"Hacker" steht auf seiner Visitenkarte. In großen schwarzen Buchstaben. Das ist nicht sein Name, sondern seine Berufsbezeichnung. Ja, Gunnar Porada war einmal ein Hacker und ist es irgendwie immer noch. Auch wenn er gar nicht so aussieht, wie man sich den klassischen Hacker vorstellt. Keine zerrissene Jeans, stattdessen dunkler feiner Anzug. Keine wild zerstrubbelten Haare, stattdessen adrett kurz und gescheitelt. Und er hat nicht mal dunkle Augenringe, nein. Wenigstens, ja wenigstens deutet sich ein leichter Dreitagebart an. Und Krawatte trägt er auch nicht.
Vor zwanzig Jahren, da hat Porada mal die Geheimnummern von EC-Karten geknackt. Aber die betroffenen Kontoinhaber wussten davon, und das war alles nur, um zu gucken, ob er es schafft. Aus Spieltrieb. Und verjährt ist es auch, sagt sein Anwalt. Deshalb darf Porada das so im Spaß erzählen. Er hat die Daten der Karten auch nie weiterverkauft oder gar Geld damit abgezockt. Sagt er.
Stattdessen ist er ziemlich bald dann auf die gute Seite gewechselt. Das heißt: Heute hackt er öffentlich für Publikum bei Vorträgen sein eigenes Konto, um zu zeigen, wie das geht. Oder er durchbricht die Firewalls von Banken und Versicherungen und berät sie, was sie in Sachen Sicherheit besser machen können. Aber Porada ist und bleibt irgendwie ein Hacker. In großen schwarzen Buchstaben.
Und so erzählt er, wie es so zugeht in der Branche der Kriminellen. Dass diese mittlerweile sehr serviceorientiert seien. "Sie bieten Ihnen die passende Spionagesoftware inklusive Schulung", sagt er. Eine Grundversion der Hacker-Software gebe es mittlerweile sogar im Netz. Kostenlos. Und dann zeigt er, wie einfach es ist, ein Konto zu knacken. Und es ist überraschend einfach.
Zweifel am TAN-Verfahren
Dass es überraschend einfach ist, das zeigen auch die Zahlen aus dem Bundeskriminalamt: Von 2009 auf 2010 sind die Fälle, in denen Betrüger online Kontodaten abfischen, um 80 Prozent auf 5300 gestiegen. Der Schaden in Deutschland hat sich im selben Zeitraum auf 21 Millionen Euro verdoppelt, die durchschnittliche Schadenssumme beträgt laut BKA 4000 Euro.
Bei der Pressekonferenz im Sommer 2011 hatte BKA-Präsident Jörg Ziercke gewarnt: Das bisherige TAN-Verfahren, bei dem der Kunde Transaktionen im Netz durch die Eingabe einer TAN-Nummer von einer Liste bestätigt, werde massiv attackiert. Spezielle Trojaner würden das Verfahren austricksen. Und diese Software verbreitet sich rasant, ist auf Tausenden Rechnern installiert, ohne dass es die Besitzer merken.
Sicherheitsberater Porada hat einen seiner eigenen Rechner infiziert. Absichtlich natürlich. Er braucht nur ein paar Sekunden, um sich von seinem anderen Rechner, dem bösen, in ein Konto zu hacken. Der infizierte Computer sendet dem bösen Rechner Passwort und Log-in, die der Kunde eingibt. So ist der Weg frei. Die verlangte TAN kann Porada dann auch entschlüsseln und sich somit Geld überweisen. Schockierend einfach.
Und die Mobile-TAN, die dem Kunden bei Bedarf per SMS aufs Handy geschickt wird und nur für eine kurze Zeit gültig ist? Ist die wenigstens sicher? Porada schüttelt den Kopf und startet einen Trojaner-Angriff auf sein eigenes Konto. Einmal gestartet macht der Trojaner alles von alleine. Er klaut die eingegebenen Log-in-Daten, loggt sich dann ein, beantragt eine Mobile-TAN für eine Überweisung - und Poradas Handy piept.
Porada ignoriert die SMS, und doch gibt der Trojaner die passende Mobile-TAN ein und überweist sich Geld. Denn: Er spioniert nicht nur den Computer aus, sondern hat auch das Smartphone infiziert. Das geht mittlerweile über E-Mails, UMTS- oder Wifi-Verbindungen.
Oder Kriminelle spionieren mit einem Gerät Handys aus und lesen die SMS. Ja, nichts ist unmöglich. Das will Berater Porada zeigen. Klar, auch weil er viel Geld mit dieser Unsicherheit verdient. Doch das relativiert nicht die Tatsachen: Hundert Prozent sicher ist nichts.
Natürlich ist die Mobile-TAN viel sicherer als die ursprüngliche TAN von der Liste. Sie ist nur für einen Moment gültig, und das Hacken ist viel aufwendiger, da der Kriminelle zwei Geräte gleichzeitig ausspionieren muss. Deshalb gibt es jetzt noch relativ wenige Schadensfälle bei Mobile-TAN. Aber es ist ein Wettlauf. Ein endloser.
Kein Onlinebanking ist auch keine Lösung
Die Kriminellen entwickeln immer bessere und effizientere Methoden. Oder wie es der Sicherheitsexperte der Onlinebank Cortal Consors, Mirko Meyer, erklärt: "Wir haben keine Schadensfälle mehr, seit wir die TAN-Listen ersetzt haben. Aber ausruhen darf man sich nie. Es ist immer ein Prozess. Wir führen etwas Neues ein - und die versuchen, es zu knacken."
Selbst die nun modernen Verfahren mit speziellen kleinen Geräten, die für den Kunden eine aktuelle TAN generieren, die zudem an die Überweisung an eine bestimmte Kontonummer gebunden sind, sind nicht unhackbar. Sagt Porada. Trotzdem wickelt er seine Geldgeschäfte online ab. Anders als der Präsident des Bundeskriminalamtes, Jörg Ziercke, der verkündete, seiner Meinung nach sei Onlinebanking so unsicher, dass er das nicht mehr mache.
"Kein Onlinebanking zu nutzen, ist keine Lösung", findet dagegen Porada. Das sei zu unpraktikabel in der heutigen Zeit. Man müsse sich eben dabei bewusst sein, dass es nie ganz sicher ist. Und dementsprechend zu einer Bank zu gehen, die regelmäßig ihre Sicherheitsstandards anpasst. Auf der anderen Seite gilt für die Banken: "Sie müssen umdenken. Es muss ihnen klar sein, dass es niemals den Zustand Sicherheit geben wird. Stattdessen müssen sie dranbleiben und immer neue Methoden entwickeln."