"Also ich persönlich mach kein Onlinebanking mehr."
"Ich hab noch nie Homebanking gemacht."
Zwei IT-Sicherheitsexperten mit Statements, die eigentlich schon alles sagen. Sicheres Online-Banking scheint mittlerweile beinahe ein Ding der Unmöglichkeit zu sein. So genannte Phisher klauen zuerst Zugangsdaten und Transaktionsnummern und dann das Geld ihrer ahnungslosen Opfer. Und ihr Vorgehen wird immer raffinierter. Die Banken reagieren bisher zaghaft, etwa durch Einführung der iTAN, der durchnummerierten Transaktionsnummer. Die ist zwar sicherer als die gewöhnliche TAN, doch auch diese Medaille hat zwei Seiten:
"Das hat ganz eindeutig das Phishing mit gefälschten Webseiten auf den absteigenden Ast gebracht. Und das Phishing mit trojanischen Pferden, die die komplette Kommunikation und sämtliche persönliche Identitäten im Internet ausspioniert, und zwar ohne dass man das merkt, da kann auch ein Experte drauf reinfallen und merkt nicht, dass er sozusagen einen elektronischen Begleiter hat, der ihn beobachtet, und das ist ganz dramatisch jetzt im Steigen in Deutschland."
Sagt Christoph Fischer, der Banken in Sachen Sicherheit berät. Die alten Ratschläge für die Kunden der Banken sind mittlerweile überholt: Hier auf die richtige Internetadresse achten, dort einen Blick auf das Schloss-Symbol im Browser. Die Phisher können diese Hürden mittlerweile nehmen, sagt Maximillian Dornseif von der Universität Mannheim.
"Was definitiv schon unterwegs ist, ist Malware, also Viren oder Trojaner, wie man es denn nennen will, die anfangen, das User-Interface anzugreifen. Und dann kann man dem Computer eigentlich überhaupt nicht mehr vertrauen, weil man ja gar nicht weiß, ob das, was auf dem Bildschirm dargestellt ist, wirklich das ist, was man sehen sollte, oder ob das nicht das Trojanische Pferd da hingemalt hat."
Selbst die vermeintlich sichere SSL-Verschlüsselung kann ausgetrickst werden, indem sich ein fremder Rechner in die Verbindung einklinkt und das Zertifikat austauscht. Die Schuld am Phishing den Nutzern zuzuschieben, wird also nicht mehr lange funktionieren, wenn selbst Fachleute die Betrüger nicht auf Anhieb entlarven können. Auch die Computer der Nutzer sicherer zu machen, ist nur begrenzt möglich. Das Problem muss grundlegender angegangen werden. Maximillian Dornseif und seine Kollegen nähern sich dem Phänomen Phishing deshalb aus Forschersicht. Wie einen Köder stellen einen ungeschützten Rechner ins Internet und beobachten, was passiert. Es dauert nicht lange, bis ein Phisher über den Computer E-Mails versendet oder eine gefälschte Webseite dort ablegt.
"Wir können im Prinzip das ganze Verhalten des Phishers beobachten. Ganz interessant und amüsant war zum Beispiel, zu sehen, dass der, den wir als erstes dort gefangen hatten, sich offensichtlich nicht gut mit Computern auskannte. Er vertippte sich ständig, schrieb Kommandos falsch, musste offensichtlich mehrfach nachlesen, wie er sich zu verhalten hat. Also er benutzte im Prinzip irgendeine Anleitung von jemand anders und kam mit jeder ungewöhnlichen Situation nicht zurecht. Das ist für Leute, die sich mehr mit der Strafverfolgung auskennen, also Polizei und so weiter, wahrscheinlich sehr hilfreich, um die Tätergruppe einzukreisen."
Ein anderer Ansatz der Mannheimer Forscher ist die Computer-Forensik. Dabei nehmen sie sich den schädlichen Kode eines Trojaners direkt vor. Sie versuchen, die Programme zu verstehen und die Gedanken und Absichten des Programmierers zu durchschauen. Zwischen den einzelnen Trojanern und Viren können sie Ähnlichkeiten ausmachen und so eine Art Stammbaum erstellen. Wer hat von wem abgeschrieben oder etwas weiterentwickelt? Wo ist ganz neuer Kode entstanden? Beziehungen zwischen Phishing-Gruppen lassen sich so möglicherweise aufdecken. Auch die Banken versichern, mit allen Mitteln gegen Phishing vorzugehen. Doch zu sehen ist davon wenig. Lösungen wie das Chipkarten-Banking mit HBCI werden kaum propagiert, so genannte Token, kleine elektronische Geräte, die ständig neue Transaktionsnummern generieren, sind zu teuer. Bankenberater Christoph Fischer:
"Der Businesscase für hardwarebasierte Authentifikationstoken ist noch nicht da. Auf deutsch: Der Schaden für die Banken ist noch nicht groß genug. Immerhin fünf Millionen Euro sollen im vergangenen Jahr durch Phishing von deutschen Konten unwiederbringlich erbeutet worden sein."
"Ich hab noch nie Homebanking gemacht."
Zwei IT-Sicherheitsexperten mit Statements, die eigentlich schon alles sagen. Sicheres Online-Banking scheint mittlerweile beinahe ein Ding der Unmöglichkeit zu sein. So genannte Phisher klauen zuerst Zugangsdaten und Transaktionsnummern und dann das Geld ihrer ahnungslosen Opfer. Und ihr Vorgehen wird immer raffinierter. Die Banken reagieren bisher zaghaft, etwa durch Einführung der iTAN, der durchnummerierten Transaktionsnummer. Die ist zwar sicherer als die gewöhnliche TAN, doch auch diese Medaille hat zwei Seiten:
"Das hat ganz eindeutig das Phishing mit gefälschten Webseiten auf den absteigenden Ast gebracht. Und das Phishing mit trojanischen Pferden, die die komplette Kommunikation und sämtliche persönliche Identitäten im Internet ausspioniert, und zwar ohne dass man das merkt, da kann auch ein Experte drauf reinfallen und merkt nicht, dass er sozusagen einen elektronischen Begleiter hat, der ihn beobachtet, und das ist ganz dramatisch jetzt im Steigen in Deutschland."
Sagt Christoph Fischer, der Banken in Sachen Sicherheit berät. Die alten Ratschläge für die Kunden der Banken sind mittlerweile überholt: Hier auf die richtige Internetadresse achten, dort einen Blick auf das Schloss-Symbol im Browser. Die Phisher können diese Hürden mittlerweile nehmen, sagt Maximillian Dornseif von der Universität Mannheim.
"Was definitiv schon unterwegs ist, ist Malware, also Viren oder Trojaner, wie man es denn nennen will, die anfangen, das User-Interface anzugreifen. Und dann kann man dem Computer eigentlich überhaupt nicht mehr vertrauen, weil man ja gar nicht weiß, ob das, was auf dem Bildschirm dargestellt ist, wirklich das ist, was man sehen sollte, oder ob das nicht das Trojanische Pferd da hingemalt hat."
Selbst die vermeintlich sichere SSL-Verschlüsselung kann ausgetrickst werden, indem sich ein fremder Rechner in die Verbindung einklinkt und das Zertifikat austauscht. Die Schuld am Phishing den Nutzern zuzuschieben, wird also nicht mehr lange funktionieren, wenn selbst Fachleute die Betrüger nicht auf Anhieb entlarven können. Auch die Computer der Nutzer sicherer zu machen, ist nur begrenzt möglich. Das Problem muss grundlegender angegangen werden. Maximillian Dornseif und seine Kollegen nähern sich dem Phänomen Phishing deshalb aus Forschersicht. Wie einen Köder stellen einen ungeschützten Rechner ins Internet und beobachten, was passiert. Es dauert nicht lange, bis ein Phisher über den Computer E-Mails versendet oder eine gefälschte Webseite dort ablegt.
"Wir können im Prinzip das ganze Verhalten des Phishers beobachten. Ganz interessant und amüsant war zum Beispiel, zu sehen, dass der, den wir als erstes dort gefangen hatten, sich offensichtlich nicht gut mit Computern auskannte. Er vertippte sich ständig, schrieb Kommandos falsch, musste offensichtlich mehrfach nachlesen, wie er sich zu verhalten hat. Also er benutzte im Prinzip irgendeine Anleitung von jemand anders und kam mit jeder ungewöhnlichen Situation nicht zurecht. Das ist für Leute, die sich mehr mit der Strafverfolgung auskennen, also Polizei und so weiter, wahrscheinlich sehr hilfreich, um die Tätergruppe einzukreisen."
Ein anderer Ansatz der Mannheimer Forscher ist die Computer-Forensik. Dabei nehmen sie sich den schädlichen Kode eines Trojaners direkt vor. Sie versuchen, die Programme zu verstehen und die Gedanken und Absichten des Programmierers zu durchschauen. Zwischen den einzelnen Trojanern und Viren können sie Ähnlichkeiten ausmachen und so eine Art Stammbaum erstellen. Wer hat von wem abgeschrieben oder etwas weiterentwickelt? Wo ist ganz neuer Kode entstanden? Beziehungen zwischen Phishing-Gruppen lassen sich so möglicherweise aufdecken. Auch die Banken versichern, mit allen Mitteln gegen Phishing vorzugehen. Doch zu sehen ist davon wenig. Lösungen wie das Chipkarten-Banking mit HBCI werden kaum propagiert, so genannte Token, kleine elektronische Geräte, die ständig neue Transaktionsnummern generieren, sind zu teuer. Bankenberater Christoph Fischer:
"Der Businesscase für hardwarebasierte Authentifikationstoken ist noch nicht da. Auf deutsch: Der Schaden für die Banken ist noch nicht groß genug. Immerhin fünf Millionen Euro sollen im vergangenen Jahr durch Phishing von deutschen Konten unwiederbringlich erbeutet worden sein."