Login eingeben ... das Passwort ... und die Überweisungsdaten. Jetzt nur noch die TAN vom Handy abtippen und fertig. Finanztransaktionen, etwa eine Überweisung, sind dank Online-Banking heute nur eine Sache von wenigen Minuten, manchmal nur weniger Sekunden. Allerdings brauchen auch Kriminelle nicht länger, wenn sie Finanzinstitute angreifen und Konten abräumen.
Folglich müssen die Anbieter klar und schnell unterscheiden können, was eine erwünschte Aktion des eigenen Kunden ist und was die eines unerwünschten Angreifers. Hier aber liege das Problem. Das haben Forscher des IT-Sicherheitsunternehmens Kaspersky herausgefunden. Ross Hogan, Leiter der Abteilung Missbrauchsabwehr der Kaspersky Labs über die Ergebnisse der jüngst veröffentlichten Studie:
"Die wichtigste Erkenntnis unserer Untersuchung ist, dass es 38 Prozent der Finanzinstitute zunehmend schwer fällt zu unterscheiden, ob eine Online-Verbindung zu einem Kunden normal oder betrügerisch ist. Das ist ein großes Problem, das angepackt werden muss. Es ist klar, dass Banken die notwendigen Tools derzeit nicht immer zur Hand haben, um sich und ihre Kunden zu schützen. Aber: Die Banken wissen um dieses Problem. Mehr als die Hälfte der Befragten hat eingeräumt, dass Transaktionen besser geschützt werden müssen."
Dabei würde man eigentlich annehmen, dass Technik hoch entwickelt ist und entsprechend sicher. Doch das Problem ist vielschichtig, so Hogan:
"Das Problem ist komplex. Die Zahlen zeigen, dass den Banken die richtigen Lösungen fehlen. Deshalb können sie schlecht unterscheiden. Nur 57 Prozent der Finanzinstitute haben Betrugs-Erkennungs-Systeme im Einsatz. Aber auch da hakt es. Oft sind die Systeme nicht gut genug, um betrügerische Aktionen auf allen Ebenen über den gesamten Transaktionsvorgang hinweg aufzuspüren. Was die Sache noch komplizierter macht ist, dass die Betrüger immer gewiefter werden und ihre Angriffe anpassen. Dieses Problem löst man nicht dadurch, dass man eine Maschine irgendwo hinstellt, da muss eine ausgeklügelte Abwehrstrategie her."
Bundesverband der deutschen Banken weißt Kritk von sich
Auch der Bundesverband der deutschen Banken sieht die Notwendigkeit einer guten Strategie. Der Studie des IT-Sicherheitsunternehmens jedoch steht der Verband zwiespältig gegenüber. Pressesprecherin Tanja Beller bemängelt die Pauschalkritik an Banken und anderen Finanzakteuren:
"Die Aussage, die können wir so nicht stehen lassen. Was wir aber stehen lassen können, was auch in der Untersuchung gesagt wurde, ist, dass es immer schwerer ist auch für die Banken zu erkennen, was sind falsche und was sind betrügerische Transaktionen, weil einfach auch die Angreifer immer professioneller werden."
Früher seien die Angriffe schlicht plumper und damit einfacher zu erkennen gewesen. Damit ist es aber lange schon vorbei. Heute stehen die Institute organisierten und hoch gerüsteten Angreifern gegenüber. Ein ewiger Wettlauf, der die Banken auch finanziell fordert, so Beller:
"Die Banken müssen natürlich auch immer mehr investieren. Also immer mehr Gelder auch in die Hand nehmen, um die Sicherheit des Onlinebankings zu gewähren, einfach weil auch die Kriminellen sozusagen aufrüsten. Es wird also auch schwieriger, die Angriffe abzuwehren oder zu unterscheiden, aber man kann nicht sagen, dass das den Banken nicht gelingt."
Auf Technik allein ist kein Verlass
Doch technische Maßnahmen allein reichten nicht aus, warnt Sicherheitsforscher Ross Hogan. Man dürfe sich nicht blind auf Technik verlassen, sondern müsse auch das Verhalten der Kunden und die Angriffe beständig analysieren:
"Wenn wir nur auf die Technik schauen, dann ist klar, dass neue ergänzende Systeme nötig sind. Noch immer gibt es Systeme, die nur Teile einer Transaktion beachten und deshalb viel zu spät einen Betrug erkennen. Dabei gibt es Systeme, die schon frühzeitig weiterreichende Informationen liefern können, so dass Banken bessere Entscheidung treffen könnten."
Für Deutschland schätzt Verbandssprecherin Tanja Beller die Lage als überschaubar ein. Hierzulande seien Banken wie Kunden nicht übermäßig gefährdet, meint sie:
"Generell muss man sagen, dass die Banken auf jeden Fall gut aufgestellt sind. Wir haben ja wirklich sehr sichere Systeme, die wir anbieten. Sei es im Zahlungsverkehr, sei es im Onlinebanking. Und die Rückmeldung von unseren Kunden ist so, dass die das auch so empfinden.
Nichtsdestotrotz ist das ein nicht vollendeter Prozess. Und da wird es auch immer wieder Neuerungen geben. Banken müssen auch manchmal ihre gesamten IT-Systeme, denn Teile sind natürlich manchmal auch veraltet, dann müssen wieder neue aufgespielt werden. Es muss sich weiterentwickeln. Es ist einfach ein laufender Prozess. Man kann sich darauf nicht ausruhen. Aber generell bietet die deutsche Kreditwirtschaft sehr sichere Zahlungssysteme an."