Kriminalität im Internet: "Guter Schutz ist aufwendig"

Der beste Schutz vor ausgespähten Bankdaten ist eine gesunde Portion Skepsis beim Kunden, sagt Udo Helmbrecht, Leiter der Bundesbehörde für IT-Sicherheit. Was sonst noch hilft erzählt er im Interview mit sueddeutsche.de

Udo Helmbrecht steht dem Bundesamt für Sicherheit in der Informationstechnik vor. Als besten Schutz gegen das Ausspähen von Bankdaten über gefälschte E-Mails empfiehlt er die neueren Sicherheitsverfahren der Kreditinstitute - und eine gesunde Portion Skepsis beim Kunden.

Udo Helmbrecht, Leiter der Bundesbehörde für IT-Sicherheit (Foto: Foto: BSI)

SZ: Lange reichte bei Bankgeschäften im Internet die Eingabe einer beliebigen Geheimnummer für jede Transaktion aus. Wieso gilt das nun als unsicher?

Helmbrecht: Internet-Kriminelle können bei diesem einfachen Pin-Tan-Verfahren recht leicht die Geheimzahlen von Bankkunden über gefälschte Internetseiten oder Trojaner ausspionieren. Sind sie einmal in den Besitz dieser Daten gelangt, ist es für sie einfach, Geld von fremden Konten auf ihr eigenes zu überweisen. Die reine Pin-Tan-Methode ist deshalb nicht mehr Stand der Technik.

SZ: Welche Verfahren sind besser?

Helmbrecht: Die Mehrzahl der Banken nutzt in ihren Internetfilialen derzeit den iTan-Standard. Dabei muss der Kunde für eine Transaktion genau die Tan eintippen, die an einer festgelegten Stelle auf seiner Tan-Liste steht. Diese Position bestimmt der Bank-Computer. So funktioniert zum Beispiel eine Überweisung nur mit der Nummer, die an fünfter Stelle auf der Liste des Kunden steht. Das schafft mehr Sicherheit, schützt aber nicht gegen alle Angriffe.

SZ: Wieso setzen die Banken denn keine noch sichereren Verfahren ein?

Helmbrecht: Je besser die Schutzmethoden sind, desto mehr Aufwand bedeutet das auch für den Kunden. Eine höhere Sicherheit bietet das HBCI-Verfahren. Dazu sind eine Chipkarte und ein Lesegerät erforderlich, das rund 100 Euro kostet. Das Verfahren ist kaum zu überlisten - erlaubt aber Onlinebanking nur dort, wo der Chipleser installiert ist. Das ist vielen Kunden zu umständlich.

SZ: Einfacher und sicherer Schutz zugleich sind also nicht möglich?

Helmbrecht: Am leichtesten schützt man sich bei Finanzgeschäften im Internet mit gesundem Menschenverstand. Eine Bank wird nie verlangen, mehrere Geheimnummern auf einmal einzugeben. Auch aktuelle Antivirensoftware auf jedem Computer sollte inzwischen selbstverständlich sein.