf dem Rechner abspeichern.
• Sichere Passwörter verwenden. Besonders sicher sind Kombinationen aus Zahlen und Buchstaben, Groß- und Kleinschreibung.
• Keine öffentlich zugänglichen Computer, etwa in Internet-Cafés oder Hotels, für das Internetbanking nutzen.
• Sicherheitssoftware regelmäßig aktualisieren. Unbedingt Virenscanner einsetzen und kostenlose Anti-Spyware-Programme wie Ad-Aware nutzen.
• Keine Software aus unbekannten Quellen auf dem Computer installieren, vor allem nicht aus E-Mail-Anhängen.
• SSL-Verschlüsselung prüfen. Die Adresse des Internetbankings muss mit https://.... beginnen und das geschlossene Schloss-Symbol muss in der Statusleiste Ihres Browsers zu sehen sein. Wie Sie das SSL-Zertifikat bei der ING-DiBa auf Echtheit prüfen, erfahren Sie in einer kurzen Anleitung.
• Konten regelmäßig prüfen. Die ING-DiBa zeigt Ihnen außerdem im Internetbanking an, wann Ihr letzter Log-in stattgefunden hat.
• Internetbanking immer beenden durch Klick auf "Log-out".

Es gibt weitere zehn Sicherheitsregeln, die der BDB Bankkunden empfiehlt, etwa die Einrichtung von Firewalls oder den Download eines aktuellen Browsers. So hat der neueste Firefox z.B. einen integrierten Phishing-Schutz, der mit der Meldung "Vermuteter Web-Betrug" vor betrügerischen Webseiten warnt, die den Nutzer zur Herausgabe von Passwörtern verleiten wollen. Die kostenlose Ratgeber-Broschüre des BDB kann hier abgerufen werden.

Von Christian Minaty