Das Fazit stammt von einem Viren-Experten. Und ist darum umso ernüchternder: «Die Zahl der Angriffe auf Banken steigt, gleichzeitig werden jeden Monat weniger neue Finanzschädlinge entdeckt», schreibt Roel Schouwenberg vom Antiviren-Hersteller Kaspersky in einem aktuellen Bericht. Im steten Kampf um die Sicherheit auf dem Computer scheinen derzeit die Internetkriminellen die Überhand zu haben.

Das grösste Problem sei die «besorgniserregende Professionalisierung im Bereich der Internetkriminalität», wie die Melde- und Analysestelle Informationssicherung des Bundes (Melani) in ihrem jüngsten Bericht schreibt. «Den Hacker» gibt es schon lange nicht mehr. Vielmehr hat in der Branche der Cyberkriminellen die Arbeitsteilung Einzug gehalten. Die einen entwickeln die Software und verkaufen sie auf dem Schwarzmarkt. Die anderen platzieren und verbreiten die Schädlinge im Internet und bringen infizierte Computer unter ihre Kontrolle. Die dritten mieten die gekaperten Computer und plündern Bankkonten. Wer heute einen virtuellen Überfall verüben will, muss kein Computerspezialist mehr sein.

Computer lassen sich nicht schützen

Mit der Professionalisierung einher geht die zunehmende Fertigkeit der Schädlinge, sich zu verstecken. Wie Antiviren-Experte Schouwenberg berichtet, erfinden sich die Schädlinge ständig neu, verändern ihre typische Signatur - quasi ihre Gene -, um den Antiviren-Programmen zu entgehen. Andere öffnen nur ein Türchen, das weit schlimmere Schädlinge hereinlässt, und zerstören sich dann selbst. Die Antiviren-Hersteller haben so keine Chance, den ursprünglichen Schadcode zu ermitteln und das Loch zu stopfen.

Herkömmliche Sicherheitssysteme reichen nicht mehr aus, um die Kunden beim E-Banking zu schützen. Die Hacker haben Wege gefunden, einst als sicher geltende Lösungen mit dynamischen Passwörtern - solchen, die nur für eine kurze Zeit gültig sind - zu überlisten. Kommt hinzu, dass man heute ohne eigenes Zutun einen Schädling einfangen kann. Etwa beim Besuch einer seriösen Webseite wie jener der Grünen Partei. Sie war vor kurzem zusammen mit gut 1000 anderen Schweizer Webseiten von Hackern geknackt und so umgebaut worden, dass sie Besucher automatisch infizierte.

In der Branche zeichnet sich daher ein Systemwechsel ab. Heute ist man der Überzeugung, dass es keine sicheren PCs mehr gibt: «Es wird kaum je möglich sein, einen Heimcomputer 100-prozentig zuverlässig zu schützen. Es gilt vielmehr, den Angreifern einen Schritt voraus zu sein», sagt Heinz Johner von IBM Schweiz, der Kunden in Fragen der Informationssicherheit berät. Statt auf den Computer soll der Fokus nun auf den «Schutz der Information» gelegt werden, wie Melani empfiehlt. Konkret bedeutet das: Die Anstrengungen konzentrieren sich nicht mehr darauf zu verhindern, dass Kriminelle sich in den Computer einschleichen. Vielmehr soll der Hacker umgangen werden.

Via Handy oder mit dem USB-Stick

Das populärste neue System funktioniert via Handy. Die Idee dahinter: Da der Hacker die Daten verfälscht, die vom Computer seines Opfers geschickt und empfangen werden, sollen die Zahlungsdetails über einen zweiten Kanal überprüft und bestätigt werden. Bei Zahlungen an einen unbekannten Empfänger erhält der Kunde ein SMS mit Betrag und Empfänger der Überweisung sowie einem weiteren Passwort, um die Transaktion zu bestätigen.

Ein neues System präsentierte vor kurzem IBM: Statt des Handys wird ein USB-Stick mit Display verwendet, über den sämtliche Daten geleitet werden. «Unser Gerät kann bestimmte Attacken nicht verhindern. Aber es macht sie sichtbar», erklärt Michael Baentsch vom IBM Forschungslabor in Rüschlikon. Wie beim Handysystem sieht der Kunde auf dem Display des USB-Sticks die Details seiner Überweisung und kann sie mit einen Knopf auf dem Stick bestätigen - oder ablehnen. Laut Baentsch ist es eine Priorität gewesen, das Gerät besonders benutzerfreundlich zu gestalten. «So kann man viele Gefahren aufseiten des Benutzers umschiffen.» Im Moment finden erste Gespräche mit interessierten Finanzinstituten statt.

Neben neuen Sicherungssystemen setzen die Banken auf mehr Überwachung. Sie wollen Betrügereien erkennen, bevor das Geld weg ist - und zwar, indem sie sich die Zahlungen ihrer Kunden genau anschauen. Sobald eine Überweisung nicht mit einem gängigen Verhaltensmuster übereinstimmt, wird sie gestoppt und überprüft. Verdächtig sind etwa Zahlungen mit hohen Beträgen oder in exotische Länder.

Dank dieser Massnahmen hoffen die Spezialisten von Melani, dass das Pendel zurückschwingt und den Banken etwas Luft verschafft: «Durch die Einführung dieser Systeme dürfte sich die Problematik von E-Banking-Schädlingen in den nächsten Monaten teilweise entschärfen.»