Maßnahmen gegen Phishing
c't: Tricks von Online-Betrügern abwehren

Hannover, 14. Oktober 2005 - Einzelne Internet-Provider zählen pro Tag über 100.000 Phishing-Versuche, bei denen Betrüger versuchen, Zugangsdaten zu ergaunern, um Online-Banking-Kunden das Konto leer zu räumen. Schutz vor Phishern versprechen eine Vielzahl von Software-Tools, doch keines überzeugt, und letztendlich hilft nur ein vernünftiger Maßnahmen-Mix gegen unerwünschten Zugriff auf das eigene Konto, so das Computermagazin c't in der aktuellen Ausgabe 22/05.

Als sicherste Methode beim Online-Banking gilt immer noch der Standard HBCI in Verbindung mit einem Kartenleser ab Klasse 2, idealerweise mit einer Online-Banking-Software kombiniert. Doch konnte sich das HBCI-Verfahren nicht durchsetzen, unter anderem, weil es nicht mobil und standardisiert ist. Stattdessen kommt das bequeme, aber unsichere PIN/TAN-Verfahren zum Einsatz, bei dem man eine Geheimnummer und wechselnde Transaktionsnummern verwendet.

Wer sämtliche Online-Geschäfte diszipliniert mit einem Banking-Programm statt über die Internet-Seite der Bank tätigt, ist vor Phishing-Angriffen relativ gut geschützt. Die meisten Attacken zielen nämlich darauf, den Nutzer über den Link in einer E-Mail auf gefälschte Web-Seiten zu locken, wo er PIN- und TAN-Daten eingeben soll. Wer bei seinen Bankgeschäften also grundsätzlich auf einen Internet-Browser verzichtet, ist hiervor gefeit. Inzwischen droht aber auch Benutzern von Online-Banking-Software Gefahr durch Viren und Trojaner, die den Anwender unbemerkt ausspionieren, etwa indem sie Tastatureingaben mitprotokollieren und heimlich über das Internet versenden.

Ein regelmäßig aktualisierter Viren- und Trojanerschutz ist also unerlässlich. Des Weiteren sollen eine Vielzahl von Software-Erweiterungen den Nutzer darin unterstützen, sich vor Phishing zu schützen. Neue Versionen bekannter E-Mail-Programme versuchen, Phishing-Mails von vornherein abzuweisen. Verschiedene Software-Tools für Internet-Browser warnen beim Besuch gefälschter Bank-Webseiten - oder blockieren sie gleich ganz. Der c't-Test hat allerdings gezeigt, dass keines der Angebote allein rundum schützt. Erst ein Mix aus verschiedenen Maßnahmen senkt das Risiko auf ein akzeptables Niveau. "Der beste Schutz vor Phishing-Attacken bleibt weiterhin das Misstrauen potenzieller Opfer, die darüber entscheiden, ob und wo sie ihre Daten eingeben", so c't-Redakteur Daniel Bachfeld. (ju)

Hinweis für Hörfunkredaktionen:
Ein Radiobeitrag zu diesem Thema sowie O-Töne von c't-Redakteur Jürgen Schmidt sind unter 05 11/2 79 15 60 beim c't-Hörfunk-Service abrufbar. Unter www.radioservice.de steht das Angebot für akkreditierte Hörfunkredakteure auch im MP3-Format zum Download bereit.