"Ich bekomme eine e-Mail: "Mahnung! Bitte überweisen sie den fälligen Betrag unverzüglich, sonst sehen wir uns gezwungen...". Das gibt´s doch nicht, ich hatte das doch erst neulich überwiesen. Ich logge mich ein, um die Überweisung auf meinem Online-Banking-Konto zu kontrollieren. Nichts zu finden. Ich rufe bei der Bank an und beim Mahner, doch niemand kann mir helfen. Eine Überweisung ist ins Nirvana gegangen, ohne dass dafür jemand verantwortlich zu sein scheint.... Der Alptraum eines Online-Banking-Users nennt sich Phishing. Wie so oft hilft auch hier Aufklärung, um ihn weitgehend zu vermeiden."

Riskantes Schweigen: Der Pishing-Trend erreicht uns spät.
Die Phishing-Betrugversuche haben weltweit jüngst rapide zugenommen. In Deutschland ist das Thema Phishing erst spät in die Schlagzeilen gekommen, wird dafür aber nun umso relevanter. Das Risiko insbesondere für den Bereich des Online-Banking ist deutlich: Der maximale Schaden von Phishing für den Kunden kann pro gephishter TAN einmal die Höhe des Online-Überweisungslimits betragen. Dazu kommen für die Bank der Imageschaden und der Vertrauensverlust beim Kunden. Gegenwärtig sind im Vergleich zum Kreditkartenmissbrauch die Schäden minimal. Die Qualität und Professionalität der Phishing-Attacken steigt allerdings.

Einfache Schutzmassnahmen werden längst ausgehebelt, z.B. wird die URL von einem Script gefälscht, Umleitungen von Originalseiten finden über Java-Skripte statt, oder das SSL-Symbol wird nur als Grafik dargestellt.

Die Situation ist im Grunde leicht nachvollziehbar: Kein anderes Kommunikationsmedium ist heute so günstig, flächendeckend und effizient wie die e-Mail. Entsprechend groß sind die Angriffsflächen auf dem Internet, und man ist wegen der konkurrenzlosen Vorzüge des Mediums auch gerne geneigt, den einen oder anderen Nachteil zunächst zumindest zeitweise in Kauf zu nehmen. Diese Haltung spiegelt sich im deutschen Diskurs um Sicherheit und Pishing wieder: Solange keine größeren Schäden eintreten, wird seitens des Marktes wenig Handlungsbedarf gesehen. In Anbetracht der steigenden Risiken und vor allem der wachsenden öffentlichen Aufmerksamkeit wird sich diese Haltung jedoch landsam ändern müssen.

Schutz mit klaren Empfehlungen
Hersteller, Anbieter und Kunden werden nun auch in Deutschland sensibilisiert, sie können reagieren und werden schwerer zu überlisten sein. Die existierenden Empfehlungen etwa der BDB-Broschüre "Sicherheit im Online-Banking" sind effizient: User sollten diese Sicherheitsrichtlinien umsetzen, Browser-Hersteller müssen die "Löcher" in ihren Produkten stopfen, Banken müssen Gefahrenquellen auf ihren Angeboten beseitigen und ihre Kunden umfassender als bisher aufklären. Die Grundregeln für sichereres Online-Banking sind:

· Sorgfalt beim Umgang mit Passwörtern, PIN und TAN
· Überprüfung von URLs, SSL und Zertifikaten
· Regelmäßige Updates von Virenschutz, Betriebssystem und Browser
· Richtige Konfiguration von Firewall und Browsereinstellungen
· In Anbetracht der jüngsten Attacken genügt von Seiten der User teilweise schon die Abschaltung der Java-Skript-Funktion im Browser vor Transaktionen, allerdings mit der Folge, dass viele Webseiten nicht mehr angezeigt werden.

Handlungsbedarf für die Online-Banken
Insbesondere letzterer Aspekt bringt deutlichen Handlungsbedarf für die Online-Banking-Anbieter mit sich: Die neue Studie der PASS Consulting Group zum Thema "Online-Banking 2005" gibt an, dass ohne Java-Script 60 % der Transaktionsbereiche der in der Studie untersuchten Online-Banking-Angebote nicht nutzbar waren. 12 % der Auftritte konnten gar nicht erst geöffnet werden (Weitere Informationen zur PASS-Studie Online-Banking 2005 erhalten Sie unter:
http://www.pass-consulting.com/internet/html_d/publikationen/studien.html)

Anstrengender Selbstschutz für User
Die Kunden haben auf jeden Fall die Möglichkeiten, sich besser zu schützen. Thomas Reim, Analyst der Forschungs- und Entwicklungsabteilung der PASS Consulting Group: "Viele scheuen den entsprechenden Aufwand. Wenn jedoch alle Beteiligten reagieren, kann das Gefahrenpotenzial zukünftiger Attacken durch Phishing, Identitätsklau durch andere Methoden oder durch Schädlinge wie Viren, Trojaner oder Würmer wesentlich minimiert werden."