Herne. „Phishing” bezeichnet Bankdatenklau im Internet. Ein Herner Sparkassenkunde ist jüngst Opfer eines Phishing-Versuchs geworden.
Die Sicherheit beim Onlinebanking ist Dauerthema – für Kunden und Banken, für Verbraucher- und Datenschützer. Dabei beschränkt sich die öffentliche Debatte meist auf allgemeine Warnhinweise und Verhaltenstipps, konkrete Betrugsfälle oder Schadenssummen werden selten bekannt. Auch aufgrund der Informationspolitik der Banken. Den Herner Sparkassen-Kunde Johannes Thomeczek interessiert die Bankenpolitik wenig, er ist jüngst Phishing-Opfer geworden.
„Ich hatte bereits zwei Online-Überweisungen gemacht, als sich plötzlich – praktisch nicht zu bemerken – eine fremde Internetseite zwischenschaltete. Da stand, ich hätte dreimal eine falsche PIN eingegeben. Um meinen Zugang wieder freizuschalten, sollte ich 20 TAN eingeben”, schildert Thomeczek. Der Herner Geschäftsmann roch den Braten, gab keine Nummern preis, meldete sich im Internet ab und ließ zweimal ein Antivirenprogramm über seinen Computer „laufen”: Er fand sieben Trojaner – und meldete den Phishing-Versuch seiner Bank: der Herner Sparkasse. „Dort sagte man mir, ich wäre nicht der einzige Kunde gewesen, dem das passiert ist. Ich soll nun einen TAN-Generator bekommen – für erhöhte Sicherheit”, so Thomeczek.
Banken im Schadensfall oft kulant
Die Herner Sparkasse wollte sich auf WAZ-Nachfrage weder zu dem aktuellen Vorfall äußern, noch irgendetwas darüber sagen, wie oft sie mit derartigen Betrugsfällen zu tun hat und wie groß der bislang angerichtete wirtschaftliche Schaden für das Unternehmen ist. Sparkassen-Sprecher Jörg Velling wies lediglich darauf hin, dass der im erfolgreichen Betrugsfall entstandene Verlust über den Haftungsfonds der Sparkassenorganisation reguliert wird. „Ein Erstattungsanspruch von Seiten des Kunden besteht immer dann, wenn der Kunde keine Schuld an der durchgeführten Transaktion hat”, erklärt Markus Feck, Bankjurist der Verbraucherzentrale NRW. Dass es die Verbraucherschützer vergleichsweise selten mit Phishing-Anfragen zu tun haben, deutet er weniger als Indiz für die Nichtigkeit des Problems, als viel mehr als Zeichen dafür, dass sich die Banken im Schadensfall sehr kulant zeigen.
„Generell sind alle Banken betroffen. Die Informationspolitik der Banken ist in der Tat suboptimal, weshalb die Dunkelziffer sehr hoch sein könnte”, so Feck. Die Banken wollen offensichtlich nicht den Eindruck erwecken, es bestünden Sicherheitslücken beim Onlinebanking. Der Trend, sagt der Experte, gehe weg von dilletantisch gemachten und vergleichsweise leicht zu entlarvenden Emails, hin zu mittels Trojanern (heimlich installierte Software) zwischengeschalteten Websites.
Ab Jahresmitte gibt es einen TAN-Generator
Um die Sicherheit beim Onlinebanking weiter zu erhöhen, erklärt Jörg Velling von der Herner Sparkasse, sollen Neukunden ab Mitte 2010 generell einen TAN-Generator bekommen und künftig mit dem sogenannten Chip-TAN-Verfahren arbeiten. „Unsere Bestandskunden wollen wir ebenfalls sukzessive damit ausstatten. Das bisherige iTAN-Verfahren soll komplett durch Chip- und Sms-TAN ersetzt werden”, so Velling.
Die Sache mit der TAN
Beim mobilen TAN-Verfahren – auch mTAN abgekürzt oder SmsTAN genannt – erhält der Kunde für jeden einzelnen Bankvorgang eine Transaktionsnummer per Sms auf sein Handy. Beim TAN-Generator-Verfahren bekommt der Kunde ein Lesegerät, das je nach Methode, die einzelnen Transaktionen absichert: durch Einführen der zum Konto gehörenden Bankkarte, durch die Erzeugung von nur temporär gültigen TAN und / oder durch Auslesen von auf dem Computer angezeigten verschlüsselten Grafiken (Chip-TAN-Variante). Die Variante mit einfacher TAN-Liste oder iTAN (Bank fragt im Einzelfall konkrete „indizierte” Nummern aus einer Liste ab) bleibt, zumindest mittelfristig, bestehen.
Wie sicher aber die neuen Verfahren wirklich sind, sagt Feck von der Verbraucherzentrale, könne man derzeit noch gar nicht sagen. „Ich glaube nicht, dass das iTAN-Verfahren generell abgeschafft wird. Jedes neue Verfahren, das hat die Vergangenheit gezeigt, ist in irgendeiner Weise angreifbar. Das müssen wir abwarten”, so Feck und weiter: „Im Moment beobachten wir, dass alle Banken alle Varianten anbieten. Sie überlassen es dem Kunden sich für eins zu entscheiden.”
Schadenshöhe unbekannt
„Phishing” bezeichnet das Abfischen von Passwörtern (PIN) und Transaktionsnummern (TAN), also von persönlichen Bankdaten, mittels fingierter E-Mails, gefälschter Websites und heimlich installierter Software. Beim Landeskriminalamt wurden für NRW im Jahr 2008 nur 264, im Jahr 2009 immerhin 480 Phishingfälle gemeldet. Allerdings handelt es sich dabei nur um die von den Polizeibehörden (freiwillig) gemeldeten Fälle, die von geprellten Kunden tatsächlich zur Anzeige gebracht wurden. „Da der Schaden – meist um die 4000 bis 5000 Euro – in der Regel von den Banken getragen wird, lassen es die meisten Kunden damit bewenden und erstatten leider keine Anzeige”, erklärt LKA-Sprecher Frank Scheulen.
Um sich zu schützen, sollten Computer mit Firewall und aktuellen Virenprogrammen ausgestattet sein. Kunden sollten generell auf sichere Internetverbindungen achten (www.https. . . und geschlossenes Schloss-Symbol) und Verdachts- und Schadensfälle ihrer Bank melden. „Außerdem sollte Phishing immer angezeigt werden. Immerhin haben Internet-Straftaten eine sehr hohe Aufklärungserate von 70 %”, so Scheulen.
Mehr Informationen gibt es beim LKA und bei der Verbraucherzentrale auf der Seite Finanzen/Girokonto