Immer mehr Bürger entscheiden sich, ihre Bankgeschäfte von zu Hause oder von ihrem Schreibtisch aus zu erledigen. Über den eigenen PC eine Überweisung in Auftrag zu geben, Wertpapiere zu ordern oder einen Dauerauftrag einzurichten, mag sehr angenehm sein, ist aber leider mit zusätzlichen Risiken verbunden. Immer wieder ist in der Presse von entsetzten Bürgern zu lesen, die vor einem geplünderten Online-Konto berichten. Geldbeträge wurden ohne ihr Zutun auf ferne Konten transferiert und sind meist für sie unwiderbringlich verschwunden.
Betrüger entsinnen immer neue Methoden, um ohne großen Aufwand an das Geld anderer Leute zu kommen. Mit dem Internet-Boom einher geht auch ein Betrugs-Boom, der auf diesem Medium aufbaut. Die Betrugsmöglichkeiten sind zahlreich, krimineller Kreativität auf diesem Gebiet sind kaum Grenzen zu setzten.
Neben den bisher schon bekannten Risiken für Rechner und Daten aus dem Internet, wie Viren, Würmer und Trojaner, ist bei Online-Betrügern "Phishing" in Mode gekommen. Phishing ist ein Kunstwort und aus den Begriffen "Passwort" und "Fishing" zusammengesetzt. Phishing bezeichnet also das "Angeln" nach Passwörtern. Parallelitäten zum konventionellen Angeln nach der schuppigen Beute sind durchaus zu erkennen: Mittels Köder soll das Opfer zu einer gefährlichen Handlung bewegt werden. Der Fisch beißt in den Haken, der Mensch gibt unbedacht private Informationen, wie z. B. Passwörter, preis.
Die Betrüger gehen dabei skrupellos vor. In manchen Fällen erhielten Kunden von Banken E-Mails, in denen auf gerade behobene technische Schwierigkeiten beim Online-Banking-Angebot der Bank hingewiesen wird und dass sie doch bitte umgehend die Richtigkeit der Zugangsdaten und insbesondere der Kontenbewegungen überprüfen sollen. Der vermeintliche Link zum Konto wird in der E-Mail gleich mitgeliefert. Wird darauf geklickt, so wird von der aufgerufenen Web-Site zur Eingabe der Kontozugangsdaten aufgefordert. Die Seite sieht zwar aus wie immer, ist aber nur im Design gleich aufgebaut. Da die Seite wie die Originalseite der Hausbank aussieht, ist die Hemmschwelle für den gutgläubigen Bürger nicht groß, die Zugangsdaten zum Konto einzugeben. Gelegentlich erhält man danach eine zweite Seite mit Informationen wie "...steht zur Zeit nicht zur Verfügung. Bitte versuchen Sie es später wieder." Der Angreifer aus dem Internet erhält so die notwendigen Daten, um sämtliche persönlichen Kontotransaktionen eines Kontos einzusehen, aber auch die Möglichkeit, Überweisungen von fremden Konten zu tätigen.
Neben dieser Art von Phishing-Angriffen sind noch weitere Angriffspunkte bekannt. Angreifer suchen nach Webidentitäten für Internet-Präsenzen wie Banken, Buchhändler, Freemailer oder andere Seiten mit speziellen Informations- und Dienstleistungsangeboten. Die Seiten mit geschlossenen Benutzergruppen, also speziellen Angeboten für bestimmte Nutzer, sind immer im Fokus der Angreifer. Und Phishing basiert auf immer dem gleichen Muster: Ein Angreifer schickt eine vertrauenswürdig erscheinende E-Mail an Benutzer eines bestimmten Angebots und leitet die Benutzer auf eine gefälschte Webseite, die der Originalseite sehr ähnlich sieht (sogenanntes "Visual Spoofing") um, damit die Benutzer zur Eingabe von Benutzernamen, Passwörtern oder PINs und TANs bewegt werden.
Die möglichen Ziele sind vielfältig: Ein Blick auf die Seite "Phishing Archive" (http://www.antiphishing.org/phishing_archive.html) der "Anti-Phishing Working Group" (http://www.antiphishing.org) zeigt, dass viele namhafte Unternehmen im Fokus für Phishing-Attacken liegen: eBay, Citibank, PayPal, MSN oder Yahoo sind eigentlich immer in dieser Liste zu finden. Das sind alles Unternehmen, die finanzielle Transaktionen für Kunden in der einen oder anderen Form abwickeln oder unterstützen, oder die besondere kostenpflichtige Informations- und Unterhaltungsdienste anbieten.
Die Tricks der Betrüger, um den Nutzer zu täuschen werden immer raffinierter. Da gibt es Pop-Up-Fenster, in denen zur Passworteingabe aufgefordert wird und die über den Original-Seiten liegen oder Cross Site Scripting (XSS), mittels dessen Eingabeformulare in Web-Seiten eingeblendet werden können. XSS ist eine Angriffsmethode, bei der unter gezielter Ausnutzung von Sicherheitslücken ein schädlicher Programmcode in Internet-Seiten eingeschleust und ausgeführt werden kann. Dieser Programm-Code kann dann die Nutzer dazu auffordern, Nutzernamen und Passwörter einzugeben, scheinbar als echte Komponente der eigentlich genutzten Internet-Seite. Die Daten fließen allerdings auf andere Server, die mit dem Angebot gar nichts zu tun haben. Diese hier genannten Verfahren ermöglichen eine perfekte Illusion: Die Unterscheidung, ob es sich bei Internet-Seiten um Original oder Fälschung handelt, ist dem Nutzer fast unmöglich geworden.
Technisch lässt sich das Problem mit Phishing nicht aus der Welt schaffen. Im eigenen Interesse ist somit jeder Internet-Nutzer aufgerufen, sich aktiv mit dem Thema auseinander zusetzen und entsprechende Maßnahmen zu treffen. Wesentliche Punkte dabei sind:
Mit personenbezogenen Daten ist immer umsichtig und vorsichtig umzugehen. Das betrifft sowohl die umsichtige Eingabe von Benutzernamen, Passwörtern oder auch andere Angaben zur Person, als auch die sichere Verwahrung dieser Zugangsdaten. Sie sollten nie auf der Festplatte des PC abgespeichert werden, Optionen wie "Automatisch vervollständigen" sollten nicht genutzt werden. Listen mit TANs dürfen ebenfalls nicht für automatischen Abruf hinterlegt werden.
Der Bundesverband deutscher Banken e. V. hat darauf hingewiesen, dass Banken und Sparkassen niemals E-Mails versenden, in denen nach Nutzernamen oder Passwörter gefragt wird oder auf sonst irgendeine Art dazu auffordern, entsprechende Daten einzugeben.
Im Zweifel lieber bei der entsprechenden Stelle nachfragen und vorerst bis zur Klärung keine weiteren Aktionen durchführen.
Daten und Informationen sollte nur preisgeben, wer sich Gewissheit verschafft hat, mit wem er es zu tun hat. Wird man in E-Mails aufgefordert, z. B. seine Kundendaten zu überprüfen, ist es dringend zu empfehlen, den herkömmlichen Weg zur Anmeldung am entsprechenden Online-Dienst zu nutzen, auf keinen Fall aber über eventuell in der E-Mail mitgelieferte Links. Im Zweifel sollte man sich durch einen Anruf beim Betreiber des Online-Dienstes Gewissheit verschaffen, ob es sich um echte Aktionen des Betreibers handelt. Die URL (Adresszeile des Browsers) muss genau betrachtet werden. Bei kleinsten Abweichungen, beispielweise www.ehbey.de anstelle von www.ebay.de muss sofort die weitere Nutzung eingestellt werden, da sie ein Hinweis auf gefälschte Web-Sites sein können.
Professionelle Internet-Angebote realisieren eine verschlüsselte Datenübertragung (SSL-Verbindung) zwischen Internet-Angebot und dem Browser des Benutzers, zumindest an den Stellen, wenn Zugangsdaten oder andere personenbezogene Daten eingegeben und übertragen werden müssen. Zu erkennen ist dies u. a. daran, dass im Browser das Symbol eines Vorhängeschlosses mit geschlossenem Bügel dargestellt wird (siehe auch nachfolgende Abbildung). Bei unverschlüsselter Übertragung ist der Bügel des Schlosses offen. Unterstützt das entsprechende Online-Angebot keine verschlüsselte Übertragung, sollte das Angebot nicht genutzt werden.
Abbildung 1: Darstellung einer verschlüsselten Seite im Internet Explorer 6
Wenn Passwörter oder PINs vergeben werden, müssen diese so gewählt werden, dass sie nicht zu einfach zu erraten sind. Sie sollten mindestens 8 Zeichen lang sein und es sollten keine sogenannte Trivialpasswörter wie z. B. "12345", "Marianne", "Herbst2004" oder "24122004" vergeben werden. Vielmehr soll ein gutes Passwort aus Zeichen, Ziffern und Sonderzeichen aufgebaut sein, um eine hohe Güte und damit das Knacken des Passworts so schwierig wie möglich zu gestalten. Ein Beispiel für ein solches Passwort (das natürlich nicht verwendet werden sollte, da es jetzt an dieser Stelle öffentlich geworden ist) lautet: !tqV3C9I
Durch die Installation von neuen Programmen, gerade solchen, die aus dem Internet heruntergeladen werden, ist Vorsicht geboten. Solche Software kann z. B. Trojaner oder Spyware enthalten, die dazu dienen, permanent den Computer zu überwachen und sobald Benutzernamen und Passwörter eingegeben werden, diese an bestimmte Server im Internet zu senden.
Sowohl Betriebssystem als auch Browser können jederzeit Fehler enthalten, die Sicherheitslücken sind und es Angreifern somit erleichtern, an Daten heranzukommen oder sich administrativen Vollzugriff zu dem entsprechenden PC zu verschaffen. Daher ist es immer wichtig, nur die jeweils aktuellsten Versionen von Browser und Betriebssystem zu nutzen. Wichtig dabei ist auch, fortwährend die aktuellsten Sicherheitserweiterungen ("Patches") der Hersteller zu nutzen. Sie lassen sich, oft automatisiert, direkt aus dem Internet herunterladen und gewährleisten, dass aktuell bekannte Sicherheitslücken in der verwendeten Software geschlossen werden.
Auf jedem Rechner, der an das Internet angebunden ist, sollte immer ein Virenscanner-Programm laufen. Wichtig dabei ist, dass ein automatisches Update der Virensignaturen dafür sorgt, dass stets auch alle neuen Viren durch den Virenscanner zuverlässig erkannt und entfernt werden. Ebenso sollte jeder PC mit Internet-Kontakt mittels einer Personal-Firewall gegen unberechtigte Zugriffe von außen geschützt werden.
Alle am Markt gängigen Browser verfügen über die Möglichkeit, Sicherheitseinstellungen vorzunehmen. Dabei kann beispielsweise entschieden werden, ob so genannte aktive Inhalte zugelassen werden sollen oder ob Cookies gesetzt werden dürfen. Die bremische Landesbeauftragte für den Datenschutz hat unter dem folgenden Link Informationen über die Konfiguration von Browser-Sicherheitseinstellungen zusammengetragen: http://www.datenschutz-bremen.de/sv_internet/aktiveInhalte.php. Die unter diesen Link befindliche Beschreibung ist Teil einer mehrteiligen Serie die über Gefahren bei der Internet-Nutzung informiert. Sie ist unter http://www.datenschutz-bremen.de/sv_internet.php zu finden.
Regelmäßig sollten Sicherungskopien aller auf dem Rechner gespeicherten Daten und Programme angelegt werden, um bei einem eventuellen Datenverlust auf einen möglichst aktuellen Stand der Software und der Daten zurückgegriffen werden kann.
Bieten Banken die Nutzung von Online-Banking unterstützt mit Chipkarten an, so sollte diese Technologie eingesetzt werden. In diesen Anwendungsfällen muss für jede Transaktion die Chip-Karte vorhanden sein.
Links mit weiterführenden Informationen:
Stand: Oktober 2005
Barrierefreiheit
