E-Mails wie diese gehören zum Alltag: Am 20. Januar etwa schreibt eine Volksbank, das neue Datenschutzgesetz schreibe vor, dass Kunden bitte ihre Identität bestätigen sollen. Am 23. Januar will das Sicherheitssystem der Barclaycard plötzlich checken, ob Kunden legitime Eigentümer ihrer Kreditkarte sind. Und einen Tag später steht unerwartet ein Sicherheitsupdate der Commerzbank zur Betrugsprävention an: Kunden sollen ihre Mobilfunknummer hinterlegen, um eine Hürde für Betrüger aufzustellen.
Was all diesen Sicherheitsprüfungen gemeinsam ist: Sie sind plumpe Fakes. Sie stammen aus E-Mails, die Betrüger massenhaft versenden, sogenannten Phishing-Mails. Darin täuschen sie Bankkunden ein Problem mit ihrem Konto vor. Ein Link in der E-Mail soll Abhilfe schaffen. Doch wer dort Login-Daten, Transaktionsziffern oder Mobilfunknummern für seine Hausbank eingibt, landet in den Fängen der Onlinebetrüger.
Selber schuld? Verbraucherzentralen und Banken warnen ständig vor den Maschen der Diebe. Doch die werden immer perfekter. Während ihre E-Mails vor wenigen Jahren noch übersät waren mit Tippfehlern, sehen sie mittlerweile täuschend echt aus. „Sich eine Infektion über eine gefälschte E-Mail zu holen ist immer noch der prominenteste Weg für Betrug beim Onlinebanking“, sagt Thomas Hemker, Sicherheitsstratege bei Symantec. Dem Bundeskriminalamt wurden 2015 rund 4500 Fälle von Phishing im Finanzsektor gemeldet. Der Schaden: 18 Millionen Euro, im Schnitt wurde jeder betroffene Kunde um 4000 Euro gebracht. In Einzelfällen können Schäden auch Hunderttausende Euro betragen. Meist erstatten Banken das Geld den Kunden aus Kulanz und versuchen selbst, die missbräuchlich abgebuchten Beträge zurückzuholen. Denn: An der Sicherheit der Konten hängt ihr Ruf.
Sicherheit im Onlinebanking
Bei diesem Autorisierungsverfahren müssen Nutzer lediglich ihre Kontonummer oder einen Nutzernamen eintragen und eine dazugehörige PIN eingeben. Bitkom hält diese Autorisierung für sehr unsicher. Sie sei lediglich für Umsatzabfragen oder den Zugang zur Nachrichtenbox geeignet.
Indizierte Transaktionsnummer (iTAN) sind Transaktionsnummern, die von der Bank auf einer Liste in einem Index zusammengestellt wurden. Für Überweisungen müssen sie dann eine bestimmte TAN der Liste eingeben. Laut Bitkom besteht bei Verwendung von iTAN nur ein geringes Risiko eines Datenabgriffs. Wenn auch Manipulationen durch zwischengeschaltete Schadsoftware während der Eingabe der TAN möglich sind.
(Quelle: Bitkom)
Mobile TAN werden per SMS-Nachricht an den Bankkunden übertragen. Jeder eingeleitete Buchungsvorgang des Kunden muss mit der dazugehörigen verschickten mTAN bestätigt werden. Weil Smartphones, die die SMS-TAN empfangen, heute aber häufig mit dem Internet verbunden sind, besteht auch hier die Gefahr eines illegalen Abgriffs der TAN. Bitkom ordnet SMS-TAN als unsicher ein.
Über ein Lesegerät erzeugt der Bankkunde mit seiner EC-Karte eine TAN. Verschiedenste Varianten von smart-TAN, Chip-TAN bis zu e-TAN gelten laut Bitkom als sichere Authentifikationswege.
Viele Sparkassen und VR-Banken nutzen das Verfahren: Der Kunde muss weiterhin eine Karte in einen TAN-Generator stecken. Sobald er eine Überweisung im Onlinebanking ausführt, erscheint ein Schwarz-Weiß-Code auf dem Bildschirm. Diesen muss er dann mit seinen TAN-Generator samt EC-Karte einscannen. Aus den Daten des Schwarz-Weiß Codes liest der Generator die Überweisungsdetails und kreiert eine zugehörige TAN, die dann im Onlinebanking eingegeben werden muss. Bitkom schätzt die Verwendung als mindestens so sicher wie das iTAN-Verfahren.
Kunden müssen bei einer Überweisung einen Code auf dem PC-Bildschirm mit ihrem Smartphone scannen. Anschließend halten sie zur Verifizierung ihre NFC-fähige EC-Karte an das Smartphone. Über das Internet (oder auch per Hand) wird dann eine TAN übertragen. Nicht alle Smartphones und EC-Karten sind für dieses Verfahren ausgestattet. Laut Bitkom besteht dafür aber ein geringes Risiko, dass Hacker Daten abgreifen können.
70 Prozent der deutschen Bankkunden nutzen ein Onlinekonto, und gut jeder dritte mittlerweile auch sein Smartphone für Geldgeschäfte, zeigt eine Studie des Branchenverbands Bitkom. Apps der Banken machen es heute besonders bequem, jederzeit und überall auf sein Konto zuzugreifen. Doch wer das macht, muss wissen: Es geht um einen „Kompromiss zwischen Sicherheit und Bequemlichkeit“, sagt Heiko Wolf, Leiter des Informations-Risikomanagements der ING-Diba und Vorstand des Vereins G4C, der Präventionsmaßnahmen gegen Cyberkriminalität fördert. „Beides gleichzeitig stellt eine Herausforderung dar.“ Man könnte auch sagen: Wer faul ist, lebt unsicher.
Auf die eigene Sicherheit achten
Beide, Banken und Kunden, müssen ihre Konten sichern. Banken etwa durch Authentifizierungsmaßnahmen, wobei gilt: Login und Authentifizierung sollten immer über zwei verschiedene Kanäle erfolgen. Banking am Laptop also und Erstellung einer Transaktionsnummer (TAN) zur Bestätigung der Überweisung auf dem Smartphone. Ein Angreifer müsste dann nämlich Laptop und Smartphone eines Kunden manipulieren, um an sein Geld zu kommen. Ein erheblicher Aufwand. Kunden müssen sich stets mit mindestens zwei Faktoren ausweisen: Wissen und Besitz. Das können zum einen ein Passwort, ein Code oder die persönliche Identifikationsnummer (PIN) sein. Und zusätzlich etwas, das nur der Nutzer besitzen kann, wie etwa das eigene Mobiltelefon. Sie müssen dann dafür sorgen, dass ihnen beim Überweisen kein Gauner über die Schulter guckt:
Merkregeln für sichere Passwörter
Zugegeben, „Password“, „12345“, „qwert“, „0000“ oder der eigene Name sind leicht zu merken. Trotzdem sollte sich, wer eine dieser Zeichenfolgen als Zugangscode für das Konto, den Computer oder die Kreditkarte gewählt hat, schleunigst Gedanken über sicherere Alternativen machen. Denn viel leichter kann man es Hackern kaum noch machen.
Doch selbst ein schwacher Schutz ist besser als gar keiner. Aktivieren Sie deshalb am Mobiltelefon neben der PIN-Abfrage der SIM-Karte auch den Passwortschutz des Gerätes selbst. So wird nicht nur die SIM, sondern auch das Mobiltelefon für Diebe unbrauchbar. Prüfen Sie zudem, ob die Passwortabfrage in Ihrem heimischen schnurlosen Funknetz (WLAN) aktiv ist. Sonst surfen Fremde kostenlos mit.
Vermeiden Sie es, identische Passwörter für mehrere Zwecke zu nutzen. Wer im WLAN-Netz eines Cafés den gleichen Zugangscode zur Abfrage der E-Mails verwendet wie daheim für Zugriffe auf das Online-Bankkonto, handelt fahrlässig. Denn die Codes werden über Funk meist unverschlüsselt übertragen. Sicherheitsexperten empfehlen, wenigstens drei unterschiedlich komplexe Schlüssel für unterschiedlich sensible Anwendungen einzusetzen. Wichtig: Wenn die Gefahr besteht, dass ein Passwort bekannt geworden ist oder gar geknackt wurde, tauschen Sie es sofort aus.
Auch bei Passwörtern gilt: „Viel hilft viel“. Je länger und komplexer die Codes sind, desto sicherer sind sie. Je weniger Systematik und Semantik in ihnen steckt, desto besser. Vor allem der Einsatz von Sonderzeichen wie §, &, $ oder @ steigert die Zahl der Passwort‧alternativen enorm. Leider nur sind diese Schlüssel auch schwerer zu merken.
Reine Zahlencodes wie Handy-, EC- oder Kreditkarten-PINs geraten im alltäglichen Informationswust allzuleicht in Vergessenheit. Sie lassen sich besser merken, wenn Sie diese mit emotional relevanten Fakten assoziieren – und die voreingestellten Codes der Karten entsprechend umprogrammieren. Vergessen Sie Ihr Geburtsdatum, das recherchieren Datendiebe im Zweifel auch. Wie wäre es aber mit dem Tag, an dem Ihr Lieblingsverein zum letzten Mal Meister wurde, Sie Ihr Diplom gemacht oder die Ausbildung abgeschlossen haben? Darauf kommt keiner – und Sie können es zur Not sogar nachschlagen.
Sicherer als reine Zahlen-PINs sind Kombinationen aus Zahlen und Buchstaben. Sie haben am 31. März 89 geheiratet? Lesen Sie im Wechsel die Buchstaben von hinten, die Zahlen von vorn: „3z1r8ä9m“ ist schwer zu knacken, für Sie aber leicht zu merken. Mischen Sie die letzten vier Zeichen des Geburtsorts der Mutter und des Geburtsdatums des Vaters und lesen sie beides rückwärts. „h1c4i0r1“ errät niemand – Sie müssen sich lediglich die Systematik merken.
Merken Sie sich statt vieler Zahlenfolgen nur eine, mit dem Sie alle anderen verschlüsseln. Die können Sie dann sogar im Adressbuch notieren. Wählen Sie ein Wort, bei dem sich in den ersten zehn Buchstaben keiner wiederholt, zum Beispiel „Aktienkurs“, „Herbstwald“ oder „Blumengruß“. Ersetzen Sie die Ziffern Ihrer PIN durch die an der entsprechenden Stelle Ihres persönlichen Schlüsselwortes stehenden Buchstaben. Bei „Herbstwald“ würde aus „4735“ der Code „bwrs“, aus „901628“ das neue „ldhtea“. Für Sie ist der Weg zurück ein Leichtes. Doch wer Ihr Geheimwort nicht kennt, hat kaum Chancen, die ursprüngliche Zahlenfolgen zu rekonstruieren.
Zumeist sind PINs und Passwörter relativ kurz. Wer – etwa bei der Wahl des Zugangsschlüssels für das WLAN-Funknetz, aber auch beim Start des PCs – die Möglichkeit hat, kann auch statt weniger Zeichen viele Buchstaben verwenden und sich einen Satz mit einem starken persönlichen Bezug merken: „Wedeln_im_Tiefschnee_ist_mein_Traum“ weiß ich sogar im Tiefschlaf. Sie finden sicher Ähnliches.
Sehr sichere – aber deutlich kürzere – Codes lassen sich mithilfe von Sätzen oder den Titeln Ihrer Lieblingsbücher, -bands oder -hits bilden. Aus den ersten Buchstaben von „Seit 10 Jahren schnorchele ich vor Hawaii“ wird dann „S1JsivH“, aus den jeweils beiden letzten von „Money for nothing“ wird „ngorey“. Auch hier ist nur wichtig, dass Sie sich die Systematik merken. Ihren Lieblingstitel sollten Sie ohnehin kennen.
Selbst vergleichsweise einfach zu merkende Schlüssel sind schwerer zu knacken, wenn Sie Buchstaben durch Zeichen ersetzen – etwa „T“ durch „+“, „H“ durch „#“, „E“ durch „3“, „I“ durch „!“ oder „S“ durch „$“. Wenn Sie sich den Satz merken können „Meine Tochter heißt Sarah“, dann sollte das auch mit „M+#$“ klappen.
Nicht jedes Passwort lässt sich an die eigenen Bedürfnisse anpassen. Dann hilft nur noch Büffeln. Wirksam (und nicht nur bei Vokabeln bewährt) ist die Strategie, sich die Codes in wachsenden Abständen selbst abzufragen. Beginnen Sie dabei im Minutenabstand und steigern Sie die Zeiträume in Etappen. Wichtig ist, gerade selten benötigte Codes regelmäßig zu wiederholen. Sonst sind sie im entscheidenden Moment weg.
die persönlichen Zugangscodes dürfen nicht elektronisch gespeichert werden,
- Kennwörter und TAN-Generatoren müssen getrennt voneinander aufbewahrt werden,
- der Nutzer darf jeweils nur eine TAN zur Autorisierung einer Überweisung oder anderer Aufträge nutzen,
- PIN und TAN dürfen nicht außerhalb des Onlinebankingverfahrens weitergegeben werden, also beispielsweise per E-Mail,
- das Gerät, mit dem eine TAN per SMS empfangen wird, darf nicht gleichzeitig für das Onlinebanking genutzt werden.
Wer gegen diese Pflichten verstößt, muss im Schadensfall bis zu 150 Euro selbst tragen. Um ihren Zugang so gut wie möglich zu schützen, sollten Onlinebankingkunden es deshalb vermeiden, öffentliche Internetverbindungen wie WLAN-Hotspots zu nutzen. Stattdessen, wenn nötig, das eigene mobile Internet auf dem Smartphone. Sie sollten keine Apps einsetzen, die gleich auf mehrere ihrer Konten zugreifen und keine Links in vermeintlichen E-Mails ihrer Bank anklicken, um sich als Kontoinhaber zu verifizieren. Pflichtprogramm ist außerdem, regelmäßig Updates sowie Virenscanner und Firewall zu installieren. „Viele Nutzer haben ihren heimischen PC am Schreibtisch mittlerweile gut abgesichert“, sagt Hemker. „Für Smartphones, insbesondere solche mit Android-Betriebssystem, können wir das nicht sagen. Dort ist es für Angreifer sehr leicht möglich, über infizierte Programme im App-Store Schadsoftware zu installieren.“
Der Bank ausgeliefert
Natürlich können Privatkunden ihre Bankgeschäfte auch in einer Art Fort Knox ausführen. Homebanking Computer Interface (HBCI) heißen diese Verfahren, die meist separate Kartenlesegeräte und Software benötigen, die Kunden rund 50 Euro kosten können. Diese Verfahren gelten zwar als die sichersten, sind aber eben nicht besonders nutzerfreundlich. „PushTAN, App-basierte Verfahren oder mTAN bieten einen guten Kompromiss zwischen Sicherheit und Bequemlichkeit“, sagt Wolf vom G4C. Das alles sind Verfahren, bei denen Nutzer entweder über ein Smartphone Transaktionsnummern für eine bestimmte Überweisung erzeugen können oder sie sich zum Beispiel per SMS zuschicken lassen. Die deutschen Banken bieten solche Verfahren flächendeckend an. Den Kunden bleibt überlassen, ob sie eines der besonders sicheren Verfahren nutzen.
Einige Banken entscheiden sich bewusst dazu, ihren Kunden mit zwei Apps auf dem gleichen Smartphone sowohl das Onlinebanking als auch die TAN-Vergabe zu ermöglichen. Eigentlich schon laut Geschäftsbedingungen der meisten Banken ein Tabu. „Wenn die Bank sagt, sie garantiert die Kanaltrennung, auch wenn Sie auf dem gleichen Gerät die TAN generieren und die Banking-App ausführen, dann wird sie auch für eventuelle Schäden aufkommen“, sagt Christian Leuthner, Anwalt bei Olswang und Experte für IT-Recht, „wenn der Missbrauch auf dem Versagen dieser Trennung beruht.“
Ein gewisses Risiko bleibt immer
Bei einer Umfrage der Berater von Accenture sagten 2015 zwei Drittel von 900 befragten Bankmanagern weltweit, dass ihre IT-Systeme wöchentlich bis täglich angegriffen werden. Doch: „Die etablierten Banken in Deutschland haben ein hohes Schutzniveau – auch im Vergleich mit anderen Industrien“, sagt Claus Herbolzheimer, Finanz-IT-Experte beim Berater Oliver Wyman. Dass es im Ausland für Kunden riskanter zugeht, zeigt zum Beispiel ein Fall der Tesco Bank in Großbritannien. Im November hatten sich Angreifer in das System der Bank geschlichen und Geld von 9000 Konten abgeräumt. Den Schaden von umgerechnet 2,9 Millionen Euro erstattete die Bank ihren Kunden. Das Vertrauen in ihr Finanzinstitut dürften die aber verloren haben.
Diese Branchen sind am häufigsten von Computerkriminalität betroffen
Der Branchenverband Bitkom hat Anfang 2015 in 1074 Unternehmen ab 10 Mitarbeitern danach gefragt, ob das jeweilige Unternehmen innerhalb der letzten zwei Jahre von Datendiebstahl, Wirtschaftsspionage oder Sabotage betroffen war. Gut die Hälfte der befragten Unternehmen gaben an, tatsächlich Opfer von IT-gestützter Wirtschaftskriminalität geworden zu sein.
Quelle: Bitkom/Statista
Stand: 2015
Im Handel wurden 52 Prozent der befragten Unternehmen in den vergangenen zwei Jahren Opfer von Cyber-Kriminalität.
58 Prozent der befragten Unternehmen in der Medien- und Kulturbranche gaben an, in den letzten zwei Jahren Computerkriminalität erlebt zu haben. Ebenso viele Unternehmen aus der Gesundheitsbranche klagten über IT-Kriminalität.
Das Finanz- und Versicherungswesen ist ein lohnendes Ziel für Hacker, Wirtschaftsspione und Datendiebe: 60 Prozent der befragten Unternehmen konnten von Datendiebstahl oder ähnlichem während der vergangenen zwei Jahre berichten.
Fast zwei Drittel der Unternehmen der Chemie- und Pharmabranche hatten in den vergangenen zwei Jahren mit Datendiebstahl, Wirtschaftsspionage oder Sabotage zu kämpfen.
Auf Platz 1: Der Automobilbau. 68 Prozent der Autobauer klagten über Wirtschaftskriminalität in Form von Datendiebstahl, Wirtschaftsspionage oder Sabotage.
Die Daten der Schadensfälle durch Phishing-Angriffe in Deutschland zeigen: Sobald Banken neue Sicherungskonzepte umsetzen, gehen die Fallzahlen zurück (siehe Grafik). „Erfahrungsgemäß ist es nur eine Frage der Zeit, bis sich die Täterseite auf die neuen Standards eingestellt hat und die Fallzahlen wieder ansteigen“, schreibt das BKA. Das Spiel beginnt von vorn.
„Es wäre wünschenswert, dass Sicherheit ein Wettbewerbsvorteil ist. Aber ich glaube nicht, dass die Kunden ihre Bank danach auswählen“, sagt Hemker von Symantec. „Sofern es irgendwo einen minimal besseren Zinssatz gibt, rückt das Schutzniveau des Kontos in den Hintergrund.“
Vincent Haupert hat bereits drei Mal bewiesen, dass Banken es Angreifern nicht besonders schwer machen, ihre Onlineangebote zu knacken. Der 27-Jährige schreibt gerade seine Doktorarbeit an der Universität Erlangen-Nürnberg zum Thema Sicherheit im digitalen Zahlungsverkehr. Und er hat dabei selbstverständlich in bester Absicht bereits die TAN-App der Sparkassen, das photoTAN-Verfahren der Deutschen Bank und der Commerzbank und die Banking-App des Start-ups N26 ausgehebelt.
Derzeit werde die Sicherheit der Nutzer bewusst hinten angestellt, meint er: „In der Finanzbranche setzt man auf Nutzerfreundlichkeit um jeden Preis.“ Zwar hätten alle Banken bestimmte Sicherheitskonzepte in ihren Onlinedienstleistungen umgesetzt. Eine Lücke lasse sich aber immer finden. „Ich war bei meinen Versuchen überrascht, wie leicht der Zugriff war.“
Sollten Bankkunden also den Stecker ziehen? Bietet am Ende das altbewährte Sparbuch den einzigen Schutz vor Cyberangriffen, wenn es unbemerkt hinter dem Schrank verstaubt (siehe auch Seite 75)? „Gebundene Sparbücher sind Urkunden und damit Beweismittel im Sinne der Zivilprozessordnung“, heißt es offiziell vom Bundesverband der Deutschen Volks- und Raiffeisenbanken. Kunden können allein mit Vorlage des Sparbuchs ihre Ansprüche gegenüber der Bank geltend machen. Ein Kontoauszug ist dagegen nur ein Informationsschreiben.
Ist das Geld der Onlinekunden verloren, wenn Hacker angreifen und das zentrale Register einer Bank samt digitaler Sicherungen manipulieren? Eine Urkunde zum Nachweis der Höhe ihrer Einlagen besitzen sie im Gegensatz zu Sparbuchinhabern schließlich nicht mehr.
Angriffsziele von aufsehenerregenden Cyberangriffen
Im Dezember 2015 fiel für mehr als 80.000 Menschen in der Ukraine der Strom aus. Zwei große Stromversorger erklärten, die Ursache sein ein Hacker-Angriff gewesen. Es wäre der erste bestätigte erfolgreiche Cyberangriff auf das Energienetz. Ukrainische Behörden und internationale Sicherheitsexperten vermuten eine Attacke aus Russland.
Im Februar 2016 legt ein Erpressungstrojaner die IT-Systeme des Lukaskrankenhauses in Neuss lahm. Es ist die gleiche Software, die oft auch Verbraucher trifft: Sie verschlüsselt den Inhalt eines Rechners und vom Nutzer wird eine Zahlung für die Entschlüsselung verlangt. Auch andere Krankenhäuser sollen betroffen gewesen sein, hätten dies aber geheim gehalten.
Ähnliche Erpressungstrojaner trafen im Februar auch die Verwaltungen der westfälischen Stadt Rheine und der bayerischen Kommune Dettelbach. Experten erklären, Behörden gerieten bei den breiten Angriffen eher zufällig ins Visier.
In San Francisco konnte man am vergangenen Wochenende kostenlos mit öffentlichen Verkehrsmitteln fahren, weil die rund 2000 Ticket-Automaten von Erpressungs-Software befallen wurden. Laut einem Medienbericht verlangten die Angreifer 73 000 Dollar für die Entsperrung.
Im Mai 2015 fallen verdächtige Aktivitäten im Computernetz des Parlaments auf. Die Angreifer konnten sich so weitreichenden Zugang verschaffen, das die Bundestags-IT ausgetauscht werden. Als Urheber wird die Hacker-Gruppe APT28 vermutet, der Verbindungen zu russischen Geheimdiensten nachgesagt werden.
Die selbe Hacker-Gruppe soll nach Angaben amerikanischer Experten auch den Parteivorstand der Demokraten in den USA und die E-Mails von Hillary Clintons Wahlkampf-Stabschef John Podesta gehackt haben. Nach der Attacke im März wurden die E-Mails wirksam in der Schlussphase des Präsidentschaftswahlkampfs im Oktober 2016 veröffentlicht.
APT28 könnte auch hinter dem Hack der Weltdopingagentur WADA stecken. Die Angreifer veröffentlichen im September 2016 Unterlagen zu Ausnahmegenehmigungen zur Einnahme von Medikamenten, mit einem Fokus auf US-Sportler.
Ein Angriff, hinter dem Hacker aus Nordkorea vermutet wurden, legte im November für Wochen das gesamte Computernetz des Filmstudios lahm. Zudem wurden E-Mails aus mehreren Jahren erbeutet. Es war das erste Mal, dass ein Unternehmen durch eine Hackerattacke zu Papier und Fax zurückgeworfen wurde. Die Veröffentlichung vertraulicher Nachrichten sorgte für unangenehme Momente für mehrere Hollywood-Player.
Bei dem bisher größten bekanntgewordenen Datendiebstahl verschaffen sich Angreifer Zugang zu Informationen von mindestens einer Milliarde Nutzer des Internet-Konzerns. Es gehe um Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten und verschlüsselte Passwörter. Der Angriff aus dem Jahr 2014 wurde erst im vergangenen September bekannt.
Ein Hack der Kassensysteme des US-Supermarkt-Betreibers Target macht Kreditkarten-Daten von 110 Millionen Kunden zur Beute. Die Angreifer konnten sich einige Zeit unbemerkt im Netz bewegen. Die Verkäufe von Target sackten nach der Bekanntgabe des Zwischenfalls im Dezember 2013 ab, weil Kunden die Läden mieden.
Eine Hacker-Gruppe stahl im Juli 2015 Daten von rund 37 Millionen Kunden des Dating-Portals. Da Ashley Madison den Nutzern besondere Vertraulichkeit beim Fremdgehen versprach, erschütterten die Enthüllungen das Leben vieler Kunden.
Im Frühjahr 2016 haben Hacker den Industriekonzern Thyssenkrupp angegriffen. Sie hatten in den IT-Systemen versteckte Zugänge platziert, um wertvolles Know-how auszuspähen. In einer sechsmonatigen Abwehrschlacht haben die IT-Experten des Konzerns den Angriff abgewehrt – ohne, dass einer der 150.000 Mitarbeiter des Konzerns es mitbekommen hat. Die WirtschaftsWoche hatte die Abwehr begleitet und einen exklusiven Report erstellt.
Im Mai 2017 ging die Ransomware-Attacke "WannaCry" um die Welt – mehr als 200.000 Geräte in 150 Ländern waren betroffen. Eine bislang unbekannte Hackergruppe hatte die Kontrolle über die befallenen Computer übernommen und Lösegeld gefordert – nach der Zahlung sollten die verschlüsselten Daten wieder freigegeben werden. In Großbritannien und Frankreich waren viele Einrichtungen betroffen, unter anderem Krankenhäuser. In Deutschland betraf es vor allem die Deutsche Bahn.
Peter Balzer ist Partner der Kanzlei Sernetz Schäfer und Experte für Bank- und Kapitalmarktrecht. Für ihn macht es aus rechtlicher Sicht keinen Unterschied, ob Guthaben lediglich auf einem Girokonto verbucht sind oder – wie bei einem Sparbuch – eine Urkunde über die Forderung existiert. „Selbst wenn Bankenserver ausfallen sollten, hat dies auf den Bestand der Forderung gegenüber der Bank keine Auswirkungen“, sagt er. Kunden könnten sich etwa auf das Guthaben im letzten Rechnungsabschluss oder Kontoauszug berufen, selbst wenn das nur als PDF-Datei vorliegt. „In der Praxis kommt es auch einfach nicht vor, dass die Forderung des Kunden aufgrund von EDV-Problemen erlischt“, sagt er. IT-Experten halten es zwar für möglich, dass auch Sicherungen der Banken von Cyberangriffen betroffen sein könnten und jegliche Einträge zu Guthaben der Kunden ausgelöscht werden. „Aber wir sprechen dann wirklich von einem Katastrophenszenario“, sagt Hemker.
Für Balzer, der Banken in Prozessen vertritt, stellt sich vielmehr die Frage, ob die Kundenkonten tatsächlich geknackt wurden, wenn Geld abgebucht wurde, ohne dass es jemand veranlasst haben will. „Oder haben die Kunden entgegen der vertraglichen Vereinbarungen ihre Zugangsdaten bewusst oder in fahrlässiger Weise weitergegeben? Danach richtet sich letztlich, wer den Schaden trägt.“ Da die Rechtsstreitigkeiten in diesem Bereich deutlich zugenommen haben, dürfe der Kunde auch nicht mehr ohne Weiteres auf die Kulanz der Bank hoffen. Denn die kennen die alte Hacker-Weisheit: Organisationen stecken Millionen in Sicherheitssysteme und verschwenden ihr Geld, da keine dieser Maßnahmen das schwächste Glied der Sicherheitskette berücksichtigen kann: die Anwender.
