Furtwangen, 1. Juni 2005 – Dabei versuchen die Online-Diebe an Passwörter und PIN-Informationen zu gelangen, indem die Anwender aufgefordert werden, ihre sensiblen Daten bekannt zu geben. „Würden alle Banken ihren Kunden Online-Banking mit HBCI aktiver und überzeugender anbieten, wäre „Phishing“ bald kein Thema mehr“, sagt Sommer.
Die verschiedenen Szenarien dieses Passwort-Raubes sind bekannt: Die Versendung von gefälschten E-Mails ist dabei nur die offensichtlichste Variante, um an sensible Daten wie PINs zu gelangen. Hierbei wird der Anwender aufgefordert, seine vertraulichen Daten beispielsweise auf speziellen Webseiten einzugeben. Der Einsatz von Java-Scripts auf Webseiten führt aber dazu, dass sogenannte Routinen unbemerkt auf dem PC des Anwenders installiert werden, die gezielt die sensiblen Bank-Daten sammeln und versenden. „Das schlimmste dabei ist, dass man davon überhaupt nichts merkt“, meint Sommer. Eine weitere Variante ist das Überschreiben von Browser-Fenstern mit anderen Inhalten, sodass der Anwender sich zwar auf der richtigen Internetseite befindet, aber im Eingabefenster Phishing-Routinen verankert wurden.
„Das, was hier geschieht, ist kein Kavaliersdelikt mehr oder sportliche Hackerei, sondern organisierte Kriminalität“, ärgert er sich. Umso unverständlicher ist für den IT-Experten, dass der Verbraucherschutz nicht da ansetzt, wo sich eine Lösung des Problems bereits im Vorfeld anbietet. Denn der HBCI-Standard erlaubt dank der Verwendung moderner kryptographischer Funktionen und der Nutzung von Chipkarten eine sichere Kommunikation über das Internet. Das heißt, die PIN wird direkt in ein Chipkartenlesegerät eingegeben und nicht über den PC geleitet, wie bei einer normalen Computertastatur. „Damit kann sie auch nicht kopiert und missbraucht werden“.
Natürlich kostet Online-Banking mit HBCI etwas mehr als das „doch schon deutlich in die Jahre gekommene“ PIN-TAN-Verfahren, denn der Bank-Kunde muss sich ein entsprechendes Kartenlesegerät anschaffen. Auch wenn die Banken das Sicherheitspaket für Homebanking im Sinne der Kundenfreundlichkeit meist bezuschussen, entstehen Zusatzkosten. Daher scheuen sich die Kreditinstitute manchmal, ihren Kunden dieses sichere Verfahren zu empfehlen. Denn noch ist es die Regel, dass die Kunden fragen müssen, wenn sie beim Online-Banking ganz sicher sein wollen. „Aber es gibt schon Banken, die ihren Kunden konsequent das sichere HBCI-Verfahren anbieten“. Carsten Sommer wünscht sich, dass es noch mehr werden, damit dem Phishing-Spuk bald ein Ende gesetzt wird. Ein HBCI-Sicherheitspaket von REINER SCT kostet inkl. Software weniger als 100 Euro.
(Der Text umfasst ca. 3.000 Zeichen)