Die Zahlen sind bedrückend: 2014 wurden knapp 7000 Fälle von Phishing (Passwort-Abgreifen) im Onlinebanking beim Bundeskriminalamt bekannt - das ist eine Steigerung um ganze 70 Prozent gegenüber dem Vorjahr. Das zeigt sich im Bundeslagebild Cybercrime 2014, das vor Kurzem veröffentlicht wurde.
Einer der Hauptgründe für den Anstieg liegt darin, dass Kriminelle seit 2013 Wege fanden, das bis dato als recht sicher geltende mobile TAN-Verfahren mit SMS aufs Handy für sich auszunutzen. Dabei lag die Sicherheitslücke nicht bei den Banken, sondern in der Geschäftsbeziehung zwischen Kunde und Mobilfunkprovider: Die Abzocker hatten sich im Namen der Kunden Zweit-SIM-Karten bestellt und an fremde Adressen schicken lassen. Die Mobilfunkprovider haben sich inzwischen auf diesen Trick eingestellt.
Klar ist aber auch, dass Onlinebanking für Kriminelle weiter an Attraktivität gewinnt, denn immer mehr Bundesbürger nutzen es, aktuell bereits gut jeder zweite. Verbrecher suchen daher nach immer neuen Wegen, Sicherheitsmechanismen auszuhebeln.
Auf Seite 2: Schutz vor virtuellen Angriffen
Schutz vor virtuellen Angriffen
Das Einfallstor für die Kriminellen ist nahezu immer ein mangelhaft gesicherter und daher ausspionierter Computer, so auch bei den Fällen mit dem mobilen TAN-Verfahren. "Wenn er nicht abgesichert ist, steht die Haustür weit offen", warnt der Bundesverband deutscher Banken. Den Computer, aber auch das Smartphone vor virtuellen Angriffen zu schützen, sollte daher für Onlinebankingkunden immer Priorität haben. Dazu gehört es, einen Virenscanner und eine Firewall auf dem Rechner zu installieren und die Software über Updates immer auf dem neuesten Stand zu halten.
Vorsicht ist geboten: Niemals Links in E-Mails oder SMS öffnen, die vermeintlich von der Bank kommen. Denn keine Bank verschickt E-Mails, in denen sie um Preisgabe persönlicher Daten wie PIN oder Passwort bittet oder den Kunden auffordert, sein Konto zu aktivieren, zu aktualisieren oder erneut zu entsperren. Noch immer ist der Desktop-PC das beliebteste Gerät für Onlinebanking, so der IT-Branchenverband Bitkom. Daher stellen wir in unserer Übersicht links unten die Freigabeverfahren von großen Banken und Brokern fürs Onlinebanking per PC dar. Häufig gelten im Mobile Banking die gleichen Verfahren - die mobile TAN darf allerdings in aller Regel nicht auf dem Smartphone genutzt werden, weil sonst die Kanaltrennung nicht gegeben ist, wohl aber auf Tablets.
Überhaupt wird Banking immer mobiler, sprich: Kunden loggen sich zunehmend über Smartphones oder Tablets ein. "Das Smartphone wird zum Bankterminal", da ist sich Bitkom-Hauptgeschäftsführer Bernhard Rohleder sicher. Es liegt auf der Hand, dass auch Kriminelle sich auf diesen Trend einstellen. Letztlich ist das Ringen um die Sicherheit im Online- und Mobilebanking ein stetes Rennen zwischen Hase und Igel.
Daher werden auch die Banken und Broker nicht müde, bei den Sicherheitsverfahren aufzurüsten und geben teilweise Sicherheitsgarantien (siehe Tabelle). Immer mehr Banken offerieren beim Log-in ins Konto auch die Nutzung biometrischer Verfahren, also den Fingerabdruckscanner an modernen iPhones und Android-Geräten anstelle einer PIN. Bei den Freigabeverfahren wird zum Beispiel das noch recht neue App-basierte Push-TAN-Verfahren der Sparkassen bereits von 300 000 Kunden genutzt. Die ING-DiBa hat die sogenannte Smart-Secure-App im Angebot, die HypoVereinsbank die App-TAN, die Postbank setzt auf Signaturverfahren.
Gerade auch Verfahren mit TAN-Generatoren wie bei der Consorsbank, der DKB, den Sparkassen und Volksbanken gelten als sehr sicher. Kunden sind gut beraten, jeweils das aktuellste Verfahren zu nutzen - es sollte die höchste Sicherheit bieten.