Phishing zum Beispiel, das Fischen nach Passwörtern, werde immer ausgefeilter, warnt Matthias Gärtner, Sprecher des Bundesamts für Sicherheit in der Informationstechnik (BSI) in Bonn. Die klassische Form des Passwortklaus mit einer E-Mail, die einen Link auf eine gefälschte Bankseite enthält, werde durch neue Methoden abgelöst.
Der Bundesverband deutscher Banken in Berlin rät Kunden in seinen Sicherheitsregeln daher zur Wachsamkeit. Wer online seine Bank besucht, sollte jedes Mal in der Adresszeile des Browsers kontrollieren, ob die Internetadresse der Bank korrekt wiedergegeben ist. Bereits minimale Abweichungen könnten auf eine gefälschte Website hinweisen. Niemals sollte die Bankseite über einen Link besucht werden. Besser ist es, die Web-Adresse der Bank per Hand einzugeben oder beim eigenen Rechner als Lesezeichen zu speichern.
Die Einschätzung von Matthias Gärtner wird durch eine Nachricht bestärkt, die Ende Juli die Runde machte: Computerexperten der Firma AAX Business Solutions aus Graz fanden eine neuartige Phishing-Methode: Hat sich der Anwender ein Trojanisches Pferd ein Schadprogramm, das sich unbemerkt auf dem Rechner einschleicht eingefangen, kann er anhand der Internet-Adresse der Bank nicht mehr erkennen, ob er auf einer sicheren Internet-Seite ist, die mit "https://" beginnt.
Weil die Software Sicherheitshinweise unterdrückt, sei das SSL-Zertifikat der Bankseite echt, teilten die Entdecker mit. Die Software leite Nutzer nicht auf eine gefälschte Seite um. Sie fälsche das Eingabefenster der eigentlich richtigen Internetseite auf dem Rechner des Anwenders. Nach der Eingabe werden die PIN- und TAN-Nummern an die Betrüger gesendet. Die in Graz entdeckte Schadsoftware funktioniert nur bei österreichischen Banken.
Eine Mitte August veröffentlichte Erhebung des Bundesverbands Informationswirtschaft, Telekommunikation und neue Medien (Bitkom) hat ergeben, dass die Zahl der Phishing-Opfer im ersten Halbjahr 2006 um bis zu 50 Prozent gestiegen ist. Durchschnittlich holten die Betrüger 4000 Euro von den Konten ihrer Opfer, so der in Berlin ansässige Branchenverband. Der Bitkom verweist zudem auf Zahlen der internationalen Anti-Phishing-Arbeitsgruppe APWG vom Mai diesen Jahres: Rund 12 000 Phishing-Seiten tauchten zuletzt pro Monat im Netz auf - fast vier Mal so viele wie im Mai 2005.
Anders als bisher können Geschädigte wohl nicht mehr auf die Kulanz ihrer Bank hoffen. In der Vergangenheit war das meist der Fall. Zum einen, weil die Geldinstitute oft in der Lage sind, das gestohlene Geld zurück zu holen und zum anderen, weil sie ein Interesse daran haben, das Misstrauen der Nutzer gegenüber dem Online-Banking nicht weiter steigen zu lassen: Doch mit einem um 4800 Euro geprellten Ehepaar aus St. Augustin (Nordrhein-Westfalen) scheinen jetzt erstmals deutsche Bankkunden auf dem Schaden sitzen zu bleiben. Sie hatten sich von einer E-Mail auf gefälschte Seiten lenken lassen und so ihre Kontodaten preisgegeben.
Wer seine Bank mit dem eigenen Notebook drahtlos via WLAN vom Flughafen oder dem Bahnhof aus besuchen möchte, sollte unbedingt für eine verschlüsselte Verbindung sorgen, rät BSI-Sprecher Matthias Gärtner. Um vielen Nutzern einen unproblematischen Zugang zu ermöglichen, verzichteten die Betreiber darauf. Der Nutzer sei selbst für die Vertraulichkeit der Datenübertragung verantwortlich.
Das BSI empfiehlt, sich vor Benutzung über das Sicherheitsniveau des Hotspots beim Betreiber zu informieren und auf keinen Fall Benutzerkonten mit Administrationsrechten zu verwenden. Ebenso sollten Dateien- und Verzeichnisse nicht für Netzwerke freigegeben werden. Vertrauliche Inhalte sollten nur mittels einer gesicherten SSL-Verbindung aufgerufen werden.
Wenn es sich irgendwie einrichten lässt, sollten Bankgeschäfte auf keinen Fall an fremden Rechnern, beispielsweise in Internet-Cafés, getätigt werden, warnt Gärtner. Das Gerät könne mit Spionagesoftware verseucht sein, die Passwörter und Zugangscodes protokolliert.
Kann der virtuelle Gang zur Bank partout nicht vermieden werden, heißt es wählerisch sein: Laut Gärtner ist die Wahrscheinlichkeit einem Betrüger auf dem Leim zu gehen, an einem Rechner im Luxushotel geringer als in einer Hinterhofklitsche, in der sich Rucksacktouristen die Maus in die Hand geben.
Wer dann auch noch den eigenen Browser auf einem USB-Stick mitbringt, hinterher der Zwischenspeicher (Cache) und den Verlauf (History) löscht, hat zumindest fürs erste das Nötigste für die Sicherheit getan. "Drucken Sie auch noch die Überweisung aus", rät Matthias Gärtner. Und nach der Reise sollten Passwörter und PIN geändert werden. (dpa/mb)