Internetbetrüger haben einen neuen Versuch gestartet, um an Kontoinformationen von Bankkunden zu gelangen. Bei dem jüngsten Angriff stehen Nutzer des Online-Banking der Sparkassen im Visier. In einer gefälschten Mail mit Sicherheitshinweisen, die seit Montag in den elektronischen Postfächern landet, ist ein Link auf eine nachgemachte Sparkassenseite mit der URL www.sparkasse-hilfe.de eingebaut. Auch auf die Adresse www.sparkasse-online.com wird verwiesen. Auf den Seiten soll der Nutzer des Online-Banking seinen Anmeldenamen, die Bankleitzahl, seine PIN und zwei Transaktionsnummern (TAN) eingeben. Die Daten landen allerdings nicht bei der Sparkasse, sondern ermöglichen Betrügern den Zugriff auf das Konto. Die so genannten Phishing-Attacken, mit denen Kriminelle an Anmeldedaten für Bankkonten oder Ebay-Accounts kommen wollen, werden immer ausgeklügelter. Anfangs versuchten die Betrüger noch, Verbraucher in Deutschland mit englischsprachigen Mails zu ködern. Später nutzten sie im Internet frei zugängliche Übersetzungssoftware, was E-Mails mit grammatikalischen und Rechtschreibfehlern produzierte, die schon dadurch leicht als Fälschungen auszumachen waren. Der Karlsruher Sicherheitsexperte Christoph Fischer spricht von "gigantischen Ausmaßen" der Phishing-Attacken. "Weltweit gibt es täglich dutzende Vorfälle", sagt er. Das Phishing sei eine Wachstumsbranche. In Deutschland werde allerdings viel getan, um den Betrügern Einhalt zu gebieten. Es gebe vielfältige technische Möglichkeiten, um die gefälschten Internetseiten abzuschalten und die Geldströme zu verfolgen sowie illegale Geldtransfers zu stoppen. Details zu den technischen Maßnahmen wollte er mit Hinweis auf laufende Ermittlungen nicht nennen.
Dank der Früherkennungs- und Notfallmaßnahmen hielten sich die Schäden hierzulande in Grenzen. In Großbritannien wird der Schaden durch Phishing-Attacken für 2005 auf rund 70 Mio. Euro geschätzt. In Deutschland gebe es kein Meldewesen, daher würden hier keine Zahlen vorliegen. Inzwischen sind jedoch auch die Phishing-Versuche in Deutschland so gut gemacht, dass sie erst auf den zweiten Blick als Fälschung auffallen. Sicherheitsexperten weisen darauf hin, dass Banken grundsätzlich nie in E-Mails oder per Telefon nach Passwörtern oder PIN-Nummern fragen. Auch sollten Nutzer des Online-Banking nie auf Internet-Adressen in E-Mails klicken, sondern sich grundsätzlich nur auf der Homepage des Unternehmens einloggen, nachdem sie die URL per Hand eingetragen haben oder einen vorher abgespeicherten Favoriten nutzen. Sonst kann es auch passieren, dass ein Virus auf dem Computer landet. In einer Ende Mai zirkulierenden gefälschten Telekom-E-Mail sollten die Empfänger offensichtlich durch eine angeblich hohe Telefonrechnung dazu bewogen werden, auf einen Anhang zu klicken. Öffnet der Anwender diesen, wird ein Trojaner installiert, der schädliche Software aus dem Internet nachlädt. Als Absender der E-Mail ist Rechnung-Online@t-com.net eingetragen. In der Mail werden allerdings Sonderzeichen wie Umlaute nicht korrekt dargestellt, auch ein Indiz, dass es sich um eine Fälschung handelt.
Viele Sparkassen haben inzwischen auf ihren Internet- und Online-Banking-Auftritten die Warnhinweise ganz nach oben geschoben. In den Filialen können sich die Kunden in Broschüren zum Thema Sicherheit beim Online-Banking informieren. Der DSGV hat bei der Kriminalpolizei in Köln Strafanzeige erstattet. Auch einzelne Sparkassen hätten Anzeige erstattet, sagte Roth. Allein mit Aufklärung ist dem Problem des Phishing nach den Worten Fischers jedoch nicht beizukommen. "In einem aktuellen Fall hat jeder 10.000 Empfänger einer Phishing-Mail seine Daten angegeben." Auch schlechtes Englisch oder laienhaft gebaute Webseiten würden die Nutzer nicht abhalten, ihre Daten einzugeben. Es müsse eine richtige Authentifikation der Nutzer geben, sagte er. Zwar würden die Banken daran arbeiten, aber mit einer schnellen Lösung sei nicht zu rechnen.