Cybercrime statt Sicherheit - Onlinebanking im Jahre 2019

Gut gemeint ist nicht immer gut gemacht – So oder ähnlich könnte das Resultat der europäischen Zahlungsdienstrichtlinie ("Payment Service Directive"/"PSD2"), mit der Brüssel den Zahlungsverkehr in der Europäischen Union für Verbraucher eigentlich bequemer und vor allem sicherer machen wollte, in einem kurzen Satz umschrieben werden. Aber der Reihe nach:

Die Theorie

Alle Banken wickeln entsprechend der PSD2 das Onlinebanking mit ihren Kunden mittels einer Zwei-Faktor-Authentifizierung ab. Die Methode ist technisch gesehen dem alten Verfahren in Punkto Übertragungssicherheit und Authentifizierung überlegen und damit insgesamt sicherer.

Die Praxis

Die Umstellungsphase führt bei Bankkunden teilweise zu erheblicher Frustration und Verwirrung: Überlastete Hotlines, nicht erreichbare Konten und oftmals – besonders für digitale Laien – komplizierte Login und Umstellungsprozesse.

Zwar wird sich die Lage nach der ersten großen Umstellung ein wenig entspannen. Doch die nächste kalte Dusche wartet bereits auf diejenigen Kunden, die das beliebte Verfahren mit Smartphone und Apps benutzen: Wird ein neues Smartphone eingesetzt, beginnt der ärgerliche Aufwand der Registrierung von vorne – mit allen damit verbundenen Themen.

Die Folge: Ein Schlaraffenland für Cyberkriminalität

Die größte Schwachstelle in Mensch-Maschine Systemen liegt nicht im technischen Bereich, sondern bei uns Menschen selbst; denn die meisten Angreifer nutzen sehr geschickt menschliches, vorhersehbares Verhalten aus, um an vertrauliche Daten zu gelangen. Konfusion und Verunsicherung bieten ein perfektes Umfeld für Betrüger und Diebe – in der Datenwelt ebenso wie beim Diebstahl Ihrer Geldbörse auf der Straße.

Angriffe, die unser menschliches Verhalten manipulieren und ausnutzen, werden auch als Social Engineering, wenn es gezielt um das Eindringen und Ausspionieren von Computerdaten geht – wie in unserem Beispiel – als Social Hacking bezeichnet.

Kein Wunder also, dass die Polizei in diesem Zusammenhang zahlreiche Delikte registriert und eindringlich vor Betrügern warnt.

Augen auf: Wer die Betrugsmethoden kennt, ist bereits achtsamer

Die häufigsten Betrugsmethoden sind im Zusammenhang mit der PSD2 Umstellung sowohl die Verwendung von Phishing-Mails, in denen Bankkunden aufgefordert werden, ihre Kundendaten zu bestätigen, als auch sogenannte Fake Anrufe. Besonders fies: Die Methodik ähnelt verblüffend einigen Umstellungsschritten.

Dabei verfügen die Angreifer oftmals über erstaunlich viel und präzise Informationen über ihre Opfer, da das persönliche Umfeld zuvor detailliert ausgespäht wurde – Timing und Inhalt der Kommunikation können daher extrem authentisch wirken!

Unsere digitalen Spuren geben allgemein bereits ausreichend Anhaltspunkte, um konkrete Angriffspunkte zielgenau zu ermitteln, was in der Fachsprache treffend als Spear-Phishing (vom engl. Speer) bezeichnet wird. In Einzelfällen wird sogar der Müll des Opfers, in der Fachsprache Dumpster Diving genannt, nach Hinweisen durchwühlt – sorglos weggeworfene Kontoauszüge oder Schriftstücke mit sensiblen Daten in Papiertonnen geben den Bösewichten bereitwillig Auskunft!

Die Methoden der Social Engineers oder treffender der Cyberkriminellen sind immer dann besonders effektiv, wenn Sie die Erwartungshaltung ihres Opfers erfüllen. Der freundliche Call Center Agent, der endlich zurückruft, um Ihr Problem mit einer dringenden Überweisung zu beheben, genießt sofort eine natürliche Autorität und wird in der Notsituation erfahrungsgemäß wenig hinterfragt, eher sogar als Retter dankend mit Informationen versorgt werden. Das Sie Opfer eines gewieften Social Engineers wurden, der seine Hausaufgaben zuvor brillant erledigt hat, bemerken Sie zu spät.

Fazit

Digitalisierung sollte Prozesse vereinfachen und Menschen das Leben erleichtern. Das gilt gerade auch für sicherheitstechnisch sensible Themen, wozu Onlinebanking zweifelsfrei zählt. Statt Digitalisierung vom Menschen her zu denken, Prozesse anwenderfreundlich zu designen, zeigt die PSD2 einen klaren technokratischen Ansatz, an den der Nutzer sich anzupassen hat. In Summe wird damit der Gesamtprozess eher fehleranfälliger und nicht sicherer.

Dem Onlinebanking hat man damit einen Bärendienst erwiesen. Viele Menschen wünschen sich aus nachvollziehbaren Gründen die gute alte Bankfiliale zurück, die oftmals bereits aus Kostengründen – und dem Hinweis auf exzellente Onlineservices – dicht gemacht wurde.