Ein Wort reicht nicht aus – Betrug beim Online-Banking

Original Beitrag von Rik Ferguson (Solutions Architect, Trend Micro)

Ein amerikanischer Richter hat einem Paar erlaubt, seine Bank in einem Fall anzuklagen, der bedeutende Auswirkungen auf die gesamten USA haben könnte.
Werbung eines Kartenfälscherforums

Werbung eines Kartenfälscherforums

Marsha und Michael Shames-Yeakel behaupten, Opfer von Betrug geworden zu sein, der über ihr Online-Bankkonto ausgeführt wurde und bei dem es sich um einen Schaden in Höhe von 26.500 $ handelt. Wie bereits ausführlich von David Johnson, Blogger zu juristischen Fragen, in Digital Media Lawyer Blog berichtet, beschuldigt das Paar die Citizens Financial Bank, es versäumt zu haben, zum Zeitpunkt des angeblichen Vorfalls neueste Sicherheitstechnologie installiert zu haben. Anfang des Monats weigerte sich eine amerikanische Bezirksrichterin, einem Antrag auf beschleunigtes Verfahren zugunsten des Geldinstituts stattzugeben, und gab so den Weg zur Austragung des Falls vor Gericht frei. In ihrem Richterspruch gab sie an, dass

„angesichts des offensichtlichen Zeitverzugs, mit dem Citizens die FFIEC-Sicherheitsstandards umgesetzt hat, könnte man bei hinreichender Beweislage zum Schluss kommen, dass die Bank ihrer Verpflichtung zum Schutz der Ankläger vor betrügerischem Zugriff auf ihr Konto nicht nachgekommen sei.“

Ein FFIEC-Bericht von 2005 mit dem Titel Authentifizierung in einer Online-Banking-Umgebung besagt, dass

„laut Behörden Einzelfaktor-Authentifizierung als einziger Kontrollmechanismus unzureichend für hochriskante Transaktionen ist, bei denen auf Kundendaten zugegriffen wird oder Beträge zwischen Konten verschoben werden.“

Allein die Vielzahl privater Finanzdaten und die Leichtigkeit, mit der auf sie zugegriffen werden kann, ist schwindelerregend. Glauben Sie nicht auch nur eine Sekunde lang, dass Kosten oder fehlende Kenntnisse den Weg in die zwielichtige Welt des Kartenfälschens und finanziellen Online-Betrugs versperren. Anmeldedaten für das Online-Banking werden in der Regel als Prozentsatz der auf dem Konto verfügbaren Gesamtsumme verkauft. Heutzutage sind Bankkonten, darunter private, geschäftliche und internationale Konten, bereits für 3 % erhältlich.

Für „n00bs“ (newbies, Neulinge) veröffentlichen erfahrenere Betrüger Anleitungen in Untergrundforen, wo diese Angaben ge- und verkauft werden. Ein Artikel: „Banküberweisungen für Neulinge, oder Wie verdiene ich die ersten 1000 Dollar“ erläutert die Vorgehensweise und verdeutlicht, welche zusätzlichen Daten der Betrüger benötigt und wie man verhindert, Überwachungssysteme auszulösen, die betrügerische Transaktionen aufdecken sollen.

Es überrascht nicht, dass eine große Mehrheit entwendeter Bankdaten von amerikanischen Opfern stammt. Amerika ist eine große Monokultur und verwendet eine gemeinsame Sprache. In Europa erfordert Online-Betrug häufig auch die entsprechenden Sprachkenntnisse. Ein weiterer wichtiger Faktor: Online-Banking-Sicherheit in den USA liegt im Vergleich zu den in Europa installierten Mechanismen abgeschlagen auf Platz 2. Beim Online-Banking in den USA genügt oft noch einfach der Benutzername zusammen mit einem Kennwort. In den seltenen Fällen, in denen eine Bestätigungsnummer erforderlich ist, wird sie häufig an das E-Mail-Konto des Kunden gesendet und kann einfach von einem Betrüger ausspioniert werden. Dies nennt man Einzelfaktor-Authentifizierung, da sie nur auf „etwas, das Sie wissen“ beruht; in diesem Fall dem Kennwort.

In Europa ist die 2-Faktor-Authentifizierung seit Jahren gängige Praxis – Deutschland und Frankreich haben dies schon in der Zeit vor dem Internet für Banking über BTX und Minitel verwendet. 2-Faktor-Authentifizierung erfordert einen Benutzernamen und ein Kennwort, also „etwas, das Sie wissen“, sowie eine zusätzliche Information, die häufig auf „etwas, das Sie haben“ basiert. In Deutschland funktioniert dies über eine TAN (Transaktionsauthentifizierungsnummer), einem Blatt mit einmalig zu verwendenen Nummern, das jedem Kunden regelmäßig gesendet wird. Es gibt Banken, die eine mobile TAN verwenden, die sie per SMS an das Mobiltelefon des Kunden senden. Andere Banken senden Hardware-Token an alle Kunden, über die zufällige Codes erzeugt werden. Wiederum andere Banken bieten Bank- oder ID-Kartenlesegeräte, die eine PIN abfragen und dann einen Bestätigungscode erzeugen. In den meisten Fällen sind diese Codes erforderlich, wenn ein Kunde Geld verschiebt oder eine Überweisung tätigt.

Der Einsatz derartiger Technologien in Europa sowie die erforderlichen Sprachkenntnisse machen die USA umso attraktiver für betrügerisches Online-Banking. Und solange Geldinstitute nicht in die notwendigen Sicherheitstechnologien investieren, wird sich daran auch nichts ändern.

So weit, so gut. Doch auch manche europäische Bankkunden sind mit der 2-Faktor-Authentifizierung nicht vertraut, da auch gewisse europäische Länder (wie es mit Chip- und PIN-Karten der Fall war) sich beim Einsatz von Sicherheitstechnologien beim Online-Banking Säumigkeit vorwerfen lassen müssen. Wenn Ihre Bank also diese zusätzliche Sicherheit nicht braucht, können Sie darauf wetten, dass dies auch die Cyber-Kriminellen wissen und dass sie sich Ihre Bank und Ihr Konto als Ziel vornehmen.

Man sollte sich auch klarmachen, dass man sich nicht darauf verlassen kann, dass das Geldinstitut immer aus Kulanz für Schäden durch Cyber-Kriminelle aufkommt. Ein Argument, das ich immer wieder von Freunden und Bekannten höre, ist: „Warum sollte ich mir Sorgen machen, wenn die Bank doch für meinen Verlust gerade steht?” Sollten die Verluste durch Cyber-Kriminalität eines Tages zu groß werden, können britische Banken sich beispielsweise auf ihr Bankrecht berufen, das aussagt:

„Wenn Sie die angemessene Sorgfaltspflicht außer Acht lassen und es dadurch zu Verlusten kommt, können Sie dafür zur Verantwortung gezogen werden. (Dies gilt beispielsweise, wenn Sie nicht die Paragraphen 12.5 und 12.9 befolgen, oder wenn Sie sich nicht an die AGB Ihres Kontos halten.)“ (Hervorhebungen von mir.)

Paragraph 12.9 des Gesetzes besagt: „Schützen Sie Ihren PC. Verwenden Sie aktuelle Antiviren- und Anti-Spyware-Software sowie eine Personal Firewall.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*