Menü
Neue Presse | Ihre Zeitung aus Hannover
Anmelden
Medien & TV Passwortfischer immer raffinierter - in Hannover klagt ein Opfer
Nachrichten Medien & TV Passwortfischer immer raffinierter - in Hannover klagt ein Opfer
Partner im Redaktionsnetzwerk Deutschland
08:40 04.11.2010
Anzeige

Die E-Mail klang glaubwürdig: „Stefanie L.“, so der Absender, hatte gerade per Ebay ein Handy gekauft und umgehend per Überweisungsdienst Paypal die Summe in Höhe von 280 Euro überwiesen. Nun bat sie in der Mail den Verkäufer in Hannover darum, das Handy möglichst schnell zu verschicken, damit es noch rechtzeitig zum Geburtstag der Tochter der Schwägerin eintreffe – und als Anschrift war eine Postpackstation in Kassel genannt. Doch tatsächlich war Stefanie L. gar nicht Urheberin dieser Mail – „sie wurde unter meinem Namen verschickt, aber ich konnte mich gar nicht mehr in mein GMX-Konto einloggen“, berichtet die 28-Jährige aus Frankfurt.

Ein Fremder hatte sowohl ihr GMX-E-Mail-Konto als auch den Zugang zu Ebay gekapert und das Kennwort geändert. Nun bestellte er binnen weniger Stunden bei verschiedenen Verkäufern immer neue technische Geräte. „Das waren das iPhone-Handy, ein Fernseher, ein Beamer, ein Flachbildschirm und ein Laptop“, erzählt sie. Die Waren summierten sich in kurzer Zeit auf knapp 3000 Euro. Zwei Seiten Kontoauszüge füllten die falschen Bestellungen: Per Lastschrift wurden zahlreiche Beträge eingezogen.

Als sie die Posten entdeckte, ließ sie umgehend die Lastschriften durch ihre Bank stornieren und konnte so zumindest 2000 Euro zurückholen. Einer der Verkäufer war allerdings auf die fingierte Mail hereingefallen – und nun streiten der Verkäufer und die vermeintliche Käuferin um den Schaden.

Wie der oder die Täter an das Postfach von Stefanie L. gekommen waren, entdeckte ein IT-Spezialist der Polizei: Auf ihrem PC entdeckte er Schadsoftware, der sämtliche Eingaben an dem Computer mitloggte – und so nicht nur feststellte, welche Musik beispielsweise abgespielt wurde, sondern auch, welche Kennwörter eingetippt wurden. Im Hintergrund wurden diese Daten per Internetverbindung immer wieder auf fremde Internetserver übertragen.

Solche Fälle häufen sich: Allein im Bereich der Polizeidirektion Hannover haben Kriminalbeamte seit Jahresanfang rund 175 Fälle des sogenannten Phishings gezählt – angezeigte Verdachtsmomente also, dass sensible Kennwörter ausgespäht wurden. Dieses „Fischen nach Passworten“ geschieht auf immer wieder neuen, verschiedenen Wegen, beispielsweise:

  • durch zugesandte Internetlinks in E-Mails, die auf gefälschte Webseiten verweisen und beispielsweise vorgeben, die Zugangsseite zum E-Mail-Postfach zu sein,
  • durch Schwachstellen im Browser, die beim Besuch besonders präparierter Webseiten bestimmte Schadprogramme auf dem Rechner installieren und beim späteren Online-Banking in Echtzeit die Überweisungen auf die Konten von Strohmännern umleiten.

Allein für dieses letztere Szenario haben Ende der vergangenen Woche die Landeskriminalämter Baden-Württemberg und Nordrhein-Westfalen die stattliche Zahl von 470 sogenannten Finanzagenten (= „Strohmännern“) ermittelt, die im Auftrag einer international agierenden Gruppe von Betrügern aus Großbritannien und Estland Tarnkonten bei unterschiedlichen Banken eröffneten. Darauf eingehende Gelder sollten sie abheben und an weitere Strohmänner weiterleiten – sprich: Geldwäsche betreiben. Überweisungen im Gesamtwert von 1,7 Millionen Euro sollen auf diesen Konten eingegangen sein – manipuliert worden sein.

Zu den Betroffenen zählt womöglich auch ein 30-jähriger Arzt aus Hannover, der inzwischen die Hannoversche Volksbank verklagt. Der Mediziner fordert 9898 Euro zurück, die nach einer Überweisung per Onlinebanking von seinem Konto abgebucht worden sind. „Diese Überweisung ist von mir und meiner Frau nie getätigt worden“, sagt er. Während sein Anwalt Jan-Marcus Dehne vermutet, dass Kriminelle das Sicherheitssystem des Onlinebanking-Verfahrens mit einer speziellen „Phishing-Methode“ ausgehebelt haben, weist ein Banksprecher dies energisch zurück.

Der Arzt und seine Frau hatten an Himmelfahrt eigenen Angaben zufolge kleinere Überweisungen mit einer Gesamtsumme von 200 Euro vorgenommen. „Dass zusätzlich fast 10.000 Euro abgebucht worden sind, war am Kontostand nicht ersichtlich“, schildert er. Die Belastung mit der hohen Summe sei erst aufgetaucht, als man später erneut das Onlinebanking nutzen wollte.

Der Kunde hat dann Polizei und Bank eingeschaltet. Wohin das Geld geflossen ist, ließ sich schnell ermitteln. Es ging auf das Konto eines weitgehend mittellosen Privatmanns aus dem Bonner Raum. Der hat es sofort an nicht mehr nachzuvollziehende Empfänger weitergeleitet – „in Ausübung eines Arbeitsvertrages“, wie sein Anwalt schriftlich vermerkt. Mittlerweile muss sich der Mann wegen Verdachts der Geldwäsche verantworten. Möglicherweise ist er unabsichtlich in die Sache hineingeraten. Beim Landeskriminalamt weiß man, dass Kriminelle häufig per Anzeigen ahnungslose Privatleute mit Aussicht auf Nebenverdienste ködern und dann deren Konten für illegale Geschäfte nutzen.

Dass die Sicherheitssoftware auf dem Computer seines Mandanten versagt habe, glaubt Dehne nicht. „Die Polizei hat den Rechner überprüft“, sagt er. Da Kulanzverhandlungen gescheitert seien, ziehe man nun vor Gericht. Dabei beruft er sich auf eine EU-Richtlinie, die in deutsches Recht überführt sei. „Sie besagt, dass bei fehlerhaften Zahlungsdienstleistungen die Banken das Risiko tragen – es sei denn, der Kunde hat nachweislich betrügerisch oder grob fahrlässig gehandelt.“

Marco Volck, Sprecher der Volksbank, will zum konkreten Fall unter Hinweis auf das schwebende Verfahren und vertrauliche Kundendaten nichts sagen. „Generell wird unser Internetbanking laufend überprüft, ist erprobt, zertifiziert und sicher, wenn der Kunde Sorgfalt walten lässt“, betont Volck. Einen Phishing-Fall der Machart, wie ihn der Anwalt vermute, habe es bei der Volksbank noch nie gegeben.

Die Landeskriminalämter haben unterdessen ihre Empfehlungen fürs Online-Banking konkretisiert: Konten, die nur mittels veralteter Verfahren namens TAN, i-TAN oder mobiler TAN gesichert seien, seien nicht ausreichend geschützt. Dabei haben erst vor Kurzem mehrere Banken in Deutschland die mobile TAN (bei der eine nur kurze Zeit gültige Geheimzahl auf ein zuvor vereinbartes Handy per SMS geschickt wird) als besonders sicheres Verfahren eingeführt. Gegenüber „Heise Online“ teilte das LKA Baden-Württemberg nun mit, dass es bereits einzelne Fälle von infizierten Handys gegeben habe. Empfehlenswert seien die Verfahren i-TAN plus und Smart-TAN/ChipTAN.

Bei der Volksbank funktioniert eine Online-Überweisung nach dem sogenannten Smart-TAN-plus-Verfahren: nämlich nur dann, wenn der Auftraggeber eine passende, sechsstellige TAN-Nummer im Internetformular einträgt. Die erhält er bei der Volksbank über ein Gerät, das mit der persönlichen Kundenkarte aktiviert wird. Bevor es eine TAN anzeigt, muss der Benutzer nacheinander zwei mehrstellige Ziffernfolgen eingeben, die ihm auf der Internetseite angezeigt werden. „Eine davon muss unbedingt mit der Nummer des Empfängerkontos übereinstimmen. Wenn das nicht der Fall ist, kann es zu Fehlern kommen“, erläutert Volck. Darauf werde der Kunde aber bei jeder Überweisung unmittelbar auf dem Internetformular ausdrücklich hingewiesen.

So schützen Sie sich vor Phishing

  • Laut Bundesamt für Sicherheit in der Informationstechnik ist es wichtig, stets die eingesetzte Software auf dem aktuellen Stand zu halten. Folgen Sie also jedem Update-Hinweis von Windows und den Browserprogrammen.
  • Achten Sie auf gesicherten Seiten darauf, dass ein Schlosssymbol angezeigt und die Seite per „https“ (statt http) aufgerufen wird.
  • Banken oder seriöse Firmen fordern ihre Kunden niemals per E-Mail oder per Telefon zur Eingabe von vertraulichen Informationen auf.
  • Klicken Sie in E-Mails nie auf Links, sondern tippen Sie die Internet-Adressen immer manuell ein.
  • Setzen Sie eine Firewall und Virenschutzsoftware ein.
  • Seien Sie besonders gewarnt, wenn etwas besonders schnell gehen soll.
  • Reagieren Sie nicht auf vermeintliche Anrufe der Bank, in denen zur Eingabe von PIN oder TAN aufgefordert wird.

Bernd Haase und Marcus Schwarze