Schadsoftware-Bedrohungen rücken weiter beim Online Banking vor – wie sieht die Rechtslage dazu eigentlich aus?

von

Lesezeit: Minuten ( Wörter)

Online Banking-Trojaner – welche Gefahr geht von dieser Bedrohung aus?

Phishing und Trojaner selbst sind kein neues Phänomen. Seit vielen Jahren versuchen Cyberkriminelle mit diesen Methoden, Benutzerdaten zu stehlen. Der Fokus auf das Online Banking hat hingegen in den letzten Jahren stark zugenommen. Der Threat Intelligence Report 2021 von Nokia spricht von einer Zunahme von 80 Prozent im ersten Halbjahr 2021 im Vergleich zum selben Zeitraum im Vorjahr. Die Angreifer konzentrieren sich dabei auf Südamerika und Europa, so dass auch hierzulande Nutzer des Online Bankings bedroht sind. In diesem Zusammenhang ist auch neue Schadsoftware entstanden, die sehr raffiniert und hoch entwickelt ist. Diese Online Banking-Trojaner sind gezielt auf die speziellen Anmeldeverfahren, Apps und Webseiten der Banken angesetzt. Das macht die aktuelle Lage noch bedrohlicher.

Ein Grund dafür ist die zunehmende Verbreitung von Online Banking. Während es früher vor allem junge, technikaffine Nutzer waren, die Online ihre Bankgeschäfte erledigten, sind es nun Nutzer aus allen Altersschichten. Die Corona-Pandemie hat ebenfalls dazu beigetragen, dass Bankgeschäfte vermehrt online stattfinden. Gerade ältere Personen sind anfällig für Phishing oder erkennen Betrugsversuche im Internet nicht.

Mit welchen Methoden stehlen die Online Banking-Trojaner Zugangsdaten?

Es gibt verschiedene Techniken, mit denen die Cyberkriminellen die Nutzer beim Online Banking ins Visier nehmen. Eine der ältesten Methoden ist das Phishing. Hierbei versuchen die Angreifer, das Oper dazu zu bringen, die Zugangsdaten zum Online Banking freiwillig auf einer gefälschten Webseite einzugeben. Dafür nutzen die Angreifer vor allem E-Mails und SMS. Diese Nachrichten beinhalten Links zu Webseiten, die die Online Banking Seiten teilweise perfekt imitieren. Versucht das Opfer, sich auf der gefälschten Webseite anzumelden, landen die Zugangsdaten bei den Cyberkriminellen. Diese nutzen die Daten dann für die Anmeldung bei der echten Bank und bestätigen damit Überweisungen.

Eine Weiterentwicklung des Phishings ist das Pharming. Hierbei manipulieren die Hacker den Browser oder die Host-Datei im Betriebssystem des Opfers. Das Ziel ist das DNS-System. DNS ist dafür zuständig, Eingaben von Webadressen im Browser auf das richtige Ziel umzuleiten. Gelingt es den Angreifern, diese DNS-Anfragen umzuleiten, gelangt der Nutzer nicht auf die Webseite seiner Bank, sondern auf eine gefälschte Version der Hacker. Das Pharming ist gefährlich, da das Opfer in diesem Moment keinen Fehler begeht. Selbst wenn er die Internetadresse der Bank per Hand in den Browser eintippt, gelangt er auf die gefälschte Webseite. Außerdem müssen die Angreifer die Bank, bei der das Opfer Kunde ist, nicht kennen. Es ist möglich, die DNS-Anfragen einer Vielzahl der bekannten Banken umzuleiten und so die Chance auf Treffer zu erhöhen.

Jetzt keinen Blogbeitrag mehr verpassen!

  • 12x im Jahr aktuelle News aus der IT Security Welt
  • 4x im Jahr exklusive Einladungen zu kostenlosen IT Security Webinaren
  • 1 kostenloses Whitepaper zu unserem Threat Hunting Service Active Cyber Defense

Um ein System für das Pharming zu infizieren, ist es vorher notwendig, den Computer mit einer Malware zu kompromittieren. Diese gelangt entweder über Anhänge in Mails, per Drive-by-Download auf infizierten Webseiten oder über Nachrichten mit Links auf entsprechend manipulierte Downloads auf die Rechner der Opfer.

Besonders tückisch sind die verschiedenen Varianten von Banking-Malware, die Hacker einsetzen. Auch diese platzieren die Cyberkriminellen zunächst über manipulierte Nachrichten mit Links auf den Systemen der Opfer. Gerade diese Form der Online Banking-Trojaner hat sich in letzter Zeit als sehr erfolgreich erwiesen. Primär sind Smartphones mit dem Betriebssystem Android betroffen. Android ist quelloffen und der Shop, über den sich Apps herunterladen und installieren lassen, wird weniger kontrolliert als beim Konkurrenten iOS von Apple. Somit verstecken sich die Online Banking-Trojaner potenziell auch in Apps, die Nutzer über den offiziellen Shop herunterladen.

Diese Banking-Malware setzt unterschiedliche Techniken ein, um an die Zugangsdaten zum Online Banking zu gelangen. So ist auch diese Malware oft in der Lage, den Nutzer auf falsche Webseiten umzuleiten, wenn er die Seite seiner Bank besucht. Eine weitere Option sind unsichtbare Overlays. Diese platziert die Banking-Malware direkt über den Eingabefeldern im Online oder Mobile Banking. Der Nutzer gibt in gutem Gewissen seine Zugangsdaten ein, eine Anmeldung scheitert jedoch. Die Malware fängt die Eingaben ab und übersendet diese an die Hacker. Auf die gleiche Art und Weise arbeitet Banking-Malware, die Tastatureingaben erfasst. So zeichnet diese Schadsoftware alle Eingaben an der Tastatur auf und überträgt diese an die Hacker. Auf diesem Weg erhalten die Angreifer die Login-Daten für das Onlinebanking.

Wie laufen Angriffe mit Online Banking-Trojanern ab?

Banken nutzen einige verschiedene Techniken für die Authentifizierung der Nutzer. Das Ziel ist es, möglichst sichere Anmeldeverfahren zu implementieren, die nicht zu hacken sind. Deshalb sind beispielsweise einfache Verfahren mit einem Passwort nicht im Einsatz, denn diese bieten nicht ausreichend Schutz.

Vielmehr nutzen die Banken in der Regel Anmeldeverfahren mit einmaligen Schlüsseln. Hier erfolgt eine Übertragung in Echtzeit, um Transaktionen zu bestätigen. In der Praxis wird dies mit einer Kombination aus PIN und TAN umgesetzt. Die PIN ist eine feste Identifizierung, die für den jeweiligen Nutzer einzigartig ist. Findet ein Login bei der Bank mit der PIN statt, überprüft das Online Banking über die Zwei-Faktor-Authentisierung die Identität des Nutzers. Dafür ist das Konto des Kunden mit seinem Smartphone verbunden. Hier fordert die Bank eine Bestätigung des Nutzers, dass es sich tatsächlich um ihn handelt und soeben ein Login stattfand. Erst nach der Bestätigung durch den Nutzer gewährt das Online Banking den Zugang.

Führt der Nutzer beispielsweise eine Überweisung bei seiner Bank durch, übersendet die Bank eine TAN auf das Smartphone. Der Nutzer muss diese TAN dann wiederum im Online Banking eingeben, um die Überweisung zu bestätigen. Andere Methoden, gerade beim Mobile Banking, laufen komplett in der App ab. Auch die App fordert dann eine Bestätigung jeder Aktion durch die persönliche PIN oder eine TAN.

In der Theorie sind diese Anmeldeverfahren sehr sicher. Solange das Smartphone oder der PC nicht durch einen Online Banking-Trojaner kompromittiert sind, stimmt dies auch. Haben die Kriminellen jedoch durch Phishing oder andere Methoden den Computer oder das Mobiltelefon infiziert, überlisten die Angreifer auch die sehr sichere Zwei-Faktor-Authentisierung. Beispielsweise mithilfe der Online Banking-Trojaner, die einen Overlay über der App platzieren. Dann glaubt das Opfer, dass es seine soeben erhaltene mTAN eingibt und eine Überweisung bestätigt. Tatsächlich landet die Eingabe bei den Kriminellen. Diese verfügen nun über die PIN und TAN. Auch wenn die mTAN zeitlich begrenzt ist, verfügen die Kriminellen über solch professionellen Strukturen, dass innerhalb von wenigen Minuten das Konto des Opfers geplündert ist.

Die Rechtsprechung im Online Banking ging dabei häufig zugunsten der Banken aus.

Die Rechtsprechung im Online Banking – warum Geschädigte oft keine Entschädigungen erhalten

Grundsätzlich haben Geschädigte Anspruch auf eine Entschädigung, denn sie sind Opfer eines Betrugs. In der Praxis sieht die Rechtsprechung im Online Banking jedoch anders aus. Es gab in der Vergangenheit bereits einige Gerichtsentscheidungen, wenn Banken eine Entschädigung abgelehnt haben. Die Rechtsprechung im Online Banking ging dabei häufig zugunsten der Banken aus.

Ein Beispiel aus dem Jahre 2012: Bei dem damals vor dem Bundesgerichtshof verhandelten Fall klagte ein Opfer auf 5.000 Euro, die von seinem Konto entwendet wurden. Die Kriminellen hatten mehrere TAN entwendet, die für die Bestätigung von Transaktionen notwendig sind. Mit diesen TAN hatten die Cyberkriminellen Überweisungen vom Konto des Opfers vorgenommen. Es stellte sich heraus, dass das Opfer diese TAN auf einer gefälschten Webseite eingegeben hatte, die die Cyberkriminellen aufgesetzt hatten. Die Bank hatte zum einen auf ihrer eigenen Webseite eine Warnung vor dem Phishing platziert. Zum anderen entscheid der Bundesgerichtshof, dass in diesem Fall ein fahrlässiger Sorgfaltsverstoß des Bankkunden vorlag. In der Entscheidung heißt es, dass es für den Kunden offensichtlich war, dass es sich nicht um einen normalen Vorgang handelte. Die Webseite der Kriminellen forderte ihn auf, zehn TAN sowie seine PIN und die Kontonummer einzugeben. Für die Durchführung einer Überweisung ist es niemals notwendig, zehn TAN einzugeben.

Seit 2009 basiert die Rechtsprechung im Online Banking darauf, dass Verbraucher bei grob fahrlässigem Verhalten selbst haften. Jedoch schweigt sich das Gesetz über die Erbringung und Nutzung von Zahlungsdiensten (§§ 675j – 676c BGB) darüber aus, wann genau ein grob fahrlässiges Verhalten vorliegt. Somit muss die Rechtsprechung beim Online Banking im Einzelfall entscheiden, ob ein Bankkunde fahrlässig gehandelt hat oder ob es für ihn nicht ersichtlich war, dass seine Bankdaten in die Hände von Kriminellen geraten sind.

Welche Maßnahmen bieten Schutz beim Online Banking?

Grundsätzlich gilt, dass Anhänge in E-Mails gefährlich sind, denn auf diesem Weg starten Angreifer die Phishing Versuche. Solange der Absender und der Anhang nicht zu 100 Prozent vertrauenswürdig sind, ist ein Öffnen nicht ratsam. Links in Nachrichten, die angeblich von der eigenen Bank stammen, sind ebenfalls ein klares Anzeichen für Phishing. Es ist wichtig, im Browser die Adresse der eigenen Bank immer selbst einzugeben und jedes Mal zu überprüfen, bevor mit der Webseite interagiert wird. Wer dies nicht tut, agiert nach der Rechtsprechung im Online Banking fahrlässig.

Ebenso wichtig ist es, darauf zu achten, dass das System auf einem aktuellen Stand ist. Dazu gehören insbesondere das Betriebssystem, der Browser sowie eine Antivirensoftware. Gibt es Anzeichen für eine Infektion, ist eine Nutzung des Computers oder Smartphones für das Online Banking ausgeschlossen. Vorher muss das System frei von Malware und Viren sein. Wirkliche Sicherheit bietet im Zweifelsfall nur eine komplette Neuinstallation des Betriebssystems.

Fazit

Online Banking war schon immer durch Cyberkriminalität gefährdet. Auch die vergleichsweise hohe Sicherheit der Systeme schreckt die Hacker nicht ab. Zum einen haben die Angreifer ihre Methoden für das Phishing verfeinert. Heutzutage sind die gefälschten Nachrichten und Webseiten deutlich schwerer von den echten zu unterscheiden als noch vor einigen Jahren. Zum anderen kennen die Hacker die größte Sicherheitslücke im System – den Nutzer. Auf diese Fehlerquelle beruft sich auch die Rechtsprechung im Online Banking. Da die Banken durchwegs sehr hohe Sicherheitsmaßnahmen implementiert haben, um die Identität des Nutzers zu identifizieren, liegt die Schuld meist beim Kunden. Es ist in der Praxis so gut wie immer das System des Kunden, das kompromittiert ist und den Cyberkriminellen den Zugang zum Bankkonto ermöglicht hat. Somit ist eine Klage auf Schadenersatz in vielen Fällen aussichtslos. Aus diesem Grund schützen nur absolute Vorsicht und aktuelle Sicherheitstechniken Nutzer beim Online Banking.

Haben Sie Fragen zum Artikel oder wünschen Sie eine Beratung? Kontaktieren Sie uns!

Durch Klicken auf die Schaltfläche "Absenden" bestätigen Sie, unsere Richtlinien zum Datenschutz gelesen zu haben. Sie geben Ihr Einverständnis zur Verwendung Ihrer personenbezogenen Daten zu dem von Ihnen angegebenen Zweck der Kontaktaufnahme durch die secion GmbH.

Zurück