Zum Hauptinhalt springen

Ausweis gegen Netzfischer

Von Clemens Neuhold

Politik
Phishing: Wer unvorsichtig surft, landet schnell am Haken von Internetbetrügern weerapat1003 - Fotolia.com

Da viele Kunden sich nicht mehr auskennen, plädiert die Arge Daten für einen elektronischen Firmenausweis.


Wien. "In Ihrem Auftrag wurden 254,26 Euro an Melanie Söldner überwiesen. Wir haben an die Volksbank gemeldet, dass der Artikel in den Versand gehen kann. Detaillierte Informationen betreffend dieser Zahlen wie folgt: ..."

Was folgt, ist eine Zip-Datei. Und wer die anklickt, hat schon verloren - im Extremfall seine Kontodaten, die er doch bitte bekannt geben soll. Klar: Der eigenartige E-Mail-Absender "web24p2" und die Tatsache, dass man Frau Söldner nicht kennt, sollten stutzig machen. Doch im Schock, irrtümlich Geld überwiesen zu haben, kann ein Klick schon einmal passieren. Und die betrügerischen Netzwerke im Hintergrund haben schon gewonnen, wenn auch nur jeder Zigtausendste darauf reinfällt.

Angriffe dieser Art sind nichts Neues, sie kommen in Wellen. Doch was in der Vergangenheit "extrem zugenommen hat", konstatiert Datenschützer Hans Zeger von der Arge Daten, ist die Anzahl von gefälschten, nachgebauten Firmenidentitäten.

Volksbank oder Volksbanken? Das ist hier die Frage.

Im zitierten Mail steht im Absender ein blaues "Volksbank IT". Auf den ersten, schnellen Blick ist die Abweichung vom echten Profil nicht so markant. Es gibt noch deutlich bessere Kopien, die sogar Zeger erst nach genauer Betrachtung als solche erkennt.

Im Windschatten seriöser Firmenprofile werden nicht nur falsche E-Mails verschickt, auch falsche Rechnungen oder Gewinnmitteilungen gehören zur täglichen Standardpost geplagter Internetnutzer. Das Fachwort für den Datenklau ist "Phishing".

"Ich habe schon vor vielen Jahren vor diesen Problemen gewarnt, doch sie wurden unterschätzt. Die jetzige Debatte über Phishing ist verfehlt. Damit verharmlosen wir, worum es geht. Da es im kommerziellen Bereich immer mehr Anwendungen gibt, bei denen man halbvertrauliche Daten preisgibt, ist es höchste Zeit für ein Identitätsmanagement."

Zeger sieht in erster Linie die Firmen am Zug. Er fordert von der Politik eine gesetzliche Verschärfung der Informationspflicht. Diese sollte im Gesetz um den Satz erweitert werden: "Der Nachweis der Identität hat mit elektronisch zuverlässigen Mitteln zu erfolgen."

Damit würde man, so Zeger, in letzter Konsequenz beim elektronischen Ausweis oder der digitalen Signatur für Firmen landen. "Das hätte nur Vorteile. Solche Signaturen bekommt man nur mit einem strengen Nachweisverfahren." Damit wäre die Echtheit von Firmenauftritten nach einem einzigen Schema überprüfbar.

Knopfdruck odere-Bürokratie?

Widerstand gegen die erweiterte Informationspflicht ortet Zeger in der Wirtschaft wegen der zusätzlichen Kosten für die Umstellung. Aus der Kammer heißt es dazu: "100prozentige Sicherheit gibt es nie. Die Unternehmen sind jetzt schon mit vielen Pflichten konfrontiert. Erst durch die neue Verbraucherschutzrichtlinie kamen wieder zwanzig neue Informationspflichten für den Internethandel dazu." Bei einer elektronischen Signatur müsse man außerdem prüfen, welchen zusätzlichen Aufwand das bedeute und wie viel mehr Sicherheit.

Aus Zegers Sicht würde die Umstellung zwar einen gewissen Aufwand bedeuten, der elektronische Ausweis selbst würde aber kaum noch Kosten verursachen.

Die ertragreichsten Jagdgründe der Netzfischer liegen im Umfeld der Bank-Portale. Wie stark die Attacken zugenommen haben, merken Kunden daran, wie oft nach einem Login ins E-Banking mittlerweile Warnhinweise auf neue Piraterien erfolgen. Am Mittwoch warnte die Erste Bank vor Phishing-Mails rund um die europaweite Sepa-Umstellung auf Iban und BIC.

Eine Bank fragt niemalsnach Daten

Das Thema wird jetzt benutzt, um per E-Mail gefälschte Bank-Informationen, wahllos an zigtausende E-Mail-Adressen zu senden, egal, ob man Kunde dieser Bank ist oder nicht. Die Hoffnung der Kriminellen liegt darin, dass jemand darauf reagiert, den im Mail enthaltenen Link anklickt und so viele persönliche und geheime Daten wie möglich preis gibt. "Eine seriöse Bank macht so etwas nicht. Wir würden unsere Kunden niemals nach geheimen Daten oder TAN-Codes fragen", sagt Günter Lazel, Netbanking-Experte der Erste Bank. "Wer ein verdächtiges E-Mail bekommt, sollte es an unsere IT-Experten weiterleiten und danach sofort löschen."

Für Banken ist es besonders schwer, den "goldenen Mittelweg" zu finden zwischen komfortablen Bankgeschäften im Netz und umfassender Sicherheit. Die Erste versucht, die Kunden aktiv zu informieren und hat ein eigenes Sicherheitscenter eingerichtet, mit Videos über den Umgang mit sensiblen Daten und Virenattacken.

"Würden die Kunden die Infos alle lesen, wäre es relativ einfach für sie, Betrugsversuche zu erkennen", sagt Lazel. Aber oft fehle den Kunden die Zeit dafür - bis sie sich die Zeit nehmen müssen, weil sie sich im Phishing-Netz verheddert haben.