Schlechte Noten für Migros-Bank, Raiffeisen und Berner Kantonalbank BEKB: Bei diesen drei Banken gelang es Testern der SF-Sendung «Kassensturz», Online-Banking-Konten zu knacken. Das System der UBS hielt der Hacker-Attacke stand. Credit Suisse, Postfinance und Zürcher Kantonalbank verweigerten die Teilnahme an dem Experiment.

Für den Test hatte die «Kassensturz»-Redaktion zuerst eigene Konten bei den vier Banken eingerichtet. Anschliessend beauftragte es Bernhard Plattner, ETH-Professor für technische Informatik, gemeinsam mit seinem Assistenten die Konten zu hacken. Plattner hatte es dabei mit sechs verschiedenen Sicherheits-Systemen zu tun: Kartenleser, Internet Passports, SMS-Token, Access Keys, Code-Karten oder spezielle USB-Sticks (siehe .pdf).

Die Informatiker entwickelten für ihren simulierten Angriff einen sogenannten Trojaner: Eine Datei, die sich im Computer des Nutzers einschleust, wenn dieser einen Mailanhang oder andere Internet-Anwendungen öffnet. Sobald sich der Nutzer in sein Online-Banking-Konto einloggt, greifen die Täter an und geben einen Zahlungsauftrag im Konto des Opfers ein. Das ist im «Kassensturz»-Test nur bei der UBS nicht gelungen – deren Kartenleser wehrte den Angriff ebenso ab wie der Access Key.

BEKB verschärft ihr Sicherheitssystem

Die betreffenden Banken reagieren unterschiedlich auf die Test-Ergebnisse. Die BEKB hat ihr System noch am selben Tag angepasst, wie Sprecher Hanspeter Merz gegenüber Redaktion Tamedia sagt. Der Kunde muss sich nun auch bei der Überweisung von kleineren Beträgen nach dem Einloggen ein zweites Mal mithilfe eines Codes identifizieren. Vor dem Test war dies nur bei grösseren Beträgen der Fall – bei diesen hielt das System denn auch dem Angriff stand.

Die Migros-Bank teilt mit, ihr System sei sicher. Seit Einführung des Online-Banking vor gut zwei Jahren sei es bei rund 20 Millionen getätigten Transaktionen nie zu einem Schadensfall gekommen. Die Erkenntnisse aus dem Test würden jedoch in kommende Updates einfliessen – genauso wie jene aus den regelmässig intern durchgeführten Prüfungen. Bei Raiffeisen heisst es, man sehe keinen Anlass, etwas zu ändern. Das von ihr angebotene SMS-System biete die Option, dass jede einzelne Transaktion zu einer erneuten Eingabe auffordere. Diese Einstellung sei im Test des «Kassensturz» nicht genutzt worden.

Nur ein Element unter vielen

Der Sicherheitsexperte des Wissenschaftsnetzwerks Switch, das unter anderem Systeme zum Schutz vor Cyberkriminellen entwickelt, hält die Aussagekraft des Experiments für begrenzt. «Die Gefahr ist gering, dass sich tatsächlich Trojaner auf Computern einnisten», sagt Adrian Leuenberger auf Anfrage von Redaktion Tamedia. Automatisch geschehe dies tendenziell nur bei älteren Geräten oder solchen, bei denen jegliche Sicherheitsmassnahmen deaktiviert worden seien. Öfter werde versucht, ein potenzielles Opfer dazu zu bringen, Mail-Anhänge zu öffnen. Genau das ist einem Mann passiert, den der «Kassensturz»-Beitrag porträtierte. Der Trojaner war in einem Anhang eingeschleust worden, der als Lieferschein der Paketdienstfirma UPS getarnt war.

Selbst dann jedoch gibt es laut Leuenberger eine ganze Reihe von Massnahmen, die einen Übergriff verhinderten. So würde der Kontoinhaber etwa die ausgelöste Transaktion auf einer Übersichtsliste sehen, von wo er sie löschen könnte. Weiter würden Banken mit dem Kunden Kontakt aufnehmen, falls eine Zahlungsanweisung in Höhe oder Art auffalle. Dazu kämen zahlreiche Sicherheitsmassnahmen innerhalb des Systems, falls tatsächlich ein Missbrauch geschehen sollte. «All diese Massnahmen machen Online-Banking sicher, selbst wenn ein Kunde einmal Opfer eines Trojaners wird», sagt Leuenberger. Der «Kassensturz»-Beitrag habe lediglich ein Element aus einem ganzen Sicherheitssystem herausgegriffen.

Fehler gefunden?Jetzt melden.