Natürlich können Privatkunden ihre Bankgeschäfte auch in einer Art Fort Knox ausführen. Homebanking Computer Interface (HBCI) heißen diese Verfahren, die meist separate Kartenlesegeräte und Software benötigen, die Kunden rund 50 Euro kosten können. Diese Verfahren gelten zwar als die sichersten, sind aber eben nicht besonders nutzerfreundlich. „PushTAN, App-basierte Verfahren oder mTAN bieten einen guten Kompromiss zwischen Sicherheit und Bequemlichkeit“, sagt Wolf vom G4C. Das alles sind Verfahren, bei denen Nutzer entweder über ein Smartphone Transaktionsnummern für eine bestimmte Überweisung erzeugen können oder sie sich zum Beispiel per SMS zuschicken lassen. Die deutschen Banken bieten solche Verfahren flächendeckend an. Den Kunden bleibt überlassen, ob sie eines der besonders sicheren Verfahren nutzen.
Einige Banken entscheiden sich bewusst dazu, ihren Kunden mit zwei Apps auf dem gleichen Smartphone sowohl das Onlinebanking als auch die TAN-Vergabe zu ermöglichen. Eigentlich schon laut Geschäftsbedingungen der meisten Banken ein Tabu. „Wenn die Bank sagt, sie garantiert die Kanaltrennung, auch wenn Sie auf dem gleichen Gerät die TAN generieren und die Banking-App ausführen, dann wird sie auch für eventuelle Schäden aufkommen“, sagt Christian Leuthner, Anwalt bei Olswang und Experte für IT-Recht, „wenn der Missbrauch auf dem Versagen dieser Trennung beruht.“
Ein gewisses Risiko bleibt immer
Bei einer Umfrage der Berater von Accenture sagten 2015 zwei Drittel von 900 befragten Bankmanagern weltweit, dass ihre IT-Systeme wöchentlich bis täglich angegriffen werden. Doch: „Die etablierten Banken in Deutschland haben ein hohes Schutzniveau – auch im Vergleich mit anderen Industrien“, sagt Claus Herbolzheimer, Finanz-IT-Experte beim Berater Oliver Wyman. Dass es im Ausland für Kunden riskanter zugeht, zeigt zum Beispiel ein Fall der Tesco Bank in Großbritannien. Im November hatten sich Angreifer in das System der Bank geschlichen und Geld von 9000 Konten abgeräumt. Den Schaden von umgerechnet 2,9 Millionen Euro erstattete die Bank ihren Kunden. Das Vertrauen in ihr Finanzinstitut dürften die aber verloren haben.
Diese Branchen sind am häufigsten von Computerkriminalität betroffen
Der Branchenverband Bitkom hat Anfang 2015 in 1074 Unternehmen ab 10 Mitarbeitern danach gefragt, ob das jeweilige Unternehmen innerhalb der letzten zwei Jahre von Datendiebstahl, Wirtschaftsspionage oder Sabotage betroffen war. Gut die Hälfte der befragten Unternehmen gaben an, tatsächlich Opfer von IT-gestützter Wirtschaftskriminalität geworden zu sein.
Quelle: Bitkom/Statista
Stand: 2015
Im Handel wurden 52 Prozent der befragten Unternehmen in den vergangenen zwei Jahren Opfer von Cyber-Kriminalität.
58 Prozent der befragten Unternehmen in der Medien- und Kulturbranche gaben an, in den letzten zwei Jahren Computerkriminalität erlebt zu haben. Ebenso viele Unternehmen aus der Gesundheitsbranche klagten über IT-Kriminalität.
Das Finanz- und Versicherungswesen ist ein lohnendes Ziel für Hacker, Wirtschaftsspione und Datendiebe: 60 Prozent der befragten Unternehmen konnten von Datendiebstahl oder ähnlichem während der vergangenen zwei Jahre berichten.
Fast zwei Drittel der Unternehmen der Chemie- und Pharmabranche hatten in den vergangenen zwei Jahren mit Datendiebstahl, Wirtschaftsspionage oder Sabotage zu kämpfen.
Auf Platz 1: Der Automobilbau. 68 Prozent der Autobauer klagten über Wirtschaftskriminalität in Form von Datendiebstahl, Wirtschaftsspionage oder Sabotage.
Die Daten der Schadensfälle durch Phishing-Angriffe in Deutschland zeigen: Sobald Banken neue Sicherungskonzepte umsetzen, gehen die Fallzahlen zurück (siehe Grafik). „Erfahrungsgemäß ist es nur eine Frage der Zeit, bis sich die Täterseite auf die neuen Standards eingestellt hat und die Fallzahlen wieder ansteigen“, schreibt das BKA. Das Spiel beginnt von vorn.
„Es wäre wünschenswert, dass Sicherheit ein Wettbewerbsvorteil ist. Aber ich glaube nicht, dass die Kunden ihre Bank danach auswählen“, sagt Hemker von Symantec. „Sofern es irgendwo einen minimal besseren Zinssatz gibt, rückt das Schutzniveau des Kontos in den Hintergrund.“
Vincent Haupert hat bereits drei Mal bewiesen, dass Banken es Angreifern nicht besonders schwer machen, ihre Onlineangebote zu knacken. Der 27-Jährige schreibt gerade seine Doktorarbeit an der Universität Erlangen-Nürnberg zum Thema Sicherheit im digitalen Zahlungsverkehr. Und er hat dabei selbstverständlich in bester Absicht bereits die TAN-App der Sparkassen, das photoTAN-Verfahren der Deutschen Bank und der Commerzbank und die Banking-App des Start-ups N26 ausgehebelt.
Derzeit werde die Sicherheit der Nutzer bewusst hinten angestellt, meint er: „In der Finanzbranche setzt man auf Nutzerfreundlichkeit um jeden Preis.“ Zwar hätten alle Banken bestimmte Sicherheitskonzepte in ihren Onlinedienstleistungen umgesetzt. Eine Lücke lasse sich aber immer finden. „Ich war bei meinen Versuchen überrascht, wie leicht der Zugriff war.“
Sollten Bankkunden also den Stecker ziehen? Bietet am Ende das altbewährte Sparbuch den einzigen Schutz vor Cyberangriffen, wenn es unbemerkt hinter dem Schrank verstaubt (siehe auch Seite 75)? „Gebundene Sparbücher sind Urkunden und damit Beweismittel im Sinne der Zivilprozessordnung“, heißt es offiziell vom Bundesverband der Deutschen Volks- und Raiffeisenbanken. Kunden können allein mit Vorlage des Sparbuchs ihre Ansprüche gegenüber der Bank geltend machen. Ein Kontoauszug ist dagegen nur ein Informationsschreiben.
Ist das Geld der Onlinekunden verloren, wenn Hacker angreifen und das zentrale Register einer Bank samt digitaler Sicherungen manipulieren? Eine Urkunde zum Nachweis der Höhe ihrer Einlagen besitzen sie im Gegensatz zu Sparbuchinhabern schließlich nicht mehr.
Angriffsziele von aufsehenerregenden Cyberangriffen
Im Dezember 2015 fiel für mehr als 80.000 Menschen in der Ukraine der Strom aus. Zwei große Stromversorger erklärten, die Ursache sein ein Hacker-Angriff gewesen. Es wäre der erste bestätigte erfolgreiche Cyberangriff auf das Energienetz. Ukrainische Behörden und internationale Sicherheitsexperten vermuten eine Attacke aus Russland.
Im Februar 2016 legt ein Erpressungstrojaner die IT-Systeme des Lukaskrankenhauses in Neuss lahm. Es ist die gleiche Software, die oft auch Verbraucher trifft: Sie verschlüsselt den Inhalt eines Rechners und vom Nutzer wird eine Zahlung für die Entschlüsselung verlangt. Auch andere Krankenhäuser sollen betroffen gewesen sein, hätten dies aber geheim gehalten.
Ähnliche Erpressungstrojaner trafen im Februar auch die Verwaltungen der westfälischen Stadt Rheine und der bayerischen Kommune Dettelbach. Experten erklären, Behörden gerieten bei den breiten Angriffen eher zufällig ins Visier.
In San Francisco konnte man am vergangenen Wochenende kostenlos mit öffentlichen Verkehrsmitteln fahren, weil die rund 2000 Ticket-Automaten von Erpressungs-Software befallen wurden. Laut einem Medienbericht verlangten die Angreifer 73 000 Dollar für die Entsperrung.
Im Mai 2015 fallen verdächtige Aktivitäten im Computernetz des Parlaments auf. Die Angreifer konnten sich so weitreichenden Zugang verschaffen, das die Bundestags-IT ausgetauscht werden. Als Urheber wird die Hacker-Gruppe APT28 vermutet, der Verbindungen zu russischen Geheimdiensten nachgesagt werden.
Die selbe Hacker-Gruppe soll nach Angaben amerikanischer Experten auch den Parteivorstand der Demokraten in den USA und die E-Mails von Hillary Clintons Wahlkampf-Stabschef John Podesta gehackt haben. Nach der Attacke im März wurden die E-Mails wirksam in der Schlussphase des Präsidentschaftswahlkampfs im Oktober 2016 veröffentlicht.
APT28 könnte auch hinter dem Hack der Weltdopingagentur WADA stecken. Die Angreifer veröffentlichen im September 2016 Unterlagen zu Ausnahmegenehmigungen zur Einnahme von Medikamenten, mit einem Fokus auf US-Sportler.
Ein Angriff, hinter dem Hacker aus Nordkorea vermutet wurden, legte im November für Wochen das gesamte Computernetz des Filmstudios lahm. Zudem wurden E-Mails aus mehreren Jahren erbeutet. Es war das erste Mal, dass ein Unternehmen durch eine Hackerattacke zu Papier und Fax zurückgeworfen wurde. Die Veröffentlichung vertraulicher Nachrichten sorgte für unangenehme Momente für mehrere Hollywood-Player.
Bei dem bisher größten bekanntgewordenen Datendiebstahl verschaffen sich Angreifer Zugang zu Informationen von mindestens einer Milliarde Nutzer des Internet-Konzerns. Es gehe um Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten und verschlüsselte Passwörter. Der Angriff aus dem Jahr 2014 wurde erst im vergangenen September bekannt.
Ein Hack der Kassensysteme des US-Supermarkt-Betreibers Target macht Kreditkarten-Daten von 110 Millionen Kunden zur Beute. Die Angreifer konnten sich einige Zeit unbemerkt im Netz bewegen. Die Verkäufe von Target sackten nach der Bekanntgabe des Zwischenfalls im Dezember 2013 ab, weil Kunden die Läden mieden.
Eine Hacker-Gruppe stahl im Juli 2015 Daten von rund 37 Millionen Kunden des Dating-Portals. Da Ashley Madison den Nutzern besondere Vertraulichkeit beim Fremdgehen versprach, erschütterten die Enthüllungen das Leben vieler Kunden.
Im Frühjahr 2016 haben Hacker den Industriekonzern Thyssenkrupp angegriffen. Sie hatten in den IT-Systemen versteckte Zugänge platziert, um wertvolles Know-how auszuspähen. In einer sechsmonatigen Abwehrschlacht haben die IT-Experten des Konzerns den Angriff abgewehrt – ohne, dass einer der 150.000 Mitarbeiter des Konzerns es mitbekommen hat. Die WirtschaftsWoche hatte die Abwehr begleitet und einen exklusiven Report erstellt.
Im Mai 2017 ging die Ransomware-Attacke "WannaCry" um die Welt – mehr als 200.000 Geräte in 150 Ländern waren betroffen. Eine bislang unbekannte Hackergruppe hatte die Kontrolle über die befallenen Computer übernommen und Lösegeld gefordert – nach der Zahlung sollten die verschlüsselten Daten wieder freigegeben werden. In Großbritannien und Frankreich waren viele Einrichtungen betroffen, unter anderem Krankenhäuser. In Deutschland betraf es vor allem die Deutsche Bahn.
Peter Balzer ist Partner der Kanzlei Sernetz Schäfer und Experte für Bank- und Kapitalmarktrecht. Für ihn macht es aus rechtlicher Sicht keinen Unterschied, ob Guthaben lediglich auf einem Girokonto verbucht sind oder – wie bei einem Sparbuch – eine Urkunde über die Forderung existiert. „Selbst wenn Bankenserver ausfallen sollten, hat dies auf den Bestand der Forderung gegenüber der Bank keine Auswirkungen“, sagt er. Kunden könnten sich etwa auf das Guthaben im letzten Rechnungsabschluss oder Kontoauszug berufen, selbst wenn das nur als PDF-Datei vorliegt. „In der Praxis kommt es auch einfach nicht vor, dass die Forderung des Kunden aufgrund von EDV-Problemen erlischt“, sagt er. IT-Experten halten es zwar für möglich, dass auch Sicherungen der Banken von Cyberangriffen betroffen sein könnten und jegliche Einträge zu Guthaben der Kunden ausgelöscht werden. „Aber wir sprechen dann wirklich von einem Katastrophenszenario“, sagt Hemker.
Für Balzer, der Banken in Prozessen vertritt, stellt sich vielmehr die Frage, ob die Kundenkonten tatsächlich geknackt wurden, wenn Geld abgebucht wurde, ohne dass es jemand veranlasst haben will. „Oder haben die Kunden entgegen der vertraglichen Vereinbarungen ihre Zugangsdaten bewusst oder in fahrlässiger Weise weitergegeben? Danach richtet sich letztlich, wer den Schaden trägt.“ Da die Rechtsstreitigkeiten in diesem Bereich deutlich zugenommen haben, dürfe der Kunde auch nicht mehr ohne Weiteres auf die Kulanz der Bank hoffen. Denn die kennen die alte Hacker-Weisheit: Organisationen stecken Millionen in Sicherheitssysteme und verschwenden ihr Geld, da keine dieser Maßnahmen das schwächste Glied der Sicherheitskette berücksichtigen kann: die Anwender.