Online-Banking: Die Tricks der Cyberkriminellen

Nach der Angriffswelle auf Bankkunden in Deutschland sind die Mobilfunker in Österreich um Beruhigung bemüht. Laut den österreichischen Betreibern sind keine Fälle bekannt, in denen das mobile TAN-System über den SIM-Karten-Trick ausgehebelt wurde. Bei A1 und T-Mobile wertet man die Legitimationsprozesse für den SIM-Kartenaustausch als sicher, will angesichts der Vorfälle aber die eigenen Abläufe kontrollieren und Vertragspartner sensibilisieren. Laut Drei ist der SIM-Karten-Austausch ohne Identitätsnachweis nicht möglich.

Android-Malware als Gefahr

Auch Sicherheits-Experten geben Entwarnung, weisen aber auf den fahrlässigen Umgang mit Smartphones hin. "Was immer wieder vorkommt, sind Schadprogramme auf Android-Handys, die zum Ausspähen von sensiblen Onlinebanking-Daten und für betrügerische Überweisungen eingesetzt werden“, erklärt Robert Schischka von Cert.at, der nationalen Koordinationsstelle für IT-Sicherheit. "Das Handy wird immer noch viel zu wenig als Gefahr wahrgenommen, obwohl es in Wahrheit ein Computer mit praktisch denselben Möglichkeiten ist", sagt Schischka zur futurezone.

"Viele Leute installieren wahllos irgendwelche Apps aus nicht vertrauenswürdigen Quellen und App Stores. Sie denken keine Sekunde darüber nach, warum die Taschenlampen-App Zugriff auf sämtliche Daten und Sensoren will und was es eigentlich bedeutet, wenn das Handy verloren oder geklaut wird", so der Sicherheits-Experte. Tatsächliche Angriffe auf Banking-Kunden über derartige Malware sei in Österreich bislang allerdings noch selten - Schischka schätzt die Zahl der Vorfälle auf "weniger als eine Handvoll pro Monat".

Keine Infos über Schaden

Wie hoch der jährliche Schaden ist, der durch derartige Attacken entsteht, bleibt ein gut gehütetes Geheimnis der Banken. Diese springen bei Vorfällen für ihre Kunden in die Bresche und haben wenig Interesse daran, mehr Aufmerksamkeit auf die Schattenseite der Online-Welt zu lenken. Anzeigen beim Bundeskriminalamt sind selten, sie werden statistisch für den Bankensektor auch nicht erfasst. Laut dem Cybercrime-Report von 2014 hat die Gesamtanzahl von Anzeigen in puncto Internet-Straftaten im Vergleich zum Vorjahr um 10,8 Prozent auf 8966 abgenommen.

„Angriffsversuche auf Kunden kommen vor, sind aber selten erfolgreich“, sagt Walter Mösenbacher von der Raiffeisen Bank International zur futurezone. Manipulierte Überweisungen würden meist von der Bank selbst durch interne Schutzmaßnahmen entdeckt. Die Situation in Österreich sei auch deshalb gut, weil die gesamte Branche zusammenarbeite. Kunden rät Mösenbacher, SMS-TANs niemals an Dritte weiterzugeben und einen aktuellen Virenschutz am PC zu verwenden.

Auch bei der Erste Bank ortet man im aktuellen Fall in erster Linie beim Telekom-Anbieter ein Versagen, da dieser die SIM-Karten offenbar ohne eingehende Überprüfung ausgegeben habe. Den Medienberichten zufolge deute derzeit nichts auf eine Schwachstelle der Bank-Applikation hin. Die Sensibilisierung von Kunden hinsichtlich Sicherheitsbedrohungen sei aber ein kontinuierlicher Prozess, teil die Bank auf Anfrage der futurezone mit. Bis 30. November bietet die Erste zudem kostenlos einen Geräte-Check hinsichtlich Trojaner und Schadprogramme an.

Österreich steht gut da

"Im internationalen Vergleich bleiben die Angriffe in Österreich trotz starker Online-Nutzung auf überraschend niedrigem Niveau“, gibt auch Schischka Entwarnung. Was man global sehen könne, seien gezieltere Angriffe - oftmals auch auf Firmenkonten, wo mehr Geld zu holen sei. Vielerorts würden Angreifer mit erstaunlich einfachen Mitteln zum Ziel kommen.

„Es passiert immer wieder, dass Kunden eine manipulierte Überweisung an einen falschen Empfänger bzw. mit einer zu hohen Überweisungssumme selbst mit TAN-SMS bestätigen, da der Inhalt des SMS gar nicht gelesen wird. Ein neuer Trick ist, Papierrechnungen durch gefälschte zu ersetzen, in denen die Kontonummer des Empfängers mit dem des Angreifers ausgetauscht wurde. Da ist man dann als Kunde wirklich chancenlos“, sagt Schischka.