Das iff warnt davor, die Bankkunden mit immer mehr Arbeit auf dem Internet zu belasten, die daraus entsteht, dass die Online-Systeme grundsätzlich deshalb nicht sicher sind, weil die Banken füreinander bzw. für den Missbrauch keine Haftung übernehmen wollen. Nachdem alle sicheren Systeme wie BTX-Banking oder https oder Telefonverbindung und Dongles aus Kostengründen abgeschafft wurde, zeigt sich jetzt, dass das Internet nicht vor Verbrechersyndikaten geschützt werden kann. HBCI, TAN, PIN, iTAN, personal key usw. sind kurzfristige Reaktionen, die schon bald mit Phishing, Pharming oder Eingriff in den Internetzugang geknackt werden.

Wir dokumentieren einige neue "Errungenschaften", die die Verbraucher beunruhigen dürften:

PHISHING
Eine Kundin erhält eine e-mail mit der Bitte, doch einmal die Bankseite aufzusuchen. Dort soll sie ihre Zahlen eingeben. Die Bankseite ist nur die nachgemachte Seite der Bank. Der Absender erhält die Zugangsdaten und überweist auf ein Konto einer Bank. Diese Bank weiß schon ein paar Tage danach nicht mehr, wer der Kunde war und weigert sich auch, das Geld zurückzuüberweisen. Die Banken erklären den Kunden für schuldig, haben aber früher selber e-mails an Kunden geschickt und können den Missbrauch ihrer Embleme auf dem Internet nicht in den Griff bekommen.

Schutz: Keine e-mails von Banken mehr beantworten. Wirklich?

PHOOKING
Den Begriff haben wir gerade erfunden. Er nutzt die Möglichkeit der Rückbuchung von irrtümlichen Beträgen, indem Kunden mit Geldüberweisungen geködert werden, ihrerseits kleine Beträge zu überweisen. Während ihre Überweisung steht, wird das ihnen zugeflossen Geld zurückgebucht.

Beispiel: Ein 22Jähriger erhält eine E.Mail von angeblichen Kunstliebhabern im Ausland, in der er gebeten wird, über sein Konto ersteigerte Kunstgegenstände zu bezahlen. Dafür soll er 10% des Kaufpreises als Provision erhalten. Die Liebhaber wollen anonym bleiben und daher über seine Bankverbindung bezahlen. In der Folge erhält er mehrmals im Monat Überweisungen, die er auf das ihm von den Liebhabern mitgeteilte Konto weiterüberweist, unter Abzug seiner Provision. Alles läuft zunächst glatt, der junge Mann freut sich über seine Provision. Nach einigen Wochen aber werden die entsprechenden Beträge von seinem Konto zurückgebucht. Es gibt Ärger mit den Überweisenden, die entsprechende Überweisungen nie abgeschickt haben wollen. Da das Geld bereits weitergeleitet ist, gerät sein Konto ins Minus.

Schutz: Geld nur nach an Bekannte überweisen.

PHARMING
Wer auch das noch gelernt hat, dem passiert jetzt etwas ganz Unbeherrschbares. Was das mit Kühen zu tun hat, steht weiter unten. Ohne es zu merken erwischt er beim einfachen Internetbanking eine Scheinseite, obwohl er die Richtige eingegeben hat. Die dort gewonnen Daten incl. iTan werden automatisch sofort auf der richtigen Seite weiterverwendet, nur mit der kleinen Besonderheit, dass der Überweisungsempfänger jetzt nicht Tante Emma und der Betrag nicht mehr 50 € lautet.

Pharming nutzt dabei eine Schwachstelle in der Sicherheitstechnik von Internetbrowsern und funktioniert folgendermaßen:
Wird im Browser (sei es der IE, Firefox oder Mozilla) eine Internetadresse als Text eingegeben, dann muss diese in eine eindeutige IP- Adresse zerlegt werden. Hierzu fragt der Browser normalerweise beim nächstgelegenen DNS (domain-name)- Server nach und erhält von diesem die Auflösung des Namens zur entsprechenden ip- Adresse. So wird beispielsweise aus der Adresse www.iff-hamburg.de die IP- Nummer 212.72.173.72. Mit dieser IP- Adresse arbeitet der Broser dann weiter, um die gewünschte Seite auf dem so eindeutig identifizierten Rechner abzurufen. Würde man sie kennen, könnte man sie auch gleich im Browser eingeben. Um sich bei häufig benutzten Adressen den zeitraubenden Umweg über die DNS-Server zu sparen, speichern die Browser normalerweise die IP-Nummern, die sie einmal von den DNS-Servern erhalten haben, in einem speziellen Verzeichnis: dem DNS Cache (einer einfachen Textdatei).

Genau dies machen sich die Betrüger zunutze: Sie verschicken Viren oder Trojaner, mit deren Hilfe der DNS-Cache (bzw. eine Datei, in der solche Zuordnungen gespeichert sind, die "hosts"-Datei) auf dem Zielcomputer gelöscht und durch einen eigenen, manipulierten Text ersetzt wird. Dieser enthält die Liste der Internetadressen verschiedener Banken mit falschen IP Auflösungen. Wird im Browser die Adresse als Text richtig eingegeben, ruft der Computer dennoch eine gefälschte Seite auf, weil er die entsprechende Adresse aus seinem DNS-Cache holt und dort die Adresse des Betrügerrechners hinterlegt ist und nicht die des Rechners der Bank. Gibt der Betroffene also www.meine-bank.de ein, landet er nicht bei seiner Bank, sondern beim Rechner der Betrüger, der aber eine täuschend echte Nachahmung der Bankseite enthält, um die Kontodaten auszuspionieren. Der Betroffene gibt also nicht einmal eine falsche Adresse ein. Dann funktioniert der Betrug nicht anders als beim Phishing: der feindliche Rechner fungiert als "men in the middle", d.h., er fragt die Kontodaten des ahnungslosen Kunden über eine täuschend ähnliche Website ab und veranlasst eine Überweisung von dessen Konto mit Hilfe der echten Pin und Tan. Als Überweisungsempfänger wird der anfangs erwähnte "Helfer", dh. der arbeitslose junge Mann angegeben, der sich dann später den Rückforderungsansprüchen ausgesetzt sieht. Der Trick funktioniert mit iTans genau so wie mit Tans. Das Schädlingsprogramm kann sogar durch Internetseiten auf den Zielrechner gebracht werden.

Der Trick wird in so großem Stil betrieben, dass die Betrügerrechner wie die Kühe auf der Farm weiden, um möglichst viele Ahnungslose abzugrasen. Mit dem Unterschied, dass sie Kontodaten fressen und dann nicht Milch, sondern gleich Bares auswerfen.

Schutz: Zum einen kann man den DNS-Cache vor jedem Besuch der eigenen Banksite manuell löschen. Dazu geht man in Windows über Start Ausführen und gibt dort cmd ein. Anschließend in dem sich öffnenden Fenster: ipconfig/flushdns eingeben und der Cache ist gelöscht. Die "hosts"-Datei kann man mit einem Schreibschutz versehen.
Die zweite Möglichkeit ist, beim Onlinebanking nur über sichere Verbindungen (https anstelle von http zu gehen). Dies sieht man zum einen an der Adresszeile, zum anderen an dem Schlosssymbol des IE. Schließlich haben Administratoren die Möglichkeit, die Verwendung des DNS Cache ganz auszuschließen.

So einfach ist das.

BRAVE NEW WORLD VON 1984

Das ganze führt zu einer Mischung aus big brother von Orwell und Aldous Huxley. Wir sollten nicht mehr versuchen uns zu entfalten sondern uns so zu falten, wie die Sicherheitslage es erfordert. Nie im Dunklen vor die Tür, keine abgestellten Koffer und Tüten passieren, Computer nur noch mit Experten anmachen, Fahndungsfotos ständig mitführen und vergleichen, jeden Abend zwei Stunden für die Bank reservieren, damit man die Sicherheitsschritte alle richtig macht und vor allem Jura studieren, damit die anschließenden Prozesse billiger bewältigt werden können.

Gibt es eine Lösung? Ja, Schäden, die nur Vermögensschäden sind, sollten zugelassen und allgemein durch alle Nutzer gemeinsam versichert werden. Die Versicherer erhalten dann die Aufgabe, die Schäden gering zu halten und die Anbieter auf Schadensersatz zu verklagen, die mutwillig solche Löcher im System zugelassen habne. Der Verbraucher würde ein Stück der ihm im 19. Jahrhundert versprochenen Freiheit zurückerhalten.