Die Cyber-Kriminellen bedienen sich ganz neuer Formen des Datenklaus: Statt Phishing-E-Mails zu verschicken, knacken die Datendiebe nun ganze Web-Seiten. Dort deponieren sie Spionage-Programme, die bereits beim Aufruf der Seiten beginnen, arglose Surfer auszuspähen, wenn deren Rechner und Web-Browser nicht ausreichend geschützt sind.
„Bei diesen Drive-by-Infection genannten Attacken wird in wenigen Sekunden Schadsoftware – sogenannte Trojaner – auf den Rechner des Online-Nutzers geladen“, erläutert Thorsten Schuberth, IT-Security-Vordenker bei Check Point, einem Hersteller von Computersicherheitssystemen. „Die Software-Spitzel zeichnen heimlich Passwörter fürs Bankkonto, den E-Mail-Zugang oder den Ebay-Account auf und überspielen die Informationen, unbemerkt vom Nutzer, auf die Crime-Server genannten Datenspeicher der Online-Kriminellen.“
„Dabei stecken die digitalen Schnüffler keineswegs nur in dubiosen Web-Angeboten“, warnen Experten wie Candid Wüest, Bedrohungs-Forscher beim Sicherheitssoftware-Anbieter Symantec. Im Mai 2008 infizierten Angreifer die Online-Programmzeitschrift der ARD. Im September deponierten sie Spionage-Codes in den Online-Stellenanzeigen des amerikanischen Wirtschaftsmagazins „BusinessWeek“.
Die Zahl infizierter Seiten explodiert geradezu. Januar bis März dieses Jahres verdoppelte sie sich auf 6.500, berichtet die Anti-Phishing-Working-Group, ein Verbund internationaler Datenschutz-Spezialisten. „Mittlerweile kommen pro Tag 3.000 bis 4.000 neu infizierte Seite hinzu“, sagt Symantec-Experte Wüest.
Befürchtung: zu hohe Sicherheitschecks könnten Kunden vergraulen
Mit den online ergaunerten Daten können Betrüger dann – quasi als kriminelle Doppelgänger der realen Kunden – zum Beispiel Millionenbeträge auf Konten im Ausland verschieben. Oder sie lassen sich Waren an fremde Adressen liefern. Bei unseren Testkäufen gingen die Artikel an die Redaktionsanschrift. Genauso gut hätten Betrüger die Postboten an Tarnanschriften abpassen und mit der Lieferung verschwinden können. „Die Ware ist futsch, und ich muss dem Versender erklären, wo das Geld bleibt“, ärgert sich Test-Opfer Caspari.
Neckermann findet das halb so wild. „Wenn ein Kunde eine Rechnung von uns bekommt, ohne Waren bestellt zu haben, klären wir den Fall mit ihm ab und stornieren die Rechnung im Betrugsfalle umgehend“, versichert Hansjörg Allstädt, Leiter E-Business Solutions auf Anfrage. „In dem Fall tragen wir das Risiko.“ Datenschützerin Marit Hansen hält das für unzureichend. „Gemessen an anderen Internet-Kaufhäusern, hängt Neckermann die Kontrollschwellen unnötig niedrig und erleichtert so den Identitätsmissbrauch“, kritisiert die stellvertretende Leiterin des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein. „Selbst wenn das Unternehmen die Kosten erstattet oder die Rechnung storniert, haben die Opfer unnötig Ärger und Aufwand“, mahnt Hansen. „Es wäre ein Leichtes, die Arbeit der Betrüger durch zusätzliche Verifizierungsschritte im Bestellprozess zu erschweren.“
Der Hamburger Otto-Versand oder der Web-Shop des Elektronikhändlers Conrad tun das bereits. Beide Unternehmen schließen bei nicht verifizierten Bestellern den Versand von Waren auf Rechnung an andere Anschriften als die Bestelleradresse aus. Oder sie liefern wie Otto die Ware dann nur an eigene Läden, wo sie der Kunde persönlich abholen muss.
Doch viele Versender fürchten, mit zu strengen Sicherheitschecks Kunden abzuschrecken. „Schraube ich die Anforderungen so hoch, dass viele Kunden die Bestellung abbrechen – oder kalkuliere ich etwas Schwund durch Betrug ein?“, erläutert Sebastian Schreiber das Problem. Schreiber ist Chef des auf die Analyse von IT-Sicherungssystemen spezialisierten Dienstleisters Syss in Tübingen.
