Robert Zadrazil, IT-Vorstand der BA-CA, sprach von einem "Teilerfolg" bei der Bekämpfung der kriminellen Angriffe auf Bankkunden. In acht von zehn Fällen sei es gelungen das Geld zurückzuholen. Nach relativ erfolgreichen Angriffen im August 2006 - damals waren rund 250 BA-CA-Kunden betroffen - sei es durch eine massive Informationskampagne gelungen, die betroffenen Konten auf genau 16 bei einer weiteren Welle im Dezember des Vorjahres zu senken.

Beim Password-Fishing (Phishing) werden die Kunden in vermeintlich vom Geldinstitut stammenden E-Mails aufgefordert, persönliche Daten - insbesondere Passwörter und Transaktionsnummern (TANs) - bekannt zu geben. Meist werden als Grund für die Abfrage der Daten Sicherheitsmaßnahmen vorgetäuscht. Der beste Schutz gegen Phishing seien Sorgfalt und Misstrauen. "Es gibt keine Bank, die Kundendaten per E-Mail abfragt", so Zadrazil. Gegenüber den betroffenen Kunden zeige man sich kulant, wobei "Kulanz nicht heißt, dass wir jenen Schaden zu hundert Prozent bezahlen", erklärte Wolfgang Trexler, Produktmanager für Online-Banking bei der BA-CA.

"Relativ kleines Problem"

Obwohl die BA-CA von einem "relativ kleinen Problem" spricht, plant die Bank weitere Schritte, die ein Ausspionieren den Kundendaten erschweren sollen. Im Vorjahr wurde bereits eine zusätliche (zweite) TAN bei Überweisungen eingeführt und das Limit für Online-Überweisungen auf 1500 Euro gesenkt, heuer im Herbst sollen zudem "Mobile-TANs" eingeführt werden. Die Überweisungs-Daten werden dabei ohne zusätzliche Kosten für den Kunden per SMS aufs Handy geschickt. Das neue System soll wesentlich sicherer sein, weil es keine Liste mit TANs mehr gibt und der Kunde bei jeder Transaktion ein eigenes SMS erhält. Die Erste Bank und Raiffeisen bieten bereits derartige SMS-Dienste an. Die BA-CA erhofft sich, dass bis zu 70 Prozent ihrer Online-Banking-Kunden auf das neue System umsteigen.

Das Versenden von Massen-Emails ist nur die eine Seite einer Phising-Attacke, "dafür braucht man Mittelsmänner, die sich gegen Provision für die Weiterleitung der Gelder zur Verfügung stellen", so Zadrazil weiter. Die Bank warnt in diesem Zusammenhang vor Stellenangeboten als "Finanzagent" oder "Zahlungsverkehrs-Agent". Gutgläubige Strohmänner würden dazu benutzt, um das Geld zwischenzuparken und weißzuwaschen. Die BA-CA berichtete von 65 Anzeigen gegen derartige Finanzagenten.

"Finanzagenten" machen sich strafbar

Den Finanzagenten wird für ihre Dienste als Mittelsmann eine "Transaktions-Gebühr" versprochen, "am Ende steht der Staatsanwalt vor der Tür", erzählte Wolfgang Trexler, Produktmanager für Online-Banking bei der BA-CA. "Der Agent muss das Geld bar beheben und über Transferfirmen wie Western Union oder Moneygram weiterleiten. In einem anderen Land wird das Geld mit gefälschten Ausweisen abgeholt und damit quasi anonymisiert". Die Finanzagenten machen sich deshalb wegen Geldwäsche strafbar. Aber auch Bankgeschäfte ohne Konzession und Verstoß gegen die Geschäftsbedingungen der Bank werden den Mittelsmännern vorgeworfen. Meist werden die Ermittlungen gegen die Mittelsmänner eingestellt, weil diese angeben gutgläubig gehandelt zu haben, schreibt die Arge Daten, die Österreichische Gesellschaft für Datenschutz, in einer Aussendung.

Phising-Attacken richten sich vor allem gegen Banken. Von den 37.44 bei der Anti-Phising-Working-Group in San Francisco gemeldeten Phising-Seiten richten sich 92,6 Prozent gegen Finanzinstitute, der Rest verteilt sich auf Handelsunternehmen, Internet-Firmen und andere Branchen. Im Durchschnitt sind die Homepages nur 4,5 Tage im Netz und werden dann meist auf Anfrage der betroffenen Banken abgeschaltet. Hinter den Phishing-Angriffen stehen 70 bis 90 weltweit agierende Tätergruppen, die über Server in unterschiedlichen Ländern agieren. Die Angriffswellen auf die BA-CA seien über geschätzte 400.000 Emails erfolgt, die wahllos an österreichische Email-Empfänger versandt wurden. Während manche Phishing-Seiten binnen weniger Stunden abgeschaltet waren, sei dies bei einem Server einer Universität in Afghanistan nicht gelungen, erzählte Trexler. Dieser wurde aber nach zehn Tagen von selbst vom Netz genommen.