Zwar ist Onlinebanking sicherer geworden, doch kein Konto ist wirklich zu 100 Prozent vor illegalen Übergriffen geschützt. Ein ehemaliger Hacker zeigt, wie einfach sich Informationen klauen lassen - und was Kunden dagegen tun können.
"Hacker" steht auf seiner Visitenkarte. In großen schwarzen Buchstaben. Das ist nicht sein Name, sondern seine Berufsbezeichnung. Ja, Gunnar Porada war einmal ein Hacker und ist es irgendwie immer noch. Auch wenn er gar nicht so aussieht, wie man sich den klassischen Hacker vorstellt. Keine zerrissene Jeans, stattdessen dunkler feiner Anzug. Keine wild zerstrubbelten Haare, stattdessen adrett kurz und gescheitelt. Und er hat nicht mal dunkle Augenringe, nein. Wenigstens, ja wenigstens deutet sich ein leichter Dreitagebart an. Und Krawatte trägt er auch nicht.
Anzeige
Vor zwanzig Jahren, da hat Porada mal die Geheimnummern von EC-Karten geknackt. Aber die betroffenen Kontoinhaber wussten davon, und das war alles nur, um zu gucken, ob er es schafft. Aus Spieltrieb. Und verjährt ist es auch, sagt sein Anwalt. Deshalb darf Porada das so im Spaß erzählen. Er hat die Daten der Karten auch nie weiterverkauft oder gar Geld damit abgezockt. Sagt er.
Stattdessen ist er ziemlich bald dann auf die gute Seite gewechselt. Das heißt: Heute hackt er öffentlich für Publikum bei Vorträgen sein eigenes Konto, um zu zeigen, wie das geht. Oder er durchbricht die Firewalls von Banken und Versicherungen und berät sie, was sie in Sachen Sicherheit besser machen können. Aber Porada ist und bleibt irgendwie ein Hacker. In großen schwarzen Buchstaben.
Und so erzählt er, wie es so zugeht in der Branche der Kriminellen. Dass diese mittlerweile sehr serviceorientiert seien. "Sie bieten Ihnen die passende Spionagesoftware inklusive Schulung", sagt er. Eine Grundversion der Hacker-Software gebe es mittlerweile sogar im Netz. Kostenlos. Und dann zeigt er, wie einfach es ist, ein Konto zu knacken. Und es ist überraschend einfach.
Zweifel am TAN-Verfahren
Dass es überraschend einfach ist, das zeigen auch die Zahlen aus dem Bundeskriminalamt: Von 2009 auf 2010 sind die Fälle, in denen Betrüger online Kontodaten abfischen, um 80 Prozent auf 5300 gestiegen. Der Schaden in Deutschland hat sich im selben Zeitraum auf 21 Millionen Euro verdoppelt, die durchschnittliche Schadenssumme beträgt laut BKA 4000 Euro.
Bei der Pressekonferenz im Sommer 2011 hatte BKA-Präsident Jörg Ziercke gewarnt: Das bisherige TAN-Verfahren, bei dem der Kunde Transaktionen im Netz durch die Eingabe einer TAN-Nummer von einer Liste bestätigt, werde massiv attackiert. Spezielle Trojaner würden das Verfahren austricksen. Und diese Software verbreitet sich rasant, ist auf Tausenden Rechnern installiert, ohne dass es die Besitzer merken.
Sicherheitsberater Porada hat einen seiner eigenen Rechner infiziert. Absichtlich natürlich. Er braucht nur ein paar Sekunden, um sich von seinem anderen Rechner, dem bösen, in ein Konto zu hacken. Der infizierte Computer sendet dem bösen Rechner Passwort und Log-in, die der Kunde eingibt. So ist der Weg frei. Die verlangte TAN kann Porada dann auch entschlüsseln und sich somit Geld überweisen. Schockierend einfach.
Sie sind jetzt auf Seite 1 von 2 nächste Seite
Vor dem ESC-Finale in Aserbaidschan
- Thema
- Onlinebanking RSS
- Umfrage zum Datenschutz im Internet Deutschland mag es extrem 28.06.2011
- Panne beim Onlinebanking Einzug ohne Ermächtigung 14.09.2011
- Banken: Überweisungen Iban, die Schreckliche 16.05.2011
- Neues Online-Banking-Verfahren Praktisch, aber riskant 29.09.2011
- Kunden ärgern sich über Banken Online überweisen? Nur gegen Gebühr! 09.08.2011
- Geldanlage Warum sich ein Tagesgeldkonto jetzt lohnt 22.06.2011
- Online-Banking Schluss mit der Zettelwirtschaft 19.04.2011
Wenn man sich die Mühe macht seine Bankgeschäfte mit einer LiveCD durchzuführen, dann sollte man wohl so schlau sein dass man mit dieser CD eben NICHT vorher lange rumsurft.
Wenn man die CD startet und erstmal stundenlang surft bevor man dann zur Bank geht ist das Risiko natürlich höher. Wenn man bootet und die Bank direkt anwählt sollte wohl das Risiko minimalst sein. 100% gibts sowieso nicht.
Und offensichtich sorgt man bei einer LiveCD auch dafür dass alles drauf ist und nicht erst aus dem Netzt nachinstalliert wird. ;)
Und was macht man mit so einer Windows-CD, wenn die Druckertreiber erst noch von der Internetseite des Herstellers heruntergeladen werden müssen? Außerdem gab es auch dort immer wieder Sicherheitslücken bei denen der bloße Anschluss ans Internet ausreichte, um einen Rechner über z.T. undokumentierte Funktionen auszuspionieren. Eine Live-Linux-CD, wie Ubuntu oder das deutsche Knoppix ist sicherheitstechnisch einfach konservativer eingestellt, als ein nach allen Seiten offenes Windows und alle Treiber sind schon mit an Bord.
Da steh ich nun ich armer Toor und bin so klug als wie zuvor!
Aber wie das anzuwenden ist, dafür müßte man eine genaue Beschreibung habe.
... gibt es Live-CDs.
Da kann auch keiner wie bei Linux-Live-CDs von außen etwas hineinfummeln.
Im übrigen gibt es das Mobil-TAN-Verfahren.
Wenn man nicht gerade das neueste iHandy hat sondern ein altes, auf dem nur 'harte' Software läuft, kann dort ebenfalls keiner von außen pfuschen.
Paging