Sie sind hier: Home » Fachartikel » Hintergrund

Gefahren beim Online-Banking


Die meisten Hacker-Tools, mit denen sich Kriminelle Zugang zu Bankkonten verschaffen, werden über das Web verbreitet
Sogenannte Man-in-the-Browser-Attacken führen den Anwender auf gefälschte Websites, um Benutzerdaten zu stehlen

(11.01.11) - Millionen Europäer nutzen heute Online-Banking – obwohl Umfragen zeigen, dass 85 Prozent der europäischen Verbraucher Sicherheitsbedenken bei der Nutzung von Finanzdienstleistungen im Internet haben. Dass die Bedenken begründet sind, lässt sich fast im Wochenrhythmus in den Zeitungen nachlesen: Ständig kann man Nachrichten über gestohlene Identitäten, verlorengegangene persönliche Daten und neue Betrugsversuche lesen. Dennoch bleiben die Methoden, die Cyber-Kriminelle für den Betrug im Online-Banking nutzen, für die meisten Menschen ein Buch mit sieben Siegeln.

Die gängigen Methoden der Online-Betrüger und mögliche Gegenmaßnahmen erörtert nachfolgender Fachbeitrag von AhnLab.

Beim Online-Banking ist die Sicherheit der Transaktionen von großer Bedeutung. Nach Angaben des Unisys Security Index, der Sicherheitsbedenken von Verbrauchern untersucht, fürchten 85 Prozent der Befragten Betrugsversuche mit Bankkarten und Identitätsdiebstahl. 75 Prozent der Befragten Briten gaben an, sie würden keine Bank nutzen, der sie einen sicheren Umgang mit ihren persönlichen Daten nicht zutrauen.

Diese Bedenken hinsichtlich der Sicherheit im Online-Banking sind nicht unbegründet. Erst im September hat die Polizei in Großbritannien eine 19-köpfige Bande festgenommen, die in nur drei Monaten mit Hilfe einer Variante des ZeuS-Virus Londoner Banken um 6 Millionen Britische Pfund betrogen hatte. Am 13. Oktober veröffentlichte die Niederländische Bankenvereinigung (Nederlandse Vereniging van Banken) neue Zahlen zu diesem Thema. Demnach ist in den ersten sechs Monaten des Jahres 2010 durch Betrug im Online-Banking ein Schaden von 4,3 Millionen Euro entstanden; im gleichen Zeitraum des Jahres 2009 lag dieser Wert noch bei 1,9 Millionen Euro.

Doch auch wenn die Folgen sehr real sind, bleiben die Methoden, die Cyber-Kriminelle für den Betrug im Online-Banking nutzen, für die meisten Menschen ein Buch mit sieben Siegeln. So gab die Mehrheit der Befragten im Unisys Security Index an, dass sie den Zugang zu ihren persönlichen Informationen auf Social-Media-Websites beschränken. Beim Online-Banking denken jedoch 39 Prozent der Befragten kaum an den Schutz ihrer Daten. In diesem Artikel möchten wir daher über die gängigsten Methoden der Online-Betrüger aufklären.

Lesen Sie zum Thema "IT-Sicherheit" auch: IT SecCity.de (www.itseccity.de)

Auch die einfache Nutzung des Internets birgt Gefahren für die Benutzer
Die meisten Hacker-Tools, mit denen sich Kriminelle Zugang zu Bankkonten verschaffen, werden über das Web verbreitet, von PCs heruntergeladen und auf diesen ausgeführt, während der Anwender im Netz surft oder eine E-Mail öffnet. Mit diesen Tools können Hacker problemlos Passwörter, Kontonummern und andere persönliche Daten auslesen, die der Anwender eingibt. Die Hacker-Programme sind sogar in der Lage, die Anmeldeseite der Bank durch eine gefälschte Website zu ersetzen.

Angriffsmethode Nr. 1:
Umgehen von Anti-Virus- und Anti-Malware-Programmen
Anti-Virus- und Anti-Malware-Programme basieren auf der Analyse von Datei-Signaturen, daher können sie nur bekannte Gefahren erkennen. Doch bösartiger Programmcode, der diese Programme umgeht, ist im gesamten Internet verbreitet. So enthält beispielsweise der viel zitierte ZeuS-Virus einen Mechanismus, der Anti-Malware-Programme umgeht und über beliebte Websites, gefälschte Websites, Phishing-Sites und E-Mails immer neue Varianten verbreitet, ohne dass Anwender überhaupt merken, dass ihr PC infiziert ist.

Angriffsmethode Nr. 2:
Auslesen von Dateneingaben
Kontodaten, die während der Eingabe gestohlen werden, gehören zu den größten Sicherheitsbedrohungen im Online-Banking. Dabei werden die Informationen zusammen mit einem Screenshot der aktuellen Seite an den Hacker übertragen. Beim Zugriff auf eine Online-Banking-Website müssen Benutzer zur Authentifizierung einen Benutzernamen und eine PIN bzw. ein Passwort eingeben. Jeder Tastendruck wird als Eingabesignal von der Tastatur an einen Port und verschiedene andere Komponenten des Computers sowie an den Tastaturtreiber übermittelt und dann an das Online-Banking-Programm übergeben. Hacker erfassen die Benutzerdaten während dieses Prozesses mit Hilfe so genannter Keylogger-Programme und neuerdings auch durch Polling- und Hooking-Attacken auf der Port-Ebene.

Angriffsmethode Nr. 3:
Umleitung auf gefälschte Websites
Sogenannte Man-in-the-Browser-Attacken führen den Anwender auf gefälschte Websites, um Benutzerdaten zu stehlen. Dabei zeigt ein Hacker-Tool, das zuvor auf dem Anwender-PC installiert wurde, eine gefälschte Online Banking-Website, die durch Modifikation der Benutzerdateien erstellt wurde. Oder die Online-Banking-Sitzung wird unterbrochen und der Benutzer durch so genannte HTML Injection auf eine gefälschte Website umgeleitet, auf der er die Kontodaten eingibt. So gelangen die Kontodaten des Anwenders über die gefälschte Website zunächst zum Hacker und werden dann weiter zur Bank-Website übertragen, sodass die Sicherheitsverletzung für den Anwender unbemerkt bleibt.

Anfriffsmethode Nr. 4:
Nutzung von Sicherheitslücken in WLANs
Während heute nahezu alle Online-Banking-Websites die SSL-Verschlüsselung nutzen (mit 128 Bit oder höher), ist SSL in WLAN-Umgebungen bisher nicht verbreitet. So können Kriminelle beispielsweise mit Hilfe einer Man-In-The-Middle-Attacke die Sicherheitslücken einer WLAN-Umgebung nutzen, um die Benutzer per ARP- und DNS-Spoofing auf eine gefälschte Online-Banking-Site zu leiten. Die Angreifer können dann die 128-Bit-Verschlüsselung durch Abfangen der SSL-Pakete umgehen (z. B. mit einem Packet-Sniffer wie Ethereal), und diese später mit einem gefälschten Zertifikat und einem SSL-Dump-Tool dekodieren.

Proaktiver Schutz gegen Cyber-Kriminalität
Europäische und internationale Banken haben hinsichtlich der Online-Sicherheit häufig noch Nachholbedarf gegenüber den Kreditinstituten in den USA und Asien. Doch angesichts der zunehmenden Sicherheitsbedenken ihrer Kunden wenden sich immer mehr europäische Banken an Sicherheitsunternehmen, zum Teil auch außerhalb Europas, um einen besseren Schutz gegen Online-Gefahren zu gewährleisten.
(AhnLab: ra)

AhnLab: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Hintergrund

  • Wer ist von der CSRD betroffen?

    Für Unternehmen ist der eigene ökologische Fußabdruck mittlerweile eine entscheidende erfolgsrelevante Steuerungsgröße geworden. Welche Investitionen und wirtschaftlichen Tätigkeiten sind ökologisch nachhaltig und ermöglichen es, sich am Markt positiv zu differenzieren? Die Erstellung einer Nachhaltigkeitsberichtserstattung nimmt darüber hinaus auch seitens der Aufsichtsbehörden und Regulatoren einen immer größeren Raum ein. Das Jahr 2023 startete bereits mit einem wichtigen Meilenstein für das ESG-Reporting – der Berichterstattung für die Bereiche Umwelt (Environmental), Soziales (Social) und verantwortungsvolle Unternehmensführung (Governance). Am 5. Januar 2023 ist die EU-Richtlinie über die Nachhaltigkeitsberichterstattung der Corporate-Sustainability-Reporting-Direktive (CSRD) in Kraft getreten. Diese führt zu einer umfangreichen und verbindlichen Nachhaltigkeitsberichterstattung.

  • Data Act könnte schon 2024 in Kraft treten

    Wir erleben es jeden Tag: Datenmengen steigen ins Unermessliche. Die Prognose der EU-Kommission erwartet allein in der EU zwischen 2020 und 2030 einen Anstieg des Datenflusses in Cloud- und Edge-Rechenzentren um 1500 Prozent - kein Tippfehler. Entsprechend riesig ist das wirtschaftliche Potential, denn Daten sind der zentrale Rohstoff etwa für das Internet of Things. Das wiederum wird von der EU im Jahr 2030 (1) auf eine wirtschaftliche Gesamtleistung auf bis zu elf Billionen Euro geschätzt. Somit ist der EU Data Act, der in einem ersten Entwurf im Frühjahr 2022 von der EU-Kommission vorgestellt wurde, in seiner Bedeutung für die Datenökonomie nicht zu unterschätzen. Es geht nämlich um die Rahmenbedingungen für den Austausch von Daten: Das heißt, alle Geschäftsmodelle, die auf vernetzten Produkten und Dienstleistungen beruhen, sind betroffen. Und die Zeit steht nicht still. Der Data Act könnte schon 2024 in Kraft treten.

  • Aufsichtsbehörden machen Ernst

    Der Datenschutz wurde durch die im Mai 2018 in Kraft getretene EU-Datenschutz-Grundverordnung (DSGVO) europaweit geschärft und die Rechte der Betroffenen gestärkt. Die Aufsichtsbehörden sind mittlerweile aktiv geworden und verhängen teils empfindliche Strafen, wenn Unternehmen und Konzerne mit dem Schutz der User- und Kundendaten zu lax umgehen. Unternehmen, die online Leads und Kunden generieren, sollten deswegen ein Auge auf die Details haben und nur mit seriösen Partnern zusammenarbeiten, die eine DSGVO-konforme Verarbeitung von Daten nachweisen können. Das Inkrafttreten der DSGVO im Mai 2018 rollte wie eine Schockwelle durch die Welt des Online-Business und der Leadgenerierung. Denn die europäische Datenschutzgrundverordnung hat den Schutz personenbezogener Daten ausgeweitet und verschärft. Ziel war es, ein europaweit gleich hohes Schutzniveau zu erreichen, die Verfahren gegen Verstöße zu vereinfachen und den Datenschutz dem technischen Fortschritt der Digitalisierung anzupassen.

  • Audit-Druck ebnet Weg hin zu Abo-Modellen

    Beim Thema Software-Audit kommen zwei historisch signifikante Zustände zusammen: Einerseits hat sich Europa insbesondere von US-Softwareanbietern stark abhängig gemacht und ist andererseits durch den omnipräsenten Digitalisierungsdruck bereit, die Situation trotz gelegentlicher gegenteiliger Verlautbarungen offenbar noch zu verschlimmern. Lesen Sie hier, was die Erfindung des Software-Audits damit zu tun hat.

  • Digitale Verwaltungsdienste ohne Datengrundlage?

    Deutsche Behörden tun sich schwer, ihre Angebote für Bürger und Bürgerinnen digital anzubieten. Das aktuelle Onlinezugangsgesetz (OZG) macht aber Bund, Ländern und Kommunen jetzt kräftig Druck. Geht es nach dem Gesetzgeber, sollen bis Jahresende rund 600 Verwaltungsdienstleistungen in digitaler Form bereitstehen - und zwar bundesweit.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen