André Nash leitet die Themengruppe Banktechnologie und Sicherheit beim Bankenverband. Anlässlich des europäischen Aktionsmonat für Cybersicherheit (European Cyber Security Month, ECSM) haben wir ihn gefragt, wie man sich am besten vor Cyberangriffen schützen kann.
1. Wo liegt die größte Bedrohung durch Cyber-Kriminelle für Bankkundinnen und Bankkunden?
Wir beobachten seit einigen Jahren verstärkte Angriffe durch das sogenannte Social Engineering, mit denen Cyberkriminelle versuchen, ihre Opfer gezielt zu manipulieren. Da es den Angreifern nicht so einfach gelingt, die vielfältigen Sicherheitsmaßnahmen der Banken im Online- und Mobilebanking direkt zu überwinden, versuchen sie es über den Umweg der Manipulation. Mit zuvor ausgespähten persönlichen Daten werden Geschichten konstruiert, die den Opfern glaubhaft erscheinen.
Die Inhalte der Phishing-Mails werden dabei höchst aktuell gehalten und neue Trends schnell aufgegriffen. Die vermeintlichen Szenarien nutzen reale Ereignisse und setzen auf Ängste oder Hoffnungen von den Menschen, um sie schlicht und einfach hereinzulegen. Zudem gehen die Kriminellen dabei äußerst professionell vor und nutzen alle verfügbaren technische Möglichkeiten: Mit Unterstützung von Sprachprogrammen können beispielsweise die Texte in den Phishing-Mails noch besser nachgebildet und Fehler ausgemerzt werden.
2. Warum fallen Menschen auf die Betrüger herein, Phishing ist doch kein neues Phänomen?
Häufig wird mit psychologischen Tricks gearbeitet und ein großer emotionaler oder zeitlicher Handlungsdruck aufgebaut. Hierbei wird auch jedes verfügbare technische Hilfsmittel genutzt, um etwas eine korrekte Rufnummer beispielsweise der Bank im Display anzuzeigen, Websites täuschend echt nachzubilden oder sogar Stimmen digital zu verändern. Am Ende klicken immer wieder einige Personen auf betrügerische Links, geben persönliche Daten oder gar Transaktionsnummern (TANs) preis oder tätigen selbst eine Zahlung direkt an die Betrüger.
Bei betrügerischen Anrufen angeblicher Bankmitarbeiter kommen zudem verschiedene Faktoren zusammen: Zum einen ist die Telefonnummer des Anrufers gefälscht, so dass es den Anschein hat, dass tatsächlich die eigene Bank anruft. Zum anderen verhalten die Anrufer sich sehr professionell und vertrauenserweckend. Entweder hilfsbereit in einer Notsituation, weil angeblich das Konto von Verbrechern gehackt wurde und man hier schnell eingreifen müsse, um weiteren Schaden oder gar die eigene Strafverfolgung zu vermeiden - oder auch bedrohlich, wenn eine vermeintliche Polizeibehörde von Straftaten berichtet, in die man angeblich reingezogen wurde und nun die eigene Verhaftung oder die von Familienmitgliedern verhindert werden müsse.
3. Wie können wir uns schützen?
Social Engineering ist deshalb so gefährlich, weil damit die sehr effektiven technischen Sicherheitsmaßnahmen der Kreditinstitute überwunden werden können. Wenn der Mensch selbst eine Fernwartungssoftware installiert und damit Kriminellen Zugang zu seinen Geräten erlaubt, wenn er seine Daten auf gefälschten Websites eingibt oder TANs am Telefon herausgibt, wird Betrügern Tür und Tor geöffnet. Das ist praktisch so, als wenn Sie Ihre Wohnungstür offen oder den Schlüssel draußen stecken lassen. Ein Einbruch mit physischer Gewalt ist dann gar nicht mehr nötig.
Die allermeisten von uns nutzen und schätzen die Möglichkeiten der Digitalisierung für die alltäglichen Bankgeschäfte. Es soll möglichst bequem und schnell gehen, aber die Zeit für Sicherheit müssen wir uns nehmen. Als Kunde oder Kundin sind wir zum einen gefordert, unsere privaten Geräte sicherheitstechnisch auf dem neusten Stand zu halten. Zum anderen müssen wir im digitalen Raum höchst wachsam sein und uns mit unserer persönlichen Cybersicherheit auseinandersetzen. Sichere Passwörter, zwei-Faktor-Authentifizierung, Datensparsamkeit gehört dazu. Und wer von bestimmten Betrugsszenarien schon mal etwas gehört hat, fällt gegebenenfalls auch auf neue Varianten nicht so schnell herein.