Banken und Kunden gemeinsam gegen Phishing

Banken und Kunden gemeinsam gegen Phishing

Die Zahl der Betrugsfälle durch so genanntes Phishing, dem Ausspähen von persönlichen Kontoinformationen mittels E-Mails mit gefälschten Absendern und präparierter Webseiten, steigt weiter an. Neben den Kunden sind von den Attacken der Internetbetrüger besonders Banken und Finanzdienstleister betroffen. Sie können auf die Cyberattacken jedoch zumeist nur reagieren, da es noch keine umfassenden Schutzmaßnahmen und Sicherheitslösungen gibt. Um das Vertrauen ihrer Kunden bei der Abwicklung von Online-Bankgeschäften nicht zu verlieren, müssen Banken handeln und gemeinsam mit ihren Kunden neue Wege gehen. Olaf Lindner, Sicherheitsexperte bei Symantec, skizziert die aktuelle Bedrohungslage und erläutert, wie Banken Phishing in den Griff bekommen können.

Herr Lindner, Phishing, der Passwortklau per E-Mail, ist ein Phänomen, das seit längerer Zeit heiß diskutiert wird. Welche aktuellen Trends sind hier zu beobachten?
Lindner: Der aktuelle Sicherheitsreport von Symantec zeigt, dass sich der Aufwärtstrend weiter fortgesetzt hat. So hat sich weltweit die Zahl der täglich verschickten Phishing E-Mails im zweiten Halbjahr 2005 im Vergleich zum ersten Halbjahr von 5,70 auf 7,92 Millionen weiter erhöht. Die Zahl der von Symantec geblockten Phishing-Mails ist im gleichen Untersuchungszeitraum 1,04 Milliarden auf 1,5 Milliarden angestiegen.

Wie schätzen Sie die aktuelle Bedrohungslage für deutsche Banken ein?
Lindner: Waren es in der Vergangenheit vor allem britische, amerikanische und australische Banken, die ins Fadenkreuz der Internetbetrüger geraten sind, werden inzwischen auch deutsche Banken und Finanzdienstleister immer häufiger Ziel von Phishing-Attacken. Gerade vor dem Hintergrund, dass Online-Banking immer beliebter wird – etwa 40 Prozent der deutschen Bankkunden wickeln ihre Standard-Bankgeschäfte online ab, so die jüngsten Zahlen des Bundesverbandes deutscher Banken, müssen Finanzinstitute handeln und ihren Kunden die größtmögliche Sicherheit der Anwendungen bieten und vermitteln. Was Angriffsaktivitäten von Cyberkriminellen generell angeht, lässt sich zurzeit ein Hauptmotiv erkennen, das nicht nur Phishing, sondern auch andere Sicherheitsbedrohungen aus dem Internet betrifft: Nicht Neugierde und technisches Wetteifern sind gegenwärtig die Motive, sondern finanzielle Profitgier durch den Diebstahl vertraulicher Daten, Erpressung oder Betrug.

Wie erkennt man denn einen Phishing-Angriff?
Lindner: Phishing-Attacken laufen häufig nach einem klar erkennbaren Muster ab – hierin liegt auch die Chance, Kunden dafür zu sensibilisieren und sie so vor Phishern zu schützen. Der Bankkunde erhält eine E-Mail, die vermeintlich von seiner Bank stammt. Darin wird er aufgefordert, sensible Daten wie seine Kontodaten oder PIN- und TAN-Nummern einzugeben. Ein Link führt den Kunden auf jene Seite, die augenscheinlich von seiner Bank stammt: das vertraute Logo ist zu sehen, die gewohnte Gestaltung und Schrift, sogar die Internetadressen – auf den ersten Blick scheint alles zu stimmen. Die seriöse Aufmachung veranlasst den Kunden, die gewünschten Daten einzugeben. Anhand dieser Daten lässt sich dann Geld vom Konto des Kunden abbuchen.

Warum ist es so schwierig, erfolgreich gegen Phishing-Attacken vorzugehen?
Lindner: Phishing-E-Mails sind deshalb so gefährlich, weil sie noch nicht wie Viren oder herkömmliche Spam-Mails unschädlich gemacht werden können: Gegen Viren hilft ein aktueller Virenschutz, gegen Spam ein leistungsfähiger Spamfilter. Phishing-Mails werden zwar ebenfalls als Spam verschickt, sie sind aber oft so gut getarnt, dass sie von Spamfiltern nicht erkannt werden. Inzwischen arbeiten viele geschädigte Banken an Sicherheitslösungen, die ihren Kunden wieder eine vertrauensvolle Nutzung der Online-Dienste ermöglichen. Einige Banken haben bereits reagiert und ein neues PIN-TAN-Verfahren eingeführt, bei dem die Transaktionsnummern nun durchnumeriert werden. Nur mit der Eingabe der richtigen Nummer kann die Transaktion ausgeführt werden – aber auch dieses Verfahren wurde bereits geknackt. Um eine Authentifizierung der Online-Banking-Kunden zu gewährleisten, wird derzeit zudem bereits die Abfrage von biometrischen Daten wie Iris und Fingerabdruck diskutiert.

Ist die Gefahr des Phishing damit denn nicht in den Griff zu bekommen?
Lindner:Die kriminelle Energie von Phishern ist nicht zu unterschätzen. Kaum ist eine Sicherheitslücke gestopft, ändern sie ihre Angriffstechnik – und ihre Methoden werden immer ausgefeilter. So ist damit zu rechnen, dass die Texte von betrügerischen E-Mails zukünftig per Zufallsgenerator modifiziert werden, um Betrugsfiltern zu entgehen. Über Spionageprogramme, die sich auf dem Rechner des Nutzers einnisten, werden zunehmend nicht nur Passwörter und Zugangsdaten ausspioniert, sondern die Übersetzung der Namen in die IP-Adresse auch so manipuliert, dass sich gefälschte Seiten dazwischen schalten. Dies bezeichnet man als eine Variante des Pharming.

Warum ist Pharming besonders gefährlich?
Lindner:Bankkunden können durch Pharming auf eine gefälschte Website der betreffenden Bank gelotst werden, selbst wenn sie die richtige Web-Adresse eingeben oder den Link aus den Bookmarks auswählen. Tätigt der Online-Banking-Kunde dann eine Überweisung, gibt er in dem Moment, wenn er das Passwort samt PIN und TAN eintippt, diese Informationen direkt an den Hacker weiter. In diesem Fall erhält der Online-Betrüger alle erforderlichen Informationen und kann mit den Daten des ausspionierten Bankkunden Geld vom Konto transferieren. Pharming muss dabei nicht unbedingt durch einen Trojaner auf dem Rechner des Kunden passieren. Es ist auch denkbar, dass Hacker einen der DNS-Server, die sich zwischen dem Rechner des Kunden und dem Server der Bank befinden und die für die Umwandlung der IPAdresse der Bank zuständig sind, manipulieren. Die Methode bezeichnet man daher auch als DNS-Cache-Poisening.

Wie können Banken auf die wachsende Verunsicherung der Kunden reagieren?
Lindner:Bankgeschäfte sind immer Vertrauenssache, ob sie am Schalter oder online geführt werden. Damit dieses Vertrauen nicht erschüttert wird, ist es unerlässlich, dass Banken ihre Online-Kunden auf das Risiko durch Phishing aufmerksam machen und ihre Kunden auf die umfassenden Sicherheits- und Verschlüsselungstechnologien hinweisen, die für Online-Banking eingesetzt werden. Zugleich darf jedoch nicht der Verdacht genährt werden, Online-Banking an sich sei risikobehaftet.

Was können Banken und Kunden aktiv tun, um sich gegen die Online-Spione zu schützen?
Lindner:Ich halte es für besonders wichtig, dass die Banken eine offene Informationspolitik gegenüber dem Kunden betreiben. Geldinstitute sollten an ihre Kunden daher wichtige Sicherheitstipps weitergeben, um sie für die Gefahren aus dem Netz zu sensibilisieren. Banken sollten ihren Kunden klar machen, dass sie grundsätzlich keine E-Mail beantworten sollen, in der sie nach vertraulichen Daten gefragt werden. Kein seriöses Institut wählt eine solche Vorgehensweise. Ist der Kunde unsicher über die Herkunft ominöser E-Mails, sollte er versuchen, direkten Kontakt mit seinem Bankberater aufzunehmen. Doch auch die in der EMail genannte Kontakt-Nummer kann auf eine falsche Fährte führen. Darüber hinaus sollten sich Kunden mit einer entsprechenden Sicherheitssoftware auf den heimischen PCs schützen. Diese gewährleistet beispielsweise, dass der Anwender bei einer unbedachten Weitergabe persönlicher Daten alarmiert wird und E-Mails von gefälschten Absendern durch eine Spam- Filter-Funktion direkt aussortiert werden.