Phishing-Betrugsversuche haben 2004 explosionsartig zugenommen und werden in 2005 weiter steigen. Der Schutz ist schwierig, da beim Phishing zum Teil sehr grundlegende Technologien des Online-Bankings wie JavaScript missbraucht werden. Doch Banken können sich und ihre Kunden schützen. Durch die Einhaltung grundlegender Sicherheitsrichtlinien für die Internet-Nutzung, insbesondere für Online-Banking, können aufmerksame Kunden Schäden vermeiden helfen. Dies ist jedoch mit einigem Aufwand verbunden. Zu diesem Fazit kommt die Forschungs- und Entwicklungsabteilung der PASS Consulting Group.
Immer mehr Internet-Nutzer werden durch offiziell anmutende Webseiten dazu gebracht, ihre persönlichen Zugangsdaten Dritten preis zu geben, die diese dann für kriminelle Zwecke missbrauchen. Dieser "Phishing" genannte Datendiebstahl ist in Deutschland im Vergleich zum Ausland erst spät in die Schlagzeilen gekommen, wird dafür aber umso intensiver diskutiert. Hierzulande sind bislang weniger als fünf Schadensfälle beim Banking offiziell bekannt geworden. Die Zahlen des Auslands sprechen allerdings eine andere Sprache: Der Phishing-Report der internationalen Anti-Phishing Working Group (
) für November 2004 meldete 8.459 verschiedene neue Phishing-Mails, und der britische Security-Provider Message Labs hat einen Anstieg der Phishing-Mails innerhalb eines Jahres von 279 (September 2003) auf über 2 Millionen in September 2004 verzeichnet; im November waren es bereits über 4 Millionen weltweit.Das Risiko insbesondere für den Bereich des Online-Banking ist deutlich: Im schlimmsten Fall entsteht dem Kunden ein Schaden in Höhe des Online-Überweisungslimits pro "gephischter" Transaktionsnummer (TAN). Was für die Banken allerdings schwerer wiegt, ist der Imageschaden und der Vertrauensverlust beim Kunden. Die Kunden könnten aus ihrer Verunsicherung zu den für beide Seiten teureren Überweisungs-vordrucken aus Papier zurückkehren. Gegenwärtig sind im Vergleich zum Kreditkartenmissbrauch die Schäden noch minimal. Die Qualität und Professionalität der Phishing-Attacken steigt allerdings.
Klare Empfehlungen
Durch die zunehmende öffentliche Diskussion werden nun auch Hersteller, Anbieter und User in Deutschland sensibilisiert. Sie können reagieren und werden schwerer zu überlisten sein. Die Empfehlungen etwa der Bundesverband Deutscher Banken-Broschüre (siehe: Sicherheit im Online-Banking) sind effizient: User sollten diese Sicherheitsrichtlinien umsetzen, Browser-Hersteller müssen die Löcher in ihren Produkten stopfen, Banken ihre Kunden aufklären, Gefahrenquellen auf ihren Angeboten beseitigen und überwachen, Softwarehersteller und E-Mail-Provider die Verbreitung von Phishing-Mails frühzeitig unterbinden.
Auf folgende Empfehlungen für die User sollten die Banken hinweisen:
- Sorgfalt beim Umgang mit Passwörtern, PIN (Personal Identification Number) und TAN
- die Überprüfung von URLs, SSL (Secured Sockets Layer) und Zertifikaten
- regelmäßige Updates von Virenschutz, Betriebssystem und Browser
- richtige Konfiguration von Firewall und Browser.
Das hat allerdings zur Folge, dass viele Web-Seiten nicht mehr korrekt dargestellt werden.
Schutz für die Online-Banken
Banken müssen Mail-Phishing als zunehmend ernsthaftes Problem betrachten. Security-Assessments für ihr Online-Banking und Aufklärung der Kunden sind effiziente Maßnahmen. Handlungsbedarf für die Online-Banking-Anbieter besteht allerdings auch im Bereich der JavaScripts: Die neue Studie der PASS Consulting Group zum Thema "Online-Banking 2005" gibt an, dass ohne Java-Script 60 Prozent der Transaktionsbereiche der in der Studie untersuchten Online-Banking-Angebote nicht nutzbar waren. 12 Prozent der Auftritte konnten ohne Java-Script gar nicht geöffnet werden.
Quelle: PASS IT-Consulting, www.pass-consulting.com