Wenn moderne Kunden heute von unterwegs ihre Bank- und Börsengeschäfte tätigen möchten, verschärfen sich die Sicherheitsprobleme im E-Banking automatisch. Den Beteuerungen der Banken, man habe gelernt und die Sicherheit für die Kunden laufend verbessert, steht eine Studie der Marktforscher von Gartner entgegen. Diese ermittelt aufgrund einer Befragung von 4500 US-Bankkunden Ende letztes Jahr einen Jahresumsatz der Betrügerbranche von 3,2 Mrd Dollar – das entspricht einem «Umsatzplus» von 15%. Auch die Prognose für dieses Jahr weist auf ein kaum vermindertes Wachstum von 13% hin.

Laut der Gartner-Analystin Avivah Litan findet gegenwärtig ein Wettrüsten zwischen den Banken und den Phishern statt. Die Betrüger finden einerseits immer neue Wege, Sicherheitsmassnahmen zu umgehen. Andererseits versuchen Banken, mögliche neue Attacken zu antizipieren, und bereiten technische Gegenmassnahmen vor. Zwar sei das Ebay-Bezahlsystem PayPal immer noch ein beliebtes Ziel, aber ebenso stehen Kreditkarten-Konten und Online-Bankkonten im Visier der Kriminellen. Zudem arbeiten Phisher längst nicht nur mehr mit gefälschten E-Mails und Webseiten. Jüngere Methoden basieren auf «Browser-Hijacking» oder «Man-in-the-middle»-Methoden mit eingeschleuster Malware.

Dabei gehen Betrüger ähnlich wie beim Phishing vor: Onlike-Banking-Benutzer werden entweder direkt oder via spezielle Software auf eine bestimmte Webseite gelotst, die mit Malware verseucht ist. Diese Malware installiert sich auf dem Computer des Benutzers und greift gezielt auf den Datenverkehr zwischen Notebook und Bankencomputer zu. Dabei werden entweder die echten Benutzerdaten unmittelbar nach der Eingabe für illegale Transaktionen verwendet (und der echte Benutzer mit einer «Fehlermeldung» hingehalten) oder dem Benutzer wird eine «richtige» Transaktion mit korrekten Daten vorgegaukelt – aber die Betrüger verändern die Auszahlungshöhe und den Empfänger der Transaktion, ohne dass der Online-Kunde etwas bemerkt.

Anzeige

Mit einem neuen Verfahren kann die Migros Bank jetzt wenigstens einen Teil dieser Gefahren abwehren. Bis heute ist das Loginverfahren zweistufig ausgelegt. Neu haben die rund 100000 Online-Bankkunden einen speziellen USB-Stick, auf dem ein speziell für die Migros Bank konzipierter Browser läuft. Dieser Browser arbeitet als «thin client» unabhängig von weiteren Anwendungsprogrammen, die auf dem Notebook oder PC eines Bankkunden installiert sind, so werden diese Programmelemente voneinander getrennt. Hinzu kommt ein Chip, der aussieht wie ein Handy-Sim. Dieser Chip wird im USB-Stick eingelegt, und der Kunde braucht dann nur noch den Pin einzugeben, wenn der auf das Online-Banking zugreifen möchte.

Verschiedene Systeme

Auch die E-Banking-Sparte des Schweizer Softwarehauses Crealogix stellte im Mai einen «gehärteten» Browser auf einem USB-Stick vor. Telekurs richtet sich mit der neuen «e-Banking-Security-Solution» (ESS) ebenfalls gegen die «man-in-the-middle»-Attacken. Dabei werden auch Versuche, sich in laufende E-Banking-Sessionen hineinzuschmuggeln und Zahlungsdaten zu verändern, gestoppt. ESS basiert auf der Maestro-Karte sowie einem persönlichen Kartenlesegerät. Und die Raiffeisenbank sowie die ZKB stellten Systeme vor, die das Handy als zusätzliches Sicherheitselement verwenden. Hier bekommen Online-Banking-Kunden ein SMS, mit der sie die Transaktion bestätigen müssen. Banken wie die UBS informieren recht detailliert, wie sich Online-Banking-Kunden richtig verhalten (siehe Kasten).