Der Onlinehandel boomt, die virtuelle Kriminalität aber auch. Die Betrugsmethoden werden professioneller, die Betrüger profaner. Für das Jahr 2010 erwarten Experten einen neuen Schadensrekord im Online-Banking.

Zehn mal bestellte der Kunde hochwertige Elektronik im Onlineshop, zehn mal ging alles gut. Laptop, Handy, Digitalkamera und Flachbildschirm - jede Lieferung wurde ordnungsgemäß bezahlt. Auch bei der elften Bestellung gab das Scoringsystem des Online-Händlers daher grünes Licht - doch diesmal ging die Sache schief.

Kriminelle hatten sich des Kundenkontos bemächtigt, Benutzername, Passwort und Kreditkartendaten gestohlen, eine anonyme Packstation als Lieferadresse angegeben und Waren im Wert von ein paar tausend Euro bestellt.

Infizierung im Vorbeisurfen

Storys wie diese kann Mirko Manske, Teamleiter Operative Auswertung Cypercrime beim Bundeskriminalamt (BKA), reihenweise erzählen. Es sind Geschichten, die das Leben schrieb. "Jeder vierte Kunde hat einen Trojaner auf dem Rechner", warnte Manske auf dem Fachkongress Payment World 2010 in dieser Woche in Frankfurt am Main.

Gegen die von professionellen Entwicklerteams programmierte, hochintelligente Schadsoftware helfen Sicherheitsmechanismen wie iTan, SSL-Verschlüsselung oder 3-D-Secure kaum oder gar nicht, lautete das Resümee des Cypercrime-Experten.

"Die Zeiten des Dinosaurier-Phishings sind vorbei. In 40 Prozent aller Fälle infiziert ein Internetsurfer seinen Rechner heute beim simplen Besuch einer Website - ohne dafür dubiose Seiten aufsuchen oder seltsame Dateien öffnen zu müssen", so Manske. E-Mails oder Pop-Up-Fenster, die zur Eingabe der Tan-Nummer oder anderer vertraulicher Authentifizierungsdaten auffordern, um diese abzugreifen ("Phishing"), seien heute perfekt in der Sprache der Banken formuliert und kämen auf Trefferquoten von nahezu 80 Prozent.

Schadensrekord im Jahr 2010 erwartet

Das Jahr 2010 werde ein Rekordjahr in Sachen Internetkriminalität, erklärte der Kriminalhauptkommissar. Das Bundeskriminalamt rechnet nach derzeitigem Stand allein im Bereich Online-Banking mit 5.500 gemeldeten Fälle, was nach Hochrechnungen der Beamten einer tatsächlichen Zahl von 12. bis 15.000 Straftaten entspricht.

Bei einer durchschnittlichen Schadenshöhe von 4.000 bis 6.000 Euro muss von einem Gesamtschaden zwischen 60 und 90 Millionen Euro in diesem Jahr ausgegangen werden. "Eine Schadenshöhe, über die die Kreditkartenbranche allerdings lacht", spottet Manske. Die Schäden im Bereich Kreditkartenbetrug seien in den vergangenen 18 Monaten explodiert.

Nachdem die Einführung der iTan die Betrugsfälle im Online-Banking nur für eine kurze Zeit von rund sechs Monaten eindämmen konnte, liege die große Hoffnung der Banken und Kreditkartenindustrie nun auf der Absicherung von Transaktionen durch eine SMS auf das Handy des Karteninhabers, die über den jeweiligen Zahlungsvorgang informiert. Doch auch hier warnt Manske vor zu viel Euphorie: "Die Smartphones sind das nächste Angriffsziel der Kriminellen. Erste Tests mussten wir hier bereits beobachten".

Nächstes Angriffsziel: Das Smartphone

Aufgrund der offenen Softwareplattformen vieler Smartphones sei auch das Handy kein sicherer Kanal zum Kunden mehr. "Erst wird die Handynummer abgegriffen, dann das Betriebssystem des Geräts ermittelt und schon ist der Trojaner mobil". Mit einer zweiten SIM-Karte in den Händen von Betrügern, verliere der Nutzer schließlich vollständig die Kontrolle über sein Mobiltelefon - ohne es zu bemerken.

Ein großes Sicherheitsproblem in der Online-Welt sieht Manske in den Nutzerkonten von Onlineshops, in denen eine ganze Fülle von sensible Kundendaten verkapselt seien. Ob Amazon, Ebay oder iTunes, überall sind vertrauliche Daten wie Name, Adresse, Handynummer, Kreditkarte und Kundenhistorien hinterlegt, die sich Kriminelle zunutze machen können, um eine falsche Identität vorzutäuschen. Zwei Ebay-Profile verknüpft mit den jeweiligen Paypal-Konten sind auf dem virtuellen Schwarzmarkt für 10 Euro zu haben.

Ein Amazon-Account über den regelmäßig hochwertige Elektronik bestellt wurde, ist auf derartigen Auktionsplattformen weitaus mehr wert als Account über den nur Bücher und CDs bestellt werden, da es über mehr Betrugspotenzial verfügt.

Auf diesen Schwarzmärkten tummeln sich nach den Beobachtungen des BKA nicht mehr nur hochprofessionelle, arbeitsteilig organiserte Gruppen sondern zunehmend auch Jugendliche und Internetnutzer mit allenfalls durchschnittlichen PC-Kenntnissen, die sich Anleitungen zum virtuellen Betrug aus dem Netz laden.

Keine Lösung für das Sicherheitsdilemma

Eine Lösung aus dem Sicherheitsdilemma im Online Banking und E-Commerce sieht Manske nicht. Die Einführung von neuen Sicherheitstechnologien verschaffe in der Regel nur eine Atempause von wenigen Monaten, wie das Beispiel der iTan gezeigt habe.

Der Experte rät, einen zweiten, sicheren Kommunikationskanal zum Kunden aufzubauen. Ob dies über das Handy erfolgen kann, dahinter macht Manske jedoch in Zeiten der Smartphones ein großes Fragezeichen.

Bei der Bekämpfung von Kartenbetrug hält der BKA-Mann vorkonfigurierbare Karten für sinnvoll, deren Einsatzbereich der Nutzer selbst festlegen kann. Das Sicherheitssystem "inControl" von Mastercard lässt solche Optionen zu. Hier kann der Karteninhaber selbst bestimmen, in welchen Ländern seine Karte zu Einsatz kommen darf, wie hoch die Limits liegen oder ob die Karte zur Zahlung im Internet genutzt werden darf. Allerdings bietet noch kein Mastercard-Emittent in Deutschland inControl an.

Das Verbot der Vorratsdatenspeicherung in Deutschland kritisierte Mirko Manske scharf: "Die einzigen Spuren, die Täter in der digitalen Welt hinterlassen sind IP-Adressen und Telefonverbindungen. Die nicht ermitteln oder gerichtsverwertbar nutzen zu können, ist so, als gebe es im Straßenverkehr zwar KfZ-Kennzeichen aber kein Kraftfahrzeugbundesamt in Flensburg." Auch länderübergreifende Ermittlungen behindere das deutsche Verbot der Telekommunikations-Datenspeicherung.