Wie Nutzer beim Online-Banking um ihr Geld gebracht werden

Hacker, Hack, Phishing, Cybercrime, Ssl, Banking, Attacken, Bankdaten, Online Banking, Cyberangriffe, Dark Net, Cédric Enzler, Frédéric Marchon, Max Klaus, Reto E. Koenig, Mathieu Fleury Hacker, Hack, Phishing, Cybercrime, Ssl, Banking, Attacken, Bankdaten, Online Banking, Cyberangriffe, Dark Net, Cédric Enzler, Frédéric Marchon, Max Klaus, Reto E. Koenig, Mathieu Fleury

Infografik: Wie infiziert ist Deutschland?Malware: Wie infiziert ist Deutschland?
Die Zahl der Cyber-Angriffe hat Sicherheitsexperten zufolge im vergangenen Jahr neue Höchststände erreicht. Angeblich war 2014 jeder dritte Rechner potenziell Attacken ausgesetzt. Sehr beliebt bei Hackern sind die Bankdaten von Firmen und Privatpersonen im Internet.

Jüngstes Beispiel: ein Schweizer Unternehmen, das im Januar durch Online-Banking-Betrug um eine Million Euro erleichtert wurde. Ein Angestellter der Buchhaltung ließ die Hacker herein, indem er eine E-Mail mit einem infizierten Anhang öffnete. So konnten die Piraten seinen Computer übernehmen und beim nächsten Onlinebanking zuschlagen.

Frédéric Marchon, Sprecher der Freiburger Kantonspolizei: "Sobald sich der User bei seiner Bank einloggte, wurde der Trojaner aktiv. Eine Botschaft auf dem Bildschirm bat um einen Augenblick Geduld. Und von diesem Moment an war der Rechner 20 oder 30 Minuten blockiert. Die Piraten hatten die Kontrolle über den PC auf Distanz übernommen und konnten mehrere Überweisungen auf Auslandskonten durchführen."

Viren, mit denen sich kriminelle Manöver durchführen lassen, gibt es wie Sand am Meer auf der anderen Seite des Lichts, im sogenannten Dark Net. Das Schadprogramm wacht über den infizierten Computer und schlägt Alarm, sobald ein Onlinebanking Vorgang durchgeführt wird. Der Schweizer Sicherheitsexperte Cédric Enzler erklärt uns, wie der Hacker vorgeht.

Cédric Enzler: "Gerade habe ich mich im Kontrollfenster meines Virus eingeloggt und sehe konkret, wie viele Rechner ich bereits in einem eBanking-Netzwerk infiziert habe und wie viele dieser Rechner gerade eingeloggt sind, die ich hacken kann. In diesem Augenblick sehe ich zwei Computer, die eingeloggt und potenziell bereit für eine Überweisung sind."

Es geht immer ums Geld

Weil auch die Schweiz von der aktuellen Betrugsserie im Internet stark betroffen war, wurde eine Meldestelle für Cyber-Attacken eingerichtet, die diese Fälle registriert und bearbeitet. Konkrete Namen und Zahlen möchte man jedoch nicht nennen. Max Klaus, Sicherheitsexperte: "Das ist ein sehr großes Problem. Man muss sich vorstellen, dass eigentlich jeder, der im Internet etwas Böses machen will, damit natürlich in erster Linie Geld verdienen will. Und da eignen sich Angriffe auf Kunden des eBanking."

Reto E. Koenig von der Berner Fachhochschule hat sich mit der Problematik näher befasst und eine ganz andere Sicherheitslücke ausgemacht: Die gängigen Anwendungen fürs Onlinebanking haben Schwachstellen, beispielsweise das Smartphone.

Reto E. Koenig: "eBanking ist auf Seiten der Elektronik gesichert. Zum Beispiel hat man gesagt: Wir brauchen SSL-Kanäle. Die sind in dem Sinne gesichert, aber sobald die Meldung auf dem Computer oder beim Smartphone ankommt, da ist nichts mehr gesichert. Und Hacker können sowohl den Computer als auch das Smartphone übernehmen. Ab dort ist keine Sicherheit mehr gewährleistet."

Keine der von uns kontaktierten Banken wollte vor der Kamera auf Fragen antworten. In ihren Geschäftsbedingungen warnen die Schweizer Banken vor Sicherheitsproblemen im Internet. Diese Warnungen sind oft mit Ausnahmeklauseln versehen, die eine Haftung bei manipulierten Überweisungen ausschließen.

Mathieu Fleury, Verbraucherschutz: "Der Kunde wird zweimal geschädigt, durch den Internet-Betrug und weil die Geschäftsbedingungen ihm nicht die Möglichkeit geben, sich zu verteidigen. Es gibt durchaus Sondervereinbarungen zwischen Banken und Kunden, aber leider bleiben diese geheim. Wir wissen also nicht, wie die Praxis aussieht, das geht auf Kosten des Kunden." In jedem Fall muss geklärt werden, ob der Kunde durch fahrlässiges Verhalten eine Mitschuld an dem Datendiebstahl hat.

Im Falle eines manipulierten Smart-TAN-Plus-Verfahrens, also mit generierter Transaktionsnummer, muss die Bank nicht haften, das hat ein jüngstes Gerichtsurteil in Deutschland entschieden. Nach einer europäischen Richtlinie gilt, dass Kunden für nicht autorisierte Zahlungsvorgänge nur bis zu einem Betrag von 150 Euro haften - es sei denn, sie haben ihre Pflichten zum Schutz der Zugangsdaten in grob fahrlässiger Weise verletzt. Ein Mitverschulden kann Banken treffen, wenn sie ein veraltetes TAN-System verwenden. Infografik: Ein sicheres Passwort wählenEin sicheres Passwort wählen
Dieses Video empfehlen
Kommentieren18
Jetzt einen Kommentar schreiben
 
Keine Sorge, mit Facebook Pay wird das alles einfacher... also... für die Hacker
 
@Slurp: Du hast die Bezahlsysteme von Apple und Google vergessen.
 
Also meine Bank hat mir (mündlich) versichert, dass Onlinebanking sehr sicher ist. Die würden mich doch nicht anlügen, oder???
 
@Kobold-HH: Musst nur einfach fragen, ob die dir auch garantieren können, dass ihr System 100%ig sicher ist.
 
@M4dr1cks: Da kein System auf der Welt 100%ig sicher sein KANN, wird die Antwort auch "Nein" sein.
 
@Dr. Alcome: War ja auch der Sinn der Frage (=
Weil die labern am Anfang von Sicher dies und das, was ja so gar nicht stimmen kann.
Wenn du dann was konkretes hören willst, können sie dir keine gescheite Antwort geben.
Oder wenn die dich wegen VWL "beraten" wollen, frag die mal, ob sie Prospekte und Unterlagen da hätten, weil du dir das gern nochmal daheim in Ruhe durchlesen willst.
 
@M4dr1cks: Deshalb geben die Banken so etwas auch nur mündlich ab. Das ist schnell vergessen und schwer nachweisbar. Wichtig ist, die volle Verantwortung auf den Kunden abzuwälzen, ohne, dass er es vorher merkt.
 
@Kobold-HH: yepp
 
Das Frage ist im Grunde nicht ob das Problem das Online Banking ist oder ob es sicher ist... Ich wage es mal zu behaupten, dass das Problem meistens vor dem Rechner sitzt. Es gibt natürlich auch Fälle wo der User selbst nichts tun kann, so wie mir mal passiert ist.. Irgendwie kam jemand an meine Bankdaten, ich vermutlich durch einen Online-Shop der gehackt wurde, und hat sich bei Paypal registriert und hat fröhlich Spielewährung gekauft.. Als dann der Lastschrifteinzug kam, war die Verwunderung natürlich groß..

Direkt bei Paypal gemeldet, die haben die Sache untersucht, festgestellt, dass sich jemand mit meinen Daten nen Konto eröffnet (o.O) und fröhlich damit eingekauft hat. Die Lastschrift wurde zurückgebucht, Paypal hat das entsprechende Konto gesperrt, ich musste ne Anzeige erstatten, Paypal ne Kopie zusenden und gegessen war die Sache.. Seit dem gebe ich nirgends mehr meine Kontodaten an..
 
@sLiveX: Tja, wer so überheblich redet, wird bestimmt auch mal in ferner Zeit, das "Problem" sein, dass vor dem Rechner sitzt....
 
@M4dr1cks: Tatsachen aussprechen ist bei dir gleichbedeutend mit Überheblichkeit?! Sorry aber der große Teil der Leute die über Online Banking mit Trojanern abgezockt werden sind nun mal DAU's. Das hat mit Überheblichkeit mal gar nichts zu tun.
 
@sLiveX: Tja, auch irgendwann wird dich mal was erwischen was du noch nicht kennst Irgendjemand neunmalkluges wird dann dich als DAU abstempeln....
 
@sLiveX: Ähm, mal ne Frage: Wie hat derjenige denn die Prüfung seitens Paypal gemacht, die Notwendig ist, wenn man ein Bankkonto mit einem Paypalkonto verknüpft?
 
@iPeople: Gar nicht. Dies scheint nur einmal nötig zu sein, was ja bei meinem Account schon geschehen ist. Lt. Paypal ist das für die Leute gedacht, die in einem Haushalt leben, mehrere Accounts haben, jedoch ein und dasselbe Konto nutzen -> Ehepaare.

Da gebe ich klar Paypal die Schuld, denn man sollte nicht ohne weiteres ein bereits eingetragenes Konto nochmal anlegen dürfen, selbst wenn der Name (fast) identisch mit dem eigentlichen Konto ist. Naja bei mir haben die dieses "Feature" angeblich deaktiviert.
 
@sLiveX: Sorry, aber was Du erzählst, ergibt keinen Sinn. Jemand hat einen Paypal-Account erstellt, einen neuen, und diesen mit Deinem Girokonto verknüpft. Es ist scheiß egal, ob das Konto bereits mit Deinem Konto verknüpft ist, es erfordert wiederum bei Neuaccounts eine Verifizierung, auch wenn dieser neuaccount auf Deinen Namen läuft.
 
@iPeople: Das dachte ich bis zu diesem Zeitpunkt auch. Auch mir kommt die ganze Geschichte seltsam vor, das kannst du mir glauben. Aber ich kann dir nur das sagen was die "Falluntersuchung" bei Paypal lt. Hotline ergeben hat. "Jemand hat einen Account angelegt und über diesen mit Ihren Kontodaten eingekauft".

Nach weiterem nach bohren kam dann die o. g. Aussage @Eheleute (Sinngemäß). Ob Paypal da Scheiße erzählt hat oder nicht kann ich schlecht nachprüfen.
 
Woher haben die Hacker denn die für die Überweisung nötige TAN-Liste?
 
Die Chance auf der Strasse ausgeraubt zu werden ist bei weitem höher als Online. Also keine Panik.
Kommentar abgeben Netiquette beachten!