Das Jahr 2010 wird in Bezug auf den Betrug beim Oninebanking das bisher schlimmste Jahr, so Mirko Manske, Kriminalhauptkommissar beim Bundeskriminalamt, auf der Tagung "Payment World 2010". Bis zum Jahresende erwartet das BKA etwa 5500 gemeldete Fälle. Daraus wird eine Zahl von 12 000 bis 15000 tatsächlichen Fällen hochgerechnet. Der durchschnittliche Schaden liegt bei 4 000 bis 6000 Euro.
Die sogenannte "Underground"-Economy, die sich in den vergangenen drei bis vier Jahren etabliert hat, blüht. Hier werden digitale Identitäten und das zugehörige Know-how gehandelt. Vergleichweise teuer ist ein gehackter Postbank-Zugang mit rund 250 Euro. 15 Ebay/Paypal-Accounts werden zu 25 Euro angeboten, 100 Ama-zon-Accounts gibt es schon zu zehn Euro. Dazu sind die Scoring-Mechanismen erhältlich, die den Käufern zeigen, wie sie einkaufen müssen, um von den Fraud-Management-Systemen nicht entdeckt zu werden. So lassen sich etwa aus den erworbenen Amazon-Zugängen mit den entsprechenden hinterlegten Zahlungsinformationen diejenigen Accounts herausfiltern, die vom Einkaufsprofil zu dem passen, was man mit den erworbenen Konto- beziehungweise Kartendaten kaufen möchte.
Anders als in den Urzeiten des Phishings kann dieses Blühen des digitalen Identitätsdiebstahlt nicht länger der Naivität des Kunden zugeschrieben werden. Denn das "Dinosaurier-Phishing" mit gefälschten Mails oder Websites in gebrochenem Deutsch und aberwitziger Orthografie, ist längst von hochprofessionellen neuen Strategien abgelöst worden, die vom Verbraucher meist gar nicht mehr erkennbar sind. Der Angriffsdruck verlagert sich immer mehr auf den Endkunden. Mittels ausgeklügelter Trojaner werden so ganze digitale Identitäten gestohlen, inklusive sogenannter "gekapselter" Kreditkarten- und Kontodaten, die auf Onlineplattformen im Kundenprofil hinterlegt sind.
Die Millionenbeträge, die Kreditinstitute in die Einführung der i-TAN investiert haben, haben dem BKA zufolge denn auch nur rund sechs Monate lang zu einem Rückgang der Phishing-Fälle geführt. Der Sicherheitsstandard 3-D-Secure, der Kreditkartenzahlungen im Internet sicherer machen soll, kann laut Manske "auf primitivste Weise ausgehebelt werden".
Und auch die mobile TAN unter Einbindung des Mobiltelefons bietet im Zeitalter von i-Phone-Apps und Android keinen wirklichen Schutz vor Hackern mehr, den es im Zeitalter der proprietären Betriebssysteme durchaus noch gab. Die erste Ban-king-App, so Manske, trug zwar das Sparkassenlogo, stammte aber von "Igor Popow", seinem Synonym für die in diesem Bereich tätigen Kriminellen. Die Beta-Phase der Angriffe zur Umgehung beziehungsweise Nutzung der mobilen TAN nähert sich ihrem Ende. Mitte Januar ist mit dem "Wirkbetrieb" zu rechnen.
SMS-Alerts, die den Kunden umgehend über jede Transaktion informieren, damit betrügerische Vorgänge umgehend erkannt werden, sind dem BKA zufolge auch nur bedingt eine Lösung. Testtransaktionen in geringer Höhe, mit denen Kriminelle derzeit häufig testen, ob die gestohlenen Daten zuverlässig funktionieren, wird es bei zunehmendem Einsatz solcher SMS-Warnsysteme wohl künftig nicht mehr geben. Der Betrug fliegt dann erst nach der ersten größeren Transaktion auf. Auch werden
sich die Täter dann auf Zeitfenster verlegen, in denen die Opfer des Identitätsdiebstahls ihre SMS voraussichtlich nicht checken werden. Was die Banken wirklich brauchen, so die Schlussfolgerung des BKA, ist ein sicherer zweiter Kanal zum Kunden. Und das kann definitiv weder der PC oder Laptop noch das Mobiltelefon sein. sb