Computerkriminelle werden immer raffinierter. Vor allem der so genannte Man-in-the-Middle-Angriff kann etablierte Sicherheitsmechanismen aushebeln und die Konten ahnungsloser Online-Banking-Kunden abräumen. Nur eine starke Authentifizierung und digitale Signatur schützen zuverlässig.

An Alarmmeldungen aus dem Bereich Internet-Sicherheit hat man sich ja mittlerweile schon fast gewöhnt. Rund vier Millionen Deutsche wurden bereits einmal Opfer von Straftaten über das Internet, so das Bundeskriminalamt und der Hightech-Branchenverband Bitkom. Aus dem Wirtschaftsministerium kommen keine besseren Nachrichten: Jedes fünfte Unternehmen in Deutschland sei bereits mindestens einmal ausspioniert worden.

Jörg Ziercke, Chef des Bundeskriminalamtes, sieht die Schattenwirtschaft weiterhin im Aufwind: Gegen Ende vergangenen Jahres sei es Cyber-Kriminellen nach einigen ruhigeren Monaten wieder vermehrt gelungen, Online-Banking-Kunden um ihr Geld zu prellen.

Nachrichten, die aufschrecken sollten, zumal die Geldinstitute nach wie vor statt Bollwerken äußerst brüchige Schutzmauern gegen Angriffe aus dem Internet errichten. Und zwar im wahrsten Sinne des Wortes: Standard-Sicherheitsinstrument ist eine Liste von Transaktionsnummern. Bei jeder Online-Transaktion wird eine Nummer zur Bestätigung abgefragt.

TAN-Liste: ein dünner Schutzwall

Dieses vereinfachte Challenge-Response-Verfahren scheint auf den ersten Blick recht sicher, zumindest solange die TAN-Liste unter Verschluss bleibt. Wer sich aber auf dieses System verlässt, hat nicht mit der kriminellen Energie der Hacker gerechnet. Ihre Geheimwaffe gegen die TAN-Liste ist der Man-in-the-Middle-Angriff.

Wie eine Man-in-the-Middle-Attacke abläuft: Ein Angreifer schaltet sich in die Online-Kommunikation zwischen einem Bankkunden und seinem Kreditinstitut ein.

Denn nicht selten gelingt es den Phishern, trotz Virenscanner einen Trojaner auf dem Rechner eines Opfers zu installieren. Das Öffnen eines Mail-Anhangs reicht dazu aus, ebenso der Besuch auf einer infizierten Web-Seite.

Doktoranden der Universität Mannheim stießen im Rahmen einer Studie, die sie zwischen April und Oktober vergangenen Jahres durchführten, alleine auf 164.000 Rechner, die mit dem Keylogger »Limbo« verseucht waren. Wohl gemerkt: Das ist nur ein Beispiel und damit wohl nur die Spitze des Eisbergs.

Angreifer klinkt sich in Kommunikationsfluss ein

Landet statt eines Keyloggers ein ausgefeiltes Schadprogramm auf dem PC, kann sich ein Hacker unbemerkt in die Kommunikation zwischen Bank und Kunden einklinken. Dann leitet er einfach alle Identifikationsdaten weiter und verfälscht die Inhalte der Transaktion.

Die Grafik zeigt, wie der Verbrecher dabei vorgeht: Aus einer kleinen Überweisung an eine wohltätige Organisation wird unversehens ein großer finanzieller Aderlass für den Bankkunden und ein Imageschaden für das Geldinstitut.

Das Beispiel der ausgehebelten TAN-Sicherung zeigt, dass eine einfache Transaktionsbestätigung nicht mehr ausreicht. Es lässt sich nämlich weder von der Bank noch vom Kunden eindeutig feststellen, ob sich nicht ein unbefugter Dritter eingeschaltet hat.

1. Sich vor »Man-in-the-Middle«-Angriffen schützen
2. Wege aus der Sicherheitskrise