Anzeige
1 Monat GRATIS testen, danach für nur 9,90€/Monat!
Startseite »

Hacker im Hintertreffen

Allgemein

Hacker im Hintertreffen
Das Gefecht zwischen Kreditkartenbetrügern, Hackern und IT-Sicherheitsleuten geht in eine neue Runde. Banken und Kreditkartenunternehmen rechnen mit einem Sieg.

Der Stuttgarter Journalist Wolfgang Henrich staunte nicht schlecht, als er den Umschlag mit der Abrechnung seiner Mastercard öffnete und sah, dass 1100 Euro abgebucht waren. Er konnte sich nicht erinnern, wann er mit der Kreditkarte so viel Geld ausgegeben haben sollte. Außerdem war in US-Dollar abgebucht worden, Henrich war aber in letzter Zeit nirgends unterwegs gewesen, wo der US-Dollar als Währung dient. Er rief also bei seiner Bank an und fragte nach. Die Antwort: Da müsse wohl irgendwie jemand an seine Kreditkarteninformationen gelangt sein. Henrich war kurz zuvor in China gewesen – das könne wohl der Tatort sein, sagte man ihm. Er erhielt eine neue Kreditkarte, die alte wurde gesperrt und das Geld von der Bank erstattet.

Was Wolfgang Henrich widerfahren ist, passiert überall auf der Welt, wahrscheinlich täglich. Im August vergangenen Jahres wurde von einem milliardenschweren Kreditkartenbetrug aus den USA berichtet: Dort sind insgesamt 40 Millionen Kredit- und Zahlkartennummern gestohlen worden. „Es handelt sich um den größten und kompliziertesten Fall von Identitätsdiebstahl, der in diesem Land jemals vor Gericht kam“, kommentierte damals Generalstaatsanwalt Michael Mukasey. Das ist das Neue im Kreditkartenbetrug: die Dimension. Während früher Kreditkarten einzeln kopiert oder gestohlen wurden, können sich Betrüger heute EC- und Kreditkarteninformationen gleich massenhaft besorgen – seit Bücher, Flugtickets, Theaterkarten, Hotels, Mietwagen und überhaupt fast alles übers Internet bezahlt werden.

Geklaute Daten frei im Web

Was macht man mit Tausenden Kreditkarteninformationen, die man aus einem gehackten Computersystem kopiert? Die Antwort: verkaufen. Die gesammelten Daten werden mehr oder weniger frei zugänglich im Internet zum Kauf angeboten, das Gerät zum Beschreiben von Karten-Rohlingen gibt es gleich dazu. Das Risiko, erwischt zu werden, liegt dann beim Datenkäufer, der mit der gefälschten Kreditkarte einkaufen geht. Die Datensammler haben die gestohlenen Informationen meist gut versteckt auf einem Server gelagert, der in einem beliebigen Land stehen kann. Wer diesen Server betreibt, ist nur schwer herauszufinden. Aber auch die anderen Methoden, an EC- und Kreditkartendaten heranzukommen, gibt es noch. Die beliebtesten: Skimming und Phishing. Beim Skimming werden Geldautomaten oder Kartenlesegeräte so manipuliert, dass die Betrüger alle Daten erlangen, die für das Bezahlen mit der EC-Karte oder das Geldabheben nötig sind. Dazu montieren die Betrüger ein Lesegerät auf den Kartenschlitz des Geldautomaten, das den Magnetstreifen ausliest und die Daten speichert. Die PIN wird entweder mit einer kleinen Kamera ausgespäht oder mit einem zweiten Tastenfeld, das auf dem richtigen liegt.

Phishing dagegen funktioniert nur online: Eine gefälschte Webseite soll den Internet-Nutzer dazu bringen, seine Daten fürs Online-Banking einzutragen – die dann nicht der Bank, sondern dem Server der Betrüger übermittelt werden. „Obwohl Banken, Sicherheitsinstitute, Bundesämter und Medien seit Jahren auf die Gefahr des Phishings und Online-Betrugs hinweisen, gehen manche Menschen immer noch leichtfertig mit ihren Daten um“, sagt Frank Hardt, IT-Sicherheitsexperte beim Deutschen Sparkassen- und Giroverband.

Anzeige

Anders ist es nicht erklärbar, dass die Zahl der Phishing-Opfer in den letzten Jahren weiter gestiegen ist: 2007 wurden 4100 Fälle gezählt, wie der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien (Bitkom) bekannt gab – so viele wie nie zuvor. „Die Betrugsmethoden werden immer raffinierter“, sagt Dieter Kempf, Bitkom-Präsidiumsmitglied. In drei von vier Fällen, schätzt man beim Bitkom, schicken Kriminelle per E-Mail ein Trojanisches Pferd – ein Schadprogramm, das die geheimen Daten unbemerkt ausspäht und weiterleitet. Die Beraterin der US-Regierung Valerie McNiven sprach 2006 davon, dass die Einnahmen durch Internetverbrechen höher seien als die durch illegalen Drogenhandel. Thomas Gärtner vom Bundesamt für Sicherheit in der Informationstechnik (BSI) will das nicht bestätigen: „Mit solchen Aussagen und Zahlen wäre ich vorsichtig.“ Im Vergleich zum Gesamtumsatz ist der absolute Schaden bislang gering: Phishing sorgte 2007 in Deutschland für 19 Millionen Euro, Skimming für 21 Millionen Euro Schaden. Der Kreditkartenbetreiber Visa gibt eine Schadenssumme von 0,05 Prozent am gesamten Transaktionsvolumen per Visa-Karten an. Für 2008 liegen zwar noch keine Zahlen vor, der Bitkom vermutet aber, dass die Phishing-Attacken erstmals rückläufig waren. „Im Wettrüsten mit den Kriminellen stehen Verbraucher, Banken und IT-Branche wieder etwas günstiger da“, sagt Dieter Kempf.

In der Tat entwickeln die Banken ihre Bezahlsysteme immer weiter. Die alten Listen mit Transaktionsnummern (TAN) fürs Online-Banking, aus denen man sich eine TAN aussuchen konnte, sind verschwunden. Inzwischen muss der Online-Banking-Nutzer eine bestimmte TAN für seine Überweisung eingeben, sodass zumindest die gefälschte Website und E-Mail von Betrügern nutzlos sind, die etwa zur Eingabe von „zehn unbenutzten TANs in dieses Feld“ auffordern. Allerdings können Schadprogramme immer noch Kontonummer, Passwort und TAN abfangen, indem eine Überweisung online nur scheinbar ausgeführt wird.

Kampf gegen das Phishing

Die neuesten PIN-TAN-Verfahren sollen Phishing-Attacken komplett den Garaus machen. Das Prinzip: Für jede Überweisung wird eine bestimmte Transaktionsnummer generiert, die nur für genau diese Überweisung mit nur diesem Empfänger und Geldbetrag funktioniert. Die einzigartige TAN wird über ein externes Gerät generiert, das zur Berechnung der Überweisungsdaten dient. Eine weitere Entwicklung ist die elektronische Signatur. Das Prinzip: Der Computer ist mit einem externen Kartenlesegerät verbunden, in das die elektronische Signaturkarte gesteckt wird. Eine PIN aktiviert die Karte, die dann nachweist, dass der Nutzer der Eigentümer der Karte ist. Auch Skimming soll bald nicht mehr möglich sein – spätestens, wenn alle EC-Karten von Magnetstreifen auf Chip umgestellt sind. Denn der arbeitet verschlüsselt und kann nicht einfach ausgelesen und kopiert werden. ■

von Konstantin Zurawski

Anzeige

Wissenschaftsjournalist Tim Schröder im Gespräch mit Forscherinnen und Forschern zu Fragen, die uns bewegen:

  • Wie kann die Wissenschaft helfen, die Herausforderungen unserer Zeit zu meistern?
  • Was werden die nächsten großen Innovationen?
  • Was gibt es auf der Erde und im Universum noch zu entdecken?

Hören Sie hier die aktuelle Episode:

Aktueller Buchtipp

Sonderpublikation in Zusammenarbeit  mit der Baden-Württemberg Stiftung
Jetzt ist morgen
Wie Forscher aus dem Südwesten die digitale Zukunft gestalten

Wissenschaftslexikon

Fern|seh|ka|me|ra  〈f. 10〉 Gerät zum Aufnehmen von Bildern für das Fernsehen

Bil|dungs|ein|rich|tung  〈f. 20〉 = Bildungsstätte

Baum|woll|strauch  〈m. 2u; Bot.〉 Angehöriger einer Gattung der Malvengewächse: Gossypium, die gelblich blühenden Sträucher liefern walnussgroße Fruchtkapseln, die bei der Reife aufspringen u. deren Samenhaare als Baumwolle gepflückt werden

» im Lexikon stöbern
Anzeige
Anzeige
Anzeige