1. Startseite
  2. Finanzen
  3. Geldanlage

  4. Online-Banking: So unsicher ist Ihr Konto

Online-BankingSo unsicher ist Ihr Konto

Banken und Kunden müssen ihre Konten sichern. Wer sein Vermögen vor Angriffen aus dem Netz schützen will, darf nicht bequem sein – und muss im Zweifel sogar auf Tradition setzen.Sebastian Kirsch 14.02.2017 - 06:11 Uhr

Software installiert sich selbstständig

Ungewollte und unerwartete Installationsprozesse, die aus dem Nichts starten, sind ein starkes Anzeichen dafür, dass das System gehackt wurde. In den frühen Tagen der Malware waren die meisten Programme einfache Computerviren, die die "seriösen" Anwendungen veränderten - einfach um sich besser verstecken zu können. Heutzutage kommt Malware meist in Form von Trojanern und Würmern daher, die sich wie jede x-beliebige Software mittels einer Installationsroutine auf dem Rechner platziert. Häufig kommen sie "Huckepack" mit sauberen Programmen - also besser immer fleißig Lizenzvereinbarungen lesen, bevor eine Installation gestartet wird. In den meisten dieser Texte, die niemand liest, wird haarklein aufgeführt, welche Programme wie mitkommen.

Foto: gms

Was zu tun ist

Es gibt eine Menge kostenlose Programme, die alle installierten Applikationen auflisten und sie verwalten. Ein Windows-Beispiel ist Autoruns, das zudem aufzeigt, welche Software beim Systemstart mit geladen wird. Das ist gerade in Bezug auf Schadprogramme äußerst aussagekräftig - aber auch kompliziert, weil nicht jeder Anwender weiß, welche der Programme notwendig und sinnvoll und welche überflüssig und schädlich sind. Hier hilft eine Suche im Web weiter - oder die Deaktivierung von Software, die sich nicht zuordnen lässt. Wird das Programm doch benötigt, wird Ihnen das System das schon mitteilen…

Foto: AP

Die Maus arbeitet, ohne dass Sie sie benutzen

Springt der Mauszeiger wie wild über den Bildschirm und trifft dabei Auswahlen oder vollführt andere Aktionen, für deren Ausführung im Normalfall geklickt werden müsste, ist der Computer definitiv gehackt worden. Mauszeiger bewegen sich durchaus schon einmal von selbst, wenn es Hardware-Probleme gibt. Klick-Aktionen jedoch sind nur mit menschlichem Handeln zu erklären.

Stellen Sie sich das so vor: Der Hacker bricht in einen Computer ein und verhält sich erst einmal ruhig. Nachts dann, wenn der Besitzer mutmaßlich schläft (der Rechner aber noch eingeschaltet ist), wird er aktiv und beginnt, das System auszuspionieren - dabei nutzt er dann auch den Mauszeiger.

Foto: dpa

Was zu tun ist:

Wenn Ihr Rechner des Nachts von selbst "zum Leben erwacht", nehmen Sie sich kurz Zeit, um zu schauen, was die Eindringlinge in Ihrem System treiben. Passen Sie nur auf, dass keine wichtigen Daten kopiert oder Überweisungen in Ihrem Namen getätigt werden. Am besten einige Fotos vom Bildschirm machen (mit der Digitalkamera oder dem Smartphone), um das Eindringen zu dokumentieren. Anschließend können Sie den Computer ausschalten - trennen Sie die Netzverbindung (wenn vorhanden, Router deaktivieren) und rufen Sie die Profis. Denn nun brauchen Sie wirklich fremde Hilfe.

Anschließend nutzen Sie einen anderen (sauberen!) Rechner, um alle Login-Informationen und Passwörter zu ändern. Prüfen Sie Ihr Bankkonto - investieren Sie am besten in einen Dienst, der Ihr Konto in der folgenden Zeit überwacht und Sie über alle Transaktionen auf dem Laufenden hält. Um das unterwanderte System zu säubern, bleibt als einzige Möglichkeit die komplette Neuinstallation. Ist Ihnen bereits finanzieller Schaden entstanden, sollten IT-Forensiker vorher eine vollständige Kopie aller Festplatten machen. Sie selbst sollten die Strafverfolgungsbehörden einschalten und Anzeige erstatten. Die Festplattenkopien werden Sie benötigen, um den Schaden belegen zu können.

Foto: dpa

Online-Passwörter ändern sich plötzlich

Wenn eines oder mehrere Ihrer Online-Passwörter sich von einem auf den anderen Moment ändern, ist entweder das gesamte System oder zumindest der betroffene Online-Dienst kompromittiert. Für gewöhnlich hat der Anwender zuvor auf eine authentisch anmutende Phishing-Mail geantwortet, die ihn um die Erneuerung seines Passworts für einen bestimmten Online-Dienst gebeten hat. Dem nachgekommen, wundert sich der Nutzer wenig überraschend, dass sein Passwort nochmals geändert wurde und später, dass in seinem Namen Einkäufe getätigt, beleidigenden Postings abgesetzt, Profile gelöscht oder Verträge abgeschlossen werden.

Foto: dpa

Was zu tun ist:

Sobald die Gefahr besteht, dass mit Ihren Daten handfest Schindluder getrieben wird, informieren Sie unverzüglich alle Kontakte über den kompromittierten Account. Danach kontaktieren Sie den betroffenen Online-Dienst und melden die Kompromittierung. Die meisten Services kennen derartige Vorfälle zu Genüge und helfen Ihnen mit einem neuen Passwort, das Konto schnell wieder unter die eigene Kontrolle zu bekommen. Einige Dienste haben diesen Vorgang bereits automatisiert. Wenige bieten sogar einen klickbaren Button "Mein Freund wurde gehackt!" an, über den Dritte diesen Prozess für Sie anstoßen können. Das ist insofern hilfreich, als Ihre Kontakte oft von der Unterwanderung Ihres Kontos wissen, bevor Sie selbst etwas davon mitbekommen.

Werden die gestohlenen Anmeldedaten auch auf anderen Plattformen genutzt, sollten sie dort natürlich schnellstmöglich geändert werden. Und seien Sie beim nächsten Mal vorsichtiger! Es gibt kaum Fälle, in denen Web-Dienste E-Mails versenden, in denen die Login-Informationen abgefragt werden. Grundsätzlich ist es immer besser, ausschließlich Online-Dienste zu nutzen, die eine Zwei-Faktor-Authentifizierung verlangen - das macht es schwieriger, Daten zu entwenden.

Foto: dapd

Gefälschte Antivirus-Meldungen

Fake-Warnmeldungen des Virenscanners gehören zu den sichersten Anzeichen dafür, dass das System kompromittiert wurde. Vielen Anwendern ist nicht bewusst, dass in dem Moment, wo eine derartige Meldung aufkommt, das Unheil bereits geschehen ist. Ein Klick auf "Nein" oder "Abbrechen", um den Fake-Virusscan aufzuhalten, genügt natürlich nicht - die Schadsoftware hat sich bestehende Sicherheitslücken bereits zunutze gemacht und ist ins System eingedrungen.

Bleibt die Frage: Warum löst die Malware diese "Viruswarnung" überhaupt aus? Ganz einfach: Der vorgebliche Prüfvorgang, der immer Unmengen an "Viren" auftut, wird als Lockmittel für den Kauf eines Produkts eingesetzt. Wer auf den dargestellten Link klickt, gelangt auf eine professionell anmutende Website, die mit positiven Kundenbewertungen und Empfehlungen zugepflastert ist. Dort werden Kreditkartennummer und andere Rechnungsdaten abgefragt - und immer noch viel zu viele Nutzer fallen auf diese Masche herein und geben ihre Identität freiwillig an die Kriminellen ab, ohne etwas davon zu merken.

Foto: dpa/dpaweb

Was zu tun ist:

Computer ausschalten, sobald die gefälschte Antivirus-Meldung aufschlägt. (Achtung: Sie müssen natürlich wissen, wie eine "echte" Meldung Ihres Virenscanners aussieht.) Wenn noch etwas zu sichern ist und das problemlos geschehen kann, machen. Aber je schneller der Rechner hinuntergefahren wird, desto besser. Anschließend im "abgesicherten Modus" neustarten (ohne Netzwerkverbindung) und die vormals neuinstallierte Software deinstallieren (was häufig klappt). Wie auch immer - wichtig ist, das System in einen Zustand zu bringen, der dem vor der Kompromittierung entspricht. Wenn das gelingt, sollte sich das System wieder normal starten lassen und keine Fake-Meldungen mehr ausstoßen. Was nun noch bleibt, ist ein umfassender Systemtest und ein kompletter Virenscan, um die letzten Reste der Malware zu entfernen.

Foto: dapd

Unerwünschte Browser-Toolbars

Eines der häufigsten Zeichen einer Unterwanderung: Der Browser kommt mit verschiedenen neuen Toolbars daher, die allesamt Hilfe versprechen. Solange es nicht das Produkt eines bekannten Anbieters ist (und selbst dann), sollten diese Erweiterungen entfernt werden.

Foto: dpa

Was zu tun ist:

Die meisten Browser lassen es zu, sich alle installierten Toolbars anzeigen zu lassen. Entfernen Sie alle, die Sie nicht unbedingt behalten möchten. Wird die verdächtige Toolbar nicht aufgelistet oder lässt sie sich nicht ohne weiteres löschen, sollte der Browser auf seine Standardeinstellungen zurückgesetzt werden. Klappt auch das nicht, gehen Sie so vor wie beim oben aufgeführten Punkt "Gefälschte Antivirus-Meldungen".

Die meisten mit Schadcode behafteten Toolbars lassen sich schon allein dadurch verhindern, dass alle installierten Applikationen auf dem neuesten Stand sind. Und auch dadurch, dass Sie bei der Installation kostenloser Software während des Einrichtungsvorgangs ein wenig darauf achten, was alles mitinstalliert werden soll und entsprechende Toolbars deaktivieren.

Foto: gms

Umgeleitete Web-Suchen

Cyberkriminelle verdienen daran, dass Internetnutzer woanders "landen" als sie eigentlich wollen. Die Klicks auf einer bestimmten Website werden für sie direkt in Bares umgewandelt - oft ohne dass die jeweiligen Seitenbetreiber überhaupt wissen, dass der Traffic aus einer Besucher-Umleitung resultiert.

Aufzufinden ist dieser Typ Malware bei infizierten Browsern schnell per Suchmaschine: Einfach einige sehr generische Wörter wie "goldfish" oder "puppy" eintippen und prüfen, ob mehrmals die gleichen Websites in den Ergebnislisten aufschlagen - diese haben meist kaum einen belastbaren Bezug zu den gesuchten Begriffen. Leider sind viele der heutigen Websuchumleitungen mithilfe diverser Proxy-Server aber so getarnt und gut versteckt, dass die gefälschten Ergebnisse für betroffene Nutzer selten direkt sichtbar sind. Häufig sind es auch Toolbars, die die Redirects auslösen. Technisch versierte Anwender, die sicher gehen wollen, können auf Tools zur Überwachung des Netzwerkverkehrs zurückgreifen. Der Traffic, der auf einem kompromittierten Computer aus- und eingeht, unterscheidet sich signifikant von dem auf einem sauberen Rechner.

Foto: dpa

Was zu tun ist:

Das Gleiche, das bereits erwähnt wurde. Das Entfernen von Toolbars und sonstiger Malware sollte genügen.

Foto: REUTERS

Freunde empfangen Fake-Mails mit Ihrem Namen

In diesem Fall gilt es Ruhe zu bewahren. Es ist nicht mehr außergewöhnlich, dass Adressbuchkontakte Schadcode-Mails von gefälschten Absendern empfangen. Vor Jahren graste die Malware noch das gesamte Adressbuch ab und schickte jedem darin befindlichen Kontakt eine böse Botschaft. Heute sind die Schadprogramme wählerisch geworden und suchen sich nur noch einzelne Opfer aus. Wenn es nur ein paar wenige Kontakte betrifft und nicht die komplette Kontaktdatenbank, ist der Rechner sehr wahrscheinlich nicht kompromittiert (zumindest nicht durch eine Malware, die E-Mail-Adressen sammelt).

Viel wahrscheinlicher ist, dass die Adressen aus sozialen Netzen abgezogen wurden - wenn nicht wirklich klar erkennbar ist, dass die E-Mail von Ihrem E-Mail-Konto aus (Adresse auf Richtigkeit prüfen!), sondern nur in Ihrem Namen versendet wurde, sollte der Rechner sicher sein.

Foto: dpa

Was zu tun ist:

Wenn einer oder mehrere Ihrer Kontakte von solchen Fake-E-Mails berichten, sollten Sie einen kompletten Virenscan vornehmen. Zusätzlich ist eine Prüfung angebracht, ob nicht doch unerwünschte Programme oder Toolbars installiert wurden.

Foto: dpa

Security-Software, Taskmanager, Registry-Editor sind deaktiviert

Stellen Sie fest, dass Ihre Security-Software deaktiviert ist, ohne dass Sie das veranlasst haben, ist das System wahrscheinlich infiziert. Ganz besonders gilt das, wenn Sie daraufhin versuchen, den Taskmanager oder den Registry-Editor aufzurufen und diese gar nicht starten, starten und sofort wieder verschwinden oder nur in abgespeckter Form starten.

Foto: REUTERS

Was zu tun ist:

Hier ist ebenfalls eine komplette Wiederherstellung des Systems anzuraten, weil sich nicht genau nachvollziehen lässt, was genau die Probleme verursacht. Wer erst einmal die "leichte Tour" versuchen möchte, findet im Internet eventuell Hilfe für die auftretende Funktionsstörung - hier gibt es oft zahlreiche Möglichkeiten. Findet sich ein Lösungsvorschlag, starten Sie das System im abgesicherten Modus und probieren Sie es aus. Planen Sie jedoch ein, dass viele Ideen nicht auf Anhieb funktionieren.

Foto: dpa

Häufige Popup-Fenster

Aufpoppende Fenster nerven. Sie sind aber auch ein Beleg dafür, dass der Rechner gehackt wurde. Liefern Websites, die für ein solches Verhalten in der Regel nicht bekannt sind, zufällige Browser-Pop-ups aus, wurde das System unterwandert. Es ist immer wieder spannend zu sehen, welche Seiten den Anti-Popup-Mechanismus des Browsers aushebeln können. Es ist wie ein Kampf gegen Spam - nur schlimmer.

Foto: REUTERS

Was zu tun ist:

Typischerweise werden derartige Popup-Fenster durch einen der bereits geschilderten Fälle erzeugt. Auch hier hilft das Entfernen von Toolbars und anderen Schadprogrammen.

Foto: gms

Auf dem Bankkonto fehlt Geld

Hier ist nicht das notorische Problem gemeint, das fast jeder ab und zu hat (gerade am Monatsende). Wir sprechen von viel Geld. Cyberkriminelle geben sich selten mit Kleckerbeträgen zufrieden (höchstens um auszutesten, ob ein Konto oder eine Kreditkarte existiert - also auch hier Vorsicht!). Sie transferieren gerne große Summen ins Ausland. In der Regel löst eine Phishing-Mail Ihrer Bank das Prozedere aus - fallen Sie darauf hinein und verraten geheime Informationen wie PINs oder TANs, müssen Sie sich nicht wundern…

Foto: dpa/dpaweb

Was zu tun ist:

Die meisten Banken sind nach wie vor kulant und erstatten die gestohlenen Beträge zurück - gerade dann, wenn sich die Transaktion noch in der Verarbeitung befindet. Hier ist Eile angesagt! Trotzdem gab es schon einige Fälle, in denen die Kontobesitzer wegen Dummheit per Gerichtsbeschluss auf dem Schaden sitzen geblieben sind - zur Kulanz gezwungen sind die Banken nicht. Deshalb gilt auch hier: Lassen Sie sich unverzüglich informieren, wenn auf Ihrem Konto etwas Ungewöhnliches geschieht - setzen Sie eine Obergrenze für Überweisungen fest und lassen Sie Mitteilungen verschicken, wenn diese Grenze überstiegen wird oder eine Auslandsüberweisung stattfindet. Weil die Cyberkriminellen aber ebenfalls nicht blöd sind, sollten Sie ebenfalls veranlassen, dass Sie in jedem Fall eine Mitteilung mitbekommen, sobald diese Grundeinstellungen verändert werden.

Foto: dpa

Mahnbescheide wegen nicht bezahlter Waren

Das kann der Fall sein, wenn in Ihrem Namen eingekauft wurde. Sind Sie Opfer eines Identitätsdiebstahls geworden, können Sie davon ausgehen, dass massenweise Zeug in diversen Shops eingekauft wurde und Kreditkarte oder Konto nicht gedeckt sind.

Foto: dpa

Was zu tun ist:

Überlegen Sie, wie Ihre Identität respektive der Zugang zu Online-Shops in die falschen Hände gelangen konnte. Ist es mutmaßlich über einen der bereits dargestellten Wege geschehen, befolgen Sie die dort aufgeführten Empfehlungen. In jedem Fall bitte wieder alle Benutzernamen und Passwörter ändern - auch die bei Diensten, die nicht direkt betroffen sind. Erstatten Sie Anzeige und überwachen Sie Ihre Konten.

Wahrscheinlich dauert es Monate, bis Sie alle Betrügereien entdecken, die in Ihrem Namen begangen worden sind. Die meisten von ihnen sollten sich klären lassen - gehen Sie aber davon aus, dass Sie auf gewissen Kosten sitzen bleiben werden. Früher konnte so etwas die eigene Kreditwürdigkeit auf Jahrzehnte demolieren. Heutzutage haben auch die Händler mehr Erfahrungen mit Cyberkriminalität und gehen besser damit um. Dennoch sollten Sie auf der Hut bleiben und jeden Hinweis, die sie seitens der Ermittlungs- und Strafverfolgungsbehörden, der Zahlungsdienstleister, Banken und der Kreditauskunft bekommen, befolgen.

Foto: dpa

Allgemeine Hinweise

Keine Security-Suite der Welt bewahrt Sie vor allen genannten Betrügereien - geben Sie Acht auf Anzeichen und Symptome, die andeuten, dass Ihr System kompromittiert wurde. Erhärtet sich ein Verdacht, ist es besser, einmal zu viel einen System-Restore zu fahren als einmal zu wenig. Das meiste Übel lässt sich verhindern, indem Sie Ihre Software immer auf dem neuesten Stand halten, keine Trojaner starten und nicht auf Fake-Mails eingehen.

Foto: dpa

In allen genannten Szenarien ist eine Neuinstallation des Betriebssystems die beste Lösung. Das muss gar nicht die Formatierung der Festplatte bedeuten - Funktionen zu Systemwiederherstellung beispielsweise unter Windows oder regelmäßige Backups sorgen für den Ernstfall oft ausreichend vor. Eines muss jedoch klar sein: Ist ein Rechner einmal unterwandert gewesen, darf ihm nie wieder vollständig vertraut werden.

Der Beitrag ist im Original bei der Computerwoche-Schwesterpublikation Infoworld erschienen.

Foto: dpa
1 / 24

E-Mails wie diese gehören zum Alltag: Am 20. Januar etwa schreibt eine Volksbank, das neue Datenschutzgesetz schreibe vor, dass Kunden bitte ihre Identität bestätigen sollen. Am 23. Januar will das Sicherheitssystem der Barclaycard plötzlich checken, ob Kunden legitime Eigentümer ihrer Kreditkarte sind. Und einen Tag später steht unerwartet ein Sicherheitsupdate der Commerzbank zur Betrugsprävention an: Kunden sollen ihre Mobilfunknummer hinterlegen, um eine Hürde für Betrüger aufzustellen.

Was all diesen Sicherheitsprüfungen gemeinsam ist: Sie sind plumpe Fakes. Sie stammen aus E-Mails, die Betrüger massenhaft versenden, sogenannten Phishing-Mails. Darin täuschen sie Bankkunden ein Problem mit ihrem Konto vor. Ein Link in der E-Mail soll Abhilfe schaffen. Doch wer dort Login-Daten, Transaktionsziffern oder Mobilfunknummern für seine Hausbank eingibt, landet in den Fängen der Onlinebetrüger.

Selber schuld? Verbraucherzentralen und Banken warnen ständig vor den Maschen der Diebe. Doch die werden immer perfekter. Während ihre E-Mails vor wenigen Jahren noch übersät waren mit Tippfehlern, sehen sie mittlerweile täuschend echt aus. „Sich eine Infektion über eine gefälschte E-Mail zu holen ist immer noch der prominenteste Weg für Betrug beim Onlinebanking“, sagt Thomas Hemker, Sicherheitsstratege bei Symantec. Dem Bundeskriminalamt wurden 2015 rund 4500 Fälle von Phishing im Finanzsektor gemeldet. Der Schaden: 18 Millionen Euro, im Schnitt wurde jeder betroffene Kunde um 4000 Euro gebracht. In Einzelfällen können Schäden auch Hunderttausende Euro betragen. Meist erstatten Banken das Geld den Kunden aus Kulanz und versuchen selbst, die missbräuchlich abgebuchten Beträge zurückzuholen. Denn: An der Sicherheit der Konten hängt ihr Ruf.

Sicherheit im Onlinebanking
Bei diesem Autorisierungsverfahren müssen Nutzer lediglich ihre Kontonummer oder einen Nutzernamen eintragen und eine dazugehörige PIN eingeben. Bitkom hält diese Autorisierung für sehr unsicher. Sie sei lediglich für Umsatzabfragen oder den Zugang zur Nachrichtenbox geeignet.
Indizierte Transaktionsnummer (iTAN) sind Transaktionsnummern, die von der Bank auf einer Liste in einem Index zusammengestellt wurden. Für Überweisungen müssen sie dann eine bestimmte TAN der Liste eingeben. Laut Bitkom besteht bei Verwendung von iTAN nur ein geringes Risiko eines Datenabgriffs. Wenn auch Manipulationen durch zwischengeschaltete Schadsoftware während der Eingabe der TAN möglich sind. (Quelle: Bitkom)
Mobile TAN werden per SMS-Nachricht an den Bankkunden übertragen. Jeder eingeleitete Buchungsvorgang des Kunden muss mit der dazugehörigen verschickten mTAN bestätigt werden. Weil Smartphones, die die SMS-TAN empfangen, heute aber häufig mit dem Internet verbunden sind, besteht auch hier die Gefahr eines illegalen Abgriffs der TAN. Bitkom ordnet SMS-TAN als unsicher ein.
Über ein Lesegerät erzeugt der Bankkunde mit seiner EC-Karte eine TAN. Verschiedenste Varianten von smart-TAN, Chip-TAN bis zu e-TAN gelten laut Bitkom als sichere Authentifikationswege.
Viele Sparkassen und VR-Banken nutzen das Verfahren: Der Kunde muss weiterhin eine Karte in einen TAN-Generator stecken. Sobald er eine Überweisung im Onlinebanking ausführt, erscheint ein Schwarz-Weiß-Code auf dem Bildschirm. Diesen muss er dann mit seinen TAN-Generator samt EC-Karte einscannen. Aus den Daten des Schwarz-Weiß Codes liest der Generator die Überweisungsdetails und kreiert eine zugehörige TAN, die dann im Onlinebanking eingegeben werden muss. Bitkom schätzt die Verwendung als mindestens so sicher wie das iTAN-Verfahren.
Kunden müssen bei einer Überweisung einen Code auf dem PC-Bildschirm mit ihrem Smartphone scannen. Anschließend halten sie zur Verifizierung ihre NFC-fähige EC-Karte an das Smartphone. Über das Internet (oder auch per Hand) wird dann eine TAN übertragen. Nicht alle Smartphones und EC-Karten sind für dieses Verfahren ausgestattet. Laut Bitkom besteht dafür aber ein geringes Risiko, dass Hacker Daten abgreifen können.

70 Prozent der deutschen Bankkunden nutzen ein Onlinekonto, und gut jeder dritte mittlerweile auch sein Smartphone für Geldgeschäfte, zeigt eine Studie des Branchenverbands Bitkom. Apps der Banken machen es heute besonders bequem, jederzeit und überall auf sein Konto zuzugreifen. Doch wer das macht, muss wissen: Es geht um einen „Kompromiss zwischen Sicherheit und Bequemlichkeit“, sagt Heiko Wolf, Leiter des Informations-Risikomanagements der ING-Diba und Vorstand des Vereins G4C, der Präventionsmaßnahmen gegen Cyberkriminalität fördert. „Beides gleichzeitig stellt eine Herausforderung dar.“ Man könnte auch sagen: Wer faul ist, lebt unsicher.

Auf die eigene Sicherheit achten

Beide, Banken und Kunden, müssen ihre Konten sichern. Banken etwa durch Authentifizierungsmaßnahmen, wobei gilt: Login und Authentifizierung sollten immer über zwei verschiedene Kanäle erfolgen. Banking am Laptop also und Erstellung einer Transaktionsnummer (TAN) zur Bestätigung der Überweisung auf dem Smartphone. Ein Angreifer müsste dann nämlich Laptop und Smartphone eines Kunden manipulieren, um an sein Geld zu kommen. Ein erheblicher Aufwand. Kunden müssen sich stets mit mindestens zwei Faktoren ausweisen: Wissen und Besitz. Das können zum einen ein Passwort, ein Code oder die persönliche Identifikationsnummer (PIN) sein. Und zusätzlich etwas, das nur der Nutzer besitzen kann, wie etwa das eigene Mobiltelefon. Sie müssen dann dafür sorgen, dass ihnen beim Überweisen kein Gauner über die Schulter guckt:

Merkregeln für sichere Passwörter
Zugegeben, „Password“, „12345“, „qwert“, „0000“ oder der eigene Name sind leicht zu merken. Trotzdem sollte sich, wer eine dieser Zeichenfolgen als Zugangscode für das Konto, den Computer oder die Kreditkarte gewählt hat, schleunigst Gedanken über sicherere Alternativen machen. Denn viel leichter kann man es Hackern kaum noch machen.Doch selbst ein schwacher Schutz ist besser als gar keiner. Aktivieren Sie deshalb am Mobiltelefon neben der PIN-Abfrage der SIM-Karte auch den Passwortschutz des Gerätes selbst. So wird nicht nur die SIM, sondern auch das Mobiltelefon für Diebe unbrauchbar. Prüfen Sie zudem, ob die Passwortabfrage in Ihrem heimischen schnurlosen Funknetz (WLAN) aktiv ist. Sonst surfen Fremde kostenlos mit.
Vermeiden Sie es, identische Passwörter für mehrere Zwecke zu nutzen. Wer im WLAN-Netz eines Cafés den gleichen Zugangscode zur Abfrage der E-Mails verwendet wie daheim für Zugriffe auf das Online-Bankkonto, handelt fahrlässig. Denn die Codes werden über Funk meist unverschlüsselt übertragen. Sicherheitsexperten empfehlen, wenigstens drei unterschiedlich komplexe Schlüssel für unterschiedlich sensible Anwendungen einzusetzen. Wichtig: Wenn die Gefahr besteht, dass ein Passwort bekannt geworden ist oder gar geknackt wurde, tauschen Sie es sofort aus.
Auch bei Passwörtern gilt: „Viel hilft viel“. Je länger und komplexer die Codes sind, desto sicherer sind sie. Je weniger Systematik und Semantik in ihnen steckt, desto besser. Vor allem der Einsatz von Sonderzeichen wie §, &, $ oder @ steigert die Zahl der Passwort‧alternativen enorm. Leider nur sind diese Schlüssel auch schwerer zu merken.
Reine Zahlencodes wie Handy-, EC- oder Kreditkarten-PINs geraten im alltäglichen Informationswust allzu leicht in Vergessenheit. Sie lassen sich besser merken, wenn Sie diese mit emotional relevanten Fakten assoziieren – und die voreingestellten Codes der Karten entsprechend umprogrammieren. Vergessen Sie Ihr Geburtsdatum, das recherchieren Datendiebe im Zweifel auch. Wie wäre es aber mit dem Tag, an dem Ihr Lieblingsverein zum letzten Mal Meister wurde, Sie Ihr Diplom gemacht oder die Ausbildung abgeschlossen haben? Darauf kommt keiner – und Sie können es zur Not sogar nachschlagen.
Sicherer als reine Zahlen-PINs sind Kombinationen aus Zahlen und Buchstaben. Sie haben am 31. März 89 geheiratet? Lesen Sie im Wechsel die Buchstaben von hinten, die Zahlen von vorn: „3z1r8ä9m“ ist schwer zu knacken, für Sie aber leicht zu merken. Mischen Sie die letzten vier Zeichen des Geburtsorts der Mutter und des Geburtsdatums des Vaters und lesen sie beides rückwärts. „h1c4i0r1“ errät niemand – Sie müssen sich lediglich die Systematik merken.
Merken Sie sich statt vieler Zahlenfolgen nur eine, mit dem Sie alle anderen verschlüsseln. Die können Sie dann sogar im Adressbuch notieren. Wählen Sie ein Wort, bei dem sich in den ersten zehn Buchstaben keiner wiederholt, zum Beispiel „Aktienkurs“, „Herbstwald“ oder „Blumengruß“. Ersetzen Sie die Ziffern Ihrer PIN durch die an der entsprechenden Stelle Ihres persönlichen Schlüsselwortes stehenden Buchstaben. Bei „Herbstwald“ würde aus „4735“ der Code „bwrs“, aus „901628“ das neue „ldhtea“. Für Sie ist der Weg zurück ein Leichtes. Doch wer Ihr Geheimwort nicht kennt, hat kaum Chancen, die ursprüngliche Zahlenfolgen zu rekonstruieren.
Zumeist sind PINs und Passwörter relativ kurz. Wer – etwa bei der Wahl des Zugangsschlüssels für das WLAN-Funknetz, aber auch beim Start des PCs – die Möglichkeit hat, kann auch statt weniger Zeichen viele Buchstaben verwenden und sich einen Satz mit einem starken persönlichen Bezug merken: „Wedeln_im_Tiefschnee_ist_mein_Traum“ weiß ich sogar im Tiefschlaf. Sie finden sicher Ähnliches.
Sehr sichere – aber deutlich kürzere – Codes lassen sich mithilfe von Sätzen oder den Titeln Ihrer Lieblingsbücher, -bands oder -hits bilden. Aus den ersten Buchstaben von „Seit 10 Jahren schnorchele ich vor Hawaii“ wird dann „S1JsivH“, aus den jeweils beiden letzten von „Money for nothing“ wird „ngorey“. Auch hier ist nur wichtig, dass Sie sich die Systematik merken. Ihren Lieblingstitel sollten Sie ohnehin kennen.
Selbst vergleichsweise einfach zu merkende Schlüssel sind schwerer zu knacken, wenn Sie Buchstaben durch Zeichen ersetzen – etwa „T“ durch „+“, „H“ durch „#“, „E“ durch „3“, „I“ durch „!“ oder „S“ durch „$“. Wenn Sie sich den Satz merken können „Meine Tochter heißt Sarah“, dann sollte das auch mit „M+#$“ klappen.
Nicht jedes Passwort lässt sich an die eigenen Bedürfnisse anpassen. Dann hilft nur noch Büffeln. Wirksam (und nicht nur bei Vokabeln bewährt) ist die Strategie, sich die Codes in wachsenden Abständen selbst abzufragen. Beginnen Sie dabei im Minutenabstand und steigern Sie die Zeiträume in Etappen. Wichtig ist, gerade selten benötigte Codes regelmäßig zu wiederholen. Sonst sind sie im entscheidenden Moment weg.

die persönlichen Zugangscodes dürfen nicht elektronisch gespeichert werden,

- Kennwörter und TAN-Generatoren müssen getrennt voneinander aufbewahrt werden,

- der Nutzer darf jeweils nur eine TAN zur Autorisierung einer Überweisung oder anderer Aufträge nutzen,

- PIN und TAN dürfen nicht außerhalb des Onlinebankingverfahrens weitergegeben werden, also beispielsweise per E-Mail,

- das Gerät, mit dem eine TAN per SMS empfangen wird, darf nicht gleichzeitig für das Onlinebanking genutzt werden.

Jemand anderem die EC-Karten-Pin verraten, immer das selbe, einfallslose Passwort verwenden, das umstrittene Teilen von Kinderfotos über Facebook: Eine Forsa-Umfrage hat ermittelt, wie häufig welche Fahrlässigkeiten beim Datenschutz vorkommen. Dabei geben 27 Prozent an, ganz ohne Sünde zu sein. Die größte Gruppe stellen hier mit 43 Prozent die über 60-Jährigen – mit sinkendem Alter nimmt die Prozentzahl der Sündenlosen ab. Bei den 45- bis 59-Jährigen sind es noch 28 Prozent, dann folgen die 30- bis 44-Jährigen (18 Prozent) und von den 18- bis 29-Jährigen sind nur zehn Prozent ohne Sünde. Die Frauen (30 Prozent) stehen besser da als die Männer (24 Prozent). Doch wo wird am meisten gesündigt?

Quelle: Forsa-Studie „Die größten Sünden 2015 – Teil 5: Datensicherheit“ im Auftrag der Gothaer

Foto: dpa

Aus Versehen auf die Mail von zwielichtigen Absendern, die auf krumme Geschäfte hoffen, geantwortet – das ist doch jedem schon einmal passiert, oder? Ein Prozent der Befragten haben auf eine Spam-Mail geantwortet – vor allem machen das Männer im Alter von 45 bis 59 Jahren oder über 60 Jahre.

Foto: dpa

Die Seite sieht aus wie mit Paint gemalt und liest sich wie frisch von Google übersetzt, aber dafür kostet der Flug nach New York und zurück auf auch nur 200 Euro. Gut, vielleicht ein leicht überzogenes Beispiel. Dennoch: Drei Prozent der Befragten haben sich schon einmal durch günstige Preise dazu hinreißen lassen, einen Flug auf einem unbekannten Portal zu buchen. Vor allem bei den Unter-30-Jährigen sind derartige Seiten beliebt (acht Prozent).

Foto: dpa

Vertrauen Sie keinen E-Mail-Anhängen von unbekannten Absendern. Denn öffnen Sie auch nur einen falschen Anhang, kann ihr Computer schon infiziert sein. Insgesamt fünf Prozent haben bereits diesen Fehler gemacht. „Dateianhang nicht öffnen“ lautet hier die Devise.

Foto: dpa/dpaweb

Auffällig ist, dass vor allem junge Menschen zwischen 18 und 29 Jahren besonders fahrlässig mit Daten umgehen. Den Pin-Code, für das Smartphone zum Beispiel, verraten 13 Prozent anderen Menschen (gesamt: sechs Prozent).

Foto: dpa

Wenn man keine Anti-Virus-Software verwendet oder diese nicht regelmäßig aktualisiert, ist das System ungeschützt vor Hackern. Auch weil es oft zu schnell gehen soll: Zwölf Prozent der Jüngeren (18 bis 29 Jahre) haben schon einmal den Virenscan abgebrochen, weil er zum Beispiel ihren Computer verlangsamte (gesamt: sieben Prozent).

Foto: dpa

Wenn Eltern unbekümmert Bilder ihrer Kinder in sozialen Netzwerken posten, kann das gefährlich werden. Zehn Prozent der Befragten scheinen sich dieser Gefahr nicht bewusst zu sein.

Foto: dpa

Namen von Familienmitgliedern oder Haustieren als Passwort? Keine gute Idee, denn simple Passwörter lassen sich ganz schnell knacken. 14 Prozent der Befragten verwenden unsichere Passwörter. Übrigens: Laut Hasso-Plattner-Institut war 2015 das beliebteste Passwort weltweit die Zahlenfolge „123456“.

Foto: REUTERS

Wer loggt sich schon jedes Mal bei Facebook aus? 40 Prozent der Studienteilnehmer haben sich schon ein oder mehrmals aus Benutzerkonten nicht ausgeloggt. Auffällig: 60 Prozent der unter 30-Jährigen vergessen das öfter. Doch gerade das schützt die eigenen Daten nicht. Außerdem sollte man keiner Seite genehmigen, Namen und Passwort über die „Eingeloggt bleiben“-Funktion zu speichern.

Foto: Fotolia

Auch bei der Datensicherung hapert es bei vielen – und das kann für viel Ärger sorgen. Während insgesamt 41 Prozent der Befragten ihre Fotos und Dateien nicht regelmäßig auf einem externen Speichermedium sichern, sind es bei den Unter-30-Jährigen sogar 60 Prozent.

Foto: Fotolia

Eigentlich sollte man für jeden Online-Dienst ein eigenes, sicheres Passwort nutzen und es sich im Idealfall auch noch merken können. Eine Herausforderung, der sich viele Nutzer gar nicht erst stellen. 45 Prozent der Befragten verwenden immer dasselbe Passwort – vor allem sind die Unter-30-Jähirgen fauler, wenn es um Passwortänderung geht (61 Prozent). Wer über 60 Jahre alt ist, scheint die meiste Vorsicht walten zu lassen: nur jeder Dritte verwendet in dieser Altersgruppe Passwörter mehrfach (35 Prozent).

Foto: dpa
1 / 11

Wer gegen diese Pflichten verstößt, muss im Schadensfall bis zu 150 Euro selbst tragen. Um ihren Zugang so gut wie möglich zu schützen, sollten Onlinebankingkunden es deshalb vermeiden, öffentliche Internetverbindungen wie WLAN-Hotspots zu nutzen. Stattdessen, wenn nötig, das eigene mobile Internet auf dem Smartphone. Sie sollten keine Apps einsetzen, die gleich auf mehrere ihrer Konten zugreifen und keine Links in vermeintlichen E-Mails ihrer Bank anklicken, um sich als Kontoinhaber zu verifizieren. Pflichtprogramm ist außerdem, regelmäßig Updates sowie Virenscanner und Firewall zu installieren. „Viele Nutzer haben ihren heimischen PC am Schreibtisch mittlerweile gut abgesichert“, sagt Hemker. „Für Smartphones, insbesondere solche mit Android-Betriebssystem, können wir das nicht sagen. Dort ist es für Angreifer sehr leicht möglich, über infizierte Programme im App-Store Schadsoftware zu installieren.“

Diese Branchen sind am häufigsten von Computerkriminalität betroffen
Der Branchenverband Bitkom hat Anfang 2015 in 1074 Unternehmen ab 10 Mitarbeitern danach gefragt, ob das jeweilige Unternehmen innerhalb der letzten zwei Jahre von Datendiebstahl, Wirtschaftsspionage oder Sabotage betroffen war. Gut die Hälfte der befragten Unternehmen gaben an, tatsächlich Opfer von IT-gestützter Wirtschaftskriminalität geworden zu sein.Quelle: Bitkom/StatistaStand: 2015
Im Handel wurden 52 Prozent der befragten Unternehmen in den vergangenen zwei Jahren Opfer von Cyber-Kriminalität.
58 Prozent der befragten Unternehmen in der Medien- und Kulturbranche gaben an, in den letzten zwei Jahren Computerkriminalität erlebt zu haben. Ebenso viele Unternehmen aus der Gesundheitsbranche klagten über IT-Kriminalität.
Das Finanz- und Versicherungswesen ist ein lohnendes Ziel für Hacker, Wirtschaftsspione und Datendiebe: 60 Prozent der befragten Unternehmen konnten von Datendiebstahl oder ähnlichem während der vergangenen zwei Jahre berichten.
Fast zwei Drittel der Unternehmen der Chemie- und Pharmabranche hatten in den vergangenen zwei Jahren mit Datendiebstahl, Wirtschaftsspionage oder Sabotage zu kämpfen.
Auf Platz 1: Der Automobilbau. 68 Prozent der Autobauer klagten über Wirtschaftskriminalität in Form von Datendiebstahl, Wirtschaftsspionage oder Sabotage.

Natürlich können Privatkunden ihre Bankgeschäfte auch in einer Art Fort Knox ausführen. Homebanking Computer Interface (HBCI) heißen diese Verfahren, die meist separate Kartenlesegeräte und Software benötigen, die Kunden rund 50 Euro kosten können. Diese Verfahren gelten zwar als die sichersten, sind aber eben nicht besonders nutzerfreundlich. „PushTAN, App-basierte Verfahren oder mTAN bieten einen guten Kompromiss zwischen Sicherheit und Bequemlichkeit“, sagt Wolf vom G4C. Das alles sind Verfahren, bei denen Nutzer entweder über ein Smartphone Transaktionsnummern für eine bestimmte Überweisung erzeugen können oder sie sich zum Beispiel per SMS zuschicken lassen. Die deutschen Banken bieten solche Verfahren flächendeckend an. Den Kunden bleibt überlassen, ob sie eines der besonders sicheren Verfahren nutzen.

Einige Banken entscheiden sich bewusst dazu, ihren Kunden mit zwei Apps auf dem gleichen Smartphone sowohl das Onlinebanking als auch die TAN-Vergabe zu ermöglichen. Eigentlich schon laut Geschäftsbedingungen der meisten Banken ein Tabu. „Wenn die Bank sagt, sie garantiert die Kanaltrennung, auch wenn Sie auf dem gleichen Gerät die TAN generieren und die Banking-App ausführen, dann wird sie auch für eventuelle Schäden aufkommen“, sagt Christian Leuthner, Anwalt bei Olswang und Experte für IT-Recht, „wenn der Missbrauch auf dem Versagen dieser Trennung beruht.“

Ein gewisses Risiko bleibt immer

Bei einer Umfrage der Berater von Accenture sagten 2015 zwei Drittel von 900 befragten Bankmanagern weltweit, dass ihre IT-Systeme wöchentlich bis täglich angegriffen werden. Doch: „Die etablierten Banken in Deutschland haben ein hohes Schutzniveau – auch im Vergleich mit anderen Industrien“, sagt Claus Herbolzheimer, Finanz-IT-Experte beim Berater Oliver Wyman. Dass es im Ausland für Kunden riskanter zugeht, zeigt zum Beispiel ein Fall der Tesco Bank in Großbritannien. Im November hatten sich Angreifer in das System der Bank geschlichen und Geld von 9000 Konten abgeräumt. Den Schaden von umgerechnet 2,9 Millionen Euro erstattete die Bank ihren Kunden. Das Vertrauen in ihr Finanzinstitut dürften die aber verloren haben.

Schwache Passwörter

Das Hasso-Plattner-Institut (HPI) veröffentlicht jedes Jahr die meistgenutzten Passwörter der Deutschen - Datengrundlage sind 12,9 Millionen E-Mail-Adressen, die als .de-Domain registriert sind.

Foto: dpa

Hacker lieben schwache Passwörter

Wer sich bei Hackern beliebt machen möchte, wählt als Passwort die Zahlenfolge 123456 - laut der HPI-Studie weltweit das meistbenutzte Passwort in den untersuchten Daten-Leaks. Welche deutschen Passwörter besonders verbreitet sind, konnten die Forscher aus den rund 30 Millionen Nutzerkonten ermitteln, die als .de-Domain registriert sind.

Foto: dpa

Platz 10: hallo123

Im vergangenen Jahr stand auf Platz 10 noch das Passwort "ficken" – das zehntplatzierte Passwort dieses Jahr ist deutlich jugendfreier und lautet "hallo123".

Foto: dpa

Platz 9: 111111

Leicht zu merken und ebenso leicht zu hacken: "111111".

Foto: dpa

Platz 8: 1234567

Bis sieben kann jedes Kindergartenkind zählen - vielleicht ist deshalb diese einfache Zahlenfolge eines der beliebtesten Passwörter der Deutschen.

Foto: WirtschaftsWoche

Platz 7: passwort

Ein Passwort, das man zumindest nicht vergisst, lautet "passwort" und erfreut sich großer Beliebtheit.

Foto: dpa

Platz 6: hallo

Ahoi, bonjour, Ciao, Grüß Gott, Guten Tag – es gibt viele Grußformeln, die in Deutschland geläufig sind. Als Passwort eignet sich wahrscheinlich jede davon eher als "hallo" – allerdings sind sie allesamt keine empfehlenswerten Passwörter.

Foto: dpa

Platz 5: 12345678

Von nun an wird es zahlenlastig – und etwas einseitig. Internetnutzer, die dieses Passwort verwenden, sollten besser Acht geben!

Foto: dpa

Platz 4: 12345
High Five ist bei Sportlern, die körperbetonten Sportarten nachgehen, eine beliebte Geste. Auch als Passwort sind die Zahlen 1 bis 5 sehr beliebt.

Foto: USA TODAY Sports

Platz 3: 1234

Die nächsten Passwörter werden zwar nicht besser - aber dafür zumindest länger.

Foto: dpa

Platz 2: 123456789

Eine unbedarftere Einladung zum Datenklau ist kaum vorstellbar. Aber möglich.

Foto: dpa

Platz 1: 123456

Ohne Worte.

Foto: dpa

Schutz vor Identitätsdiebstahl

„Es gibt keinen 100-prozentigen Schutz vor Identitätsdiebstahl“, so HPI-Direktor Christoph Meinel, einer der Autoren der Studie. „Aber wer sein Passwort auf dieser Liste entdeckt, sollte es schnellstmöglich ändern.“

Foto: dpa
1 / 13

Die Daten der Schadensfälle durch Phishing-Angriffe in Deutschland zeigen: Sobald Banken neue Sicherungskonzepte umsetzen, gehen die Fallzahlen zurück (siehe Grafik). „Erfahrungsgemäß ist es nur eine Frage der Zeit, bis sich die Täterseite auf die neuen Standards eingestellt hat und die Fallzahlen wieder ansteigen“, schreibt das BKA. Das Spiel beginnt von vorn.

„Es wäre wünschenswert, dass Sicherheit ein Wettbewerbsvorteil ist. Aber ich glaube nicht, dass die Kunden ihre Bank danach auswählen“, sagt Hemker von Symantec. „Sofern es irgendwo einen minimal besseren Zinssatz gibt, rückt das Schutzniveau des Kontos in den Hintergrund.“

Vincent Haupert hat bereits drei Mal bewiesen, dass Banken es Angreifern nicht besonders schwer machen, ihre Onlineangebote zu knacken. Der 27-Jährige schreibt gerade seine Doktorarbeit an der Universität Erlangen-Nürnberg zum Thema Sicherheit im digitalen Zahlungsverkehr. Und er hat dabei selbstverständlich in bester Absicht bereits die TAN-App der Sparkassen, das photoTAN-Verfahren der Deutschen Bank und der Commerzbank und die Banking-App des Start-ups N26 ausgehebelt.

Derzeit werde die Sicherheit der Nutzer bewusst hinten angestellt, meint er: „In der Finanzbranche setzt man auf Nutzerfreundlichkeit um jeden Preis.“ Zwar hätten alle Banken bestimmte Sicherheitskonzepte in ihren Onlinedienstleistungen umgesetzt. Eine Lücke lasse sich aber immer finden. „Ich war bei meinen Versuchen überrascht, wie leicht der Zugriff war.“

Angriffsziele von aufsehenerregenden Cyberangriffen
Im Dezember 2015 fiel für mehr als 80.000 Menschen in der Ukraine der Strom aus. Zwei große Stromversorger erklärten, die Ursache sein ein Hacker-Angriff gewesen. Es wäre der erste bestätigte erfolgreiche Cyberangriff auf das Energienetz. Ukrainische Behörden und internationale Sicherheitsexperten vermuten eine Attacke aus Russland.
Im Februar 2016 legt ein Erpressungstrojaner die IT-Systeme des Lukaskrankenhauses in Neuss lahm. Es ist die gleiche Software, die oft auch Verbraucher trifft: Sie verschlüsselt den Inhalt eines Rechners und vom Nutzer wird eine Zahlung für die Entschlüsselung verlangt. Auch andere Krankenhäuser sollen betroffen gewesen sein, hätten dies aber geheim gehalten.
Ähnliche Erpressungstrojaner trafen im Februar auch die Verwaltungen der westfälischen Stadt Rheine und der bayerischen Kommune Dettelbach. Experten erklären, Behörden gerieten bei den breiten Angriffen eher zufällig ins Visier.
In San Francisco konnte man am vergangenen Wochenende kostenlos mit öffentlichen Verkehrsmitteln fahren, weil die rund 2000 Ticket-Automaten von Erpressungs-Software befallen wurden. Laut einem Medienbericht verlangten die Angreifer 73 000 Dollar für die Entsperrung.
Im Mai 2015 fallen verdächtige Aktivitäten im Computernetz des Parlaments auf. Die Angreifer konnten sich so weitreichenden Zugang verschaffen, das die Bundestags-IT ausgetauscht werden. Als Urheber wird die Hacker-Gruppe APT28 vermutet, der Verbindungen zu russischen Geheimdiensten nachgesagt werden.
Die selbe Hacker-Gruppe soll nach Angaben amerikanischer Experten auch den Parteivorstand der Demokraten in den USA und die E-Mails von Hillary Clintons Wahlkampf-Stabschef John Podesta gehackt haben. Nach der Attacke im März wurden die E-Mails wirksam in der Schlussphase des Präsidentschaftswahlkampfs im Oktober 2016 veröffentlicht.
APT28 könnte auch hinter dem Hack der Weltdopingagentur WADA stecken. Die Angreifer veröffentlichen im September 2016 Unterlagen zu Ausnahmegenehmigungen zur Einnahme von Medikamenten, mit einem Fokus auf US-Sportler.
Ein Angriff, hinter dem Hacker aus Nordkorea vermutet wurden, legte im November für Wochen das gesamte Computernetz des Filmstudios lahm. Zudem wurden E-Mails aus mehreren Jahren erbeutet. Es war das erste Mal, dass ein Unternehmen durch eine Hackerattacke zu Papier und Fax zurückgeworfen wurde. Die Veröffentlichung vertraulicher Nachrichten sorgte für unangenehme Momente für mehrere Hollywood-Player.
Bei dem bisher größten bekanntgewordenen Datendiebstahl verschaffen sich Angreifer Zugang zu Informationen von mindestens einer Milliarde Nutzer des Internet-Konzerns. Es gehe um Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten und verschlüsselte Passwörter. Der Angriff aus dem Jahr 2014 wurde erst im vergangenen September bekannt.
Ein Hack der Kassensysteme des US-Supermarkt-Betreibers Target macht Kreditkarten-Daten von 110 Millionen Kunden zur Beute. Die Angreifer konnten sich einige Zeit unbemerkt im Netz bewegen. Die Verkäufe von Target sackten nach der Bekanntgabe des Zwischenfalls im Dezember 2013 ab, weil Kunden die Läden mieden.
Eine Hacker-Gruppe stahl im Juli 2015 Daten von rund 37 Millionen Kunden des Dating-Portals. Da Ashley Madison den Nutzern besondere Vertraulichkeit beim Fremdgehen versprach, erschütterten die Enthüllungen das Leben vieler Kunden.
Im Frühjahr 2016 haben Hacker den Industriekonzern Thyssenkrupp angegriffen. Sie hatten in den IT-Systemen versteckte Zugänge platziert, um wertvolles Know-how auszuspähen. In einer sechsmonatigen Abwehrschlacht haben die IT-Experten des Konzerns den Angriff abgewehrt – ohne, dass einer der 150.000 Mitarbeiter des Konzerns es mitbekommen hat. Die WirtschaftsWoche hatte die Abwehr begleitet und einen exklusiven Report erstellt.
Im Mai 2017 ging die Ransomware-Attacke "WannaCry" um die Welt – mehr als 200.000 Geräte in 150 Ländern waren betroffen. Eine bislang unbekannte Hackergruppe hatte die Kontrolle über die befallenen Computer übernommen und Lösegeld gefordert – nach der Zahlung sollten die verschlüsselten Daten wieder freigegeben werden. In Großbritannien und Frankreich waren viele Einrichtungen betroffen, unter anderem Krankenhäuser. In Deutschland betraf es vor allem die Deutsche Bahn.

Sollten Bankkunden also den Stecker ziehen? Bietet am Ende das altbewährte Sparbuch den einzigen Schutz vor Cyberangriffen, wenn es unbemerkt hinter dem Schrank verstaubt (siehe auch Seite 75)? „Gebundene Sparbücher sind Urkunden und damit Beweismittel im Sinne der Zivilprozessordnung“, heißt es offiziell vom Bundesverband der Deutschen Volks- und Raiffeisenbanken. Kunden können allein mit Vorlage des Sparbuchs ihre Ansprüche gegenüber der Bank geltend machen. Ein Kontoauszug ist dagegen nur ein Informationsschreiben.

Ist das Geld der Onlinekunden verloren, wenn Hacker angreifen und das zentrale Register einer Bank samt digitaler Sicherungen manipulieren? Eine Urkunde zum Nachweis der Höhe ihrer Einlagen besitzen sie im Gegensatz zu Sparbuchinhabern schließlich nicht mehr.

Peter Balzer ist Partner der Kanzlei Sernetz Schäfer und Experte für Bank- und Kapitalmarktrecht. Für ihn macht es aus rechtlicher Sicht keinen Unterschied, ob Guthaben lediglich auf einem Girokonto verbucht sind oder – wie bei einem Sparbuch – eine Urkunde über die Forderung existiert. „Selbst wenn Bankenserver ausfallen sollten, hat dies auf den Bestand der Forderung gegenüber der Bank keine Auswirkungen“, sagt er. Kunden könnten sich etwa auf das Guthaben im letzten Rechnungsabschluss oder Kontoauszug berufen, selbst wenn das nur als PDF-Datei vorliegt. „In der Praxis kommt es auch einfach nicht vor, dass die Forderung des Kunden aufgrund von EDV-Problemen erlischt“, sagt er. IT-Experten halten es zwar für möglich, dass auch Sicherungen der Banken von Cyberangriffen betroffen sein könnten und jegliche Einträge zu Guthaben der Kunden ausgelöscht werden. „Aber wir sprechen dann wirklich von einem Katastrophenszenario“, sagt Hemker.

Für Balzer, der Banken in Prozessen vertritt, stellt sich vielmehr die Frage, ob die Kundenkonten tatsächlich geknackt wurden, wenn Geld abgebucht wurde, ohne dass es jemand veranlasst haben will. „Oder haben die Kunden entgegen der vertraglichen Vereinbarungen ihre Zugangsdaten bewusst oder in fahrlässiger Weise weitergegeben? Danach richtet sich letztlich, wer den Schaden trägt.“ Da die Rechtsstreitigkeiten in diesem Bereich deutlich zugenommen haben, dürfe der Kunde auch nicht mehr ohne Weiteres auf die Kulanz der Bank hoffen. Denn die kennen die alte Hacker-Weisheit: Organisationen stecken Millionen in Sicherheitssysteme und verschwenden ihr Geld, da keine dieser Maßnahmen das schwächste Glied der Sicherheitskette berücksichtigen kann: die Anwender.

Zur Startseite Nachricht an die Redaktion
Mehr zum Thema
Automarkt Italien
„Es braucht Prämien für in Europa hergestellte Autos“
von Gerhard Bläske
Spielzeugmarkt
Minus acht Prozent – Playmobil verliert in Deutschland weiter an Umsatz
von Stephan Knieps
Heizung
Wird die Wärmepumpe durch tagelangen Frost beschädigt?
von Stefan Hajek
Joschka Fischer
„Wir waren zu lange zu bequem und zu naiv“
von Julian Heißler und Max Haerder
Arbeitszeiterfassung
Man wird ja wohl noch träumen dürfen!
von Antonella Corrado
Neobroker
Ein 27-Jähriger soll verhindern, dass Sparkassen-Kunden zu Trade Republic wechseln
von Lukas Zdrzalek
Offshore-Wind-Auktion
Warum schlägt RWE EnBW in der britischen See?
von Florian Güßgen und Clara Thier
Arbeitsmarkt
So will Friedrich Merz Ihre Arbeitsleistung erhöhen
von Angelika Melcher
Unsere Partner
Anzeige
Stellenmarkt
Die besten Jobs auf Handelsblatt.com
Anzeige
Homeday
Homeday ermittelt Ihren Immobilienwert
Anzeige
IT BOLTWISE
Fachmagazin in Deutschland mit Fokus auf Künstliche Intelligenz und Robotik
Anzeige
Remind.me
Jedes Jahr mehrere hundert Euro Stromkosten sparen – so geht’s
Anzeige
Presseportal
Lesen Sie die News führender Unternehmen!
Anzeige
Bellevue Ferienhaus
Exklusive Urlaubsdomizile zu Top-Preisen
Anzeige
Übersicht
Ratgeber, Rechner, Empfehlungen, Angebotsvergleiche
Anzeige
Finanzvergleich
Die besten Produkte im Überblick
Anzeige
Gutscheine
Mit unseren Gutscheincodes bares Geld sparen
Anzeige
Weiterbildung
Jetzt informieren! Alles rund um das Thema Bildung auf einen Blick