"In Zukunft werden die Angriffe häufiger"

Wird Online-Banking immer unsicherer, wie das Bundeskriminalamt warnt?

Nein, nicht per se. Die Banken arbeiten ja ständig daran, das Online-Banking sicherer zu machen, das hat gute Effekte. Allerdings werden auch die Angriffe technisch immer versierter. Ein Beispiel sind Phishing-Mails: Vor einigen Jahren waren die noch voll mit Rechtschreibfehlern, heute sind die viel professioneller gemacht. Das Problem ist: In Zukunft werden die Angriffe häufiger.

Gibt es denn ein TAN-Verfahren, das 100-prozentig sicher ist?

100-prozentige Sicherheit kann man in der Informatik nie garantieren. Jeder, der etwas anderes behauptet, widerspricht den Grundlagen. Man kann höchstens sagen, ob es noch keine Angriffe gegeben hat. Und wo Menschen beteiligt sind, passieren Pannen: Es gibt zum Beispiel Fälle, da haben Bankkunden nach einer entsprechenden Aufforderung ihre TAN-Liste direkt zu den Betrügern gefaxt.

Woran erkenne ich, ob das Verfahren meiner Bank sicher ist?

Ein externes Gerät für die TAN-Generierung mit eigenem Display und Tastatur ist von Vorteil. Dann muss ich meine Daten nicht am PC eingeben, der möglicherweise mit Trojanern verseucht ist. Das ist das Problem, das viele im Alltag haben: Sie wissen nicht, ob sie ihren Computern vertrauen können. Ob sie sauber sind, frei von Schadsoftware. Man weiß nicht, was mit den vertrauenswürdigen Daten passiert, die eingegeben werden – ob sie etwa heimlich an Hacker weitergeleitet werden. Da reicht es, einmal auf eine verseuchte Internetseite zu gehen, und schon geht der Angriff los, ohne dass man davon etwas mitkriegt.

Reicht normale Schutzsoftware aus, um meinen PC sicher zu machen?

Das kann man nicht sagen. Wenn man sich bereits einen Virus gefangen hat, kann es schon zu spät sein. Und die Schutzsoftware kann immer nur die Schädlinge finden, die schon bekannt sind, also immer nur reagieren – neu programmierte Schadsoftware wird nicht erkannt.

Wo sitzen die Betrüger?

Laut Berichten vor allem in Osteuropa, ich will mich da an Spekulationen aber nicht beteiligen. In jedem Fall sind sie immer besser organisiert. Es gibt richtige Arbeitsteilung: Diejenigen, die das Geld abzapfen, sind nicht diejenigen, die die Phishing-Mails schreiben oder die geklonte Seiten programmieren. Das ist alles sehr schwer zu durchschauen.

Vor einigen Jahren warnten Sie vor Sicherheitslücken im iTAN-Verfahren – wie reagieren die Banken?

Viele der Angriffe sind den Banken ja bekannt. Wenn wir in die Öffentlichkeit gehen, wollen wir die Menschen vor Sorglosigkeit warnen. Die Banken handeln zwar, aber wenn der Schaden noch nicht groß genug ist, lohnt sich das unter Umständen noch nicht. Wenn eine Bank das Online-Banking sicherer machet, kann das sehr teuer werden für die Kunden – bis zu 100 Euro für jeden.

Nutzen Sie denn dann noch Online-Banking?

Ja, ich selber arbeite mit dem iTAN-Verfahren, weil ich glaube, dass mein PC vertrauenswürdig ist. Ein Restrisiko muss ich in Kauf nehmen – das muss jeder für sich selbst wissen. fm