Kontenknacker im Internet: Wer die Cyber-Täter sind und wie man sich schützen kann

Wie internationale Banden Codes knacken und Konten plündern. Und warum die Behörden dem Verbrechen im World Wide Web nahezu machtlos gegenüberstehen.

Obwohl er zu Hause war, hatte Gernot Wolfgruber (Name von der Redaktion geändert) keine Chance, den Einbruch zu verhindern. Wie denn auch? Der Täter musste keine Türe aufzwängen, kein Fenster einschlagen, keine Schubladen durchwühlen. Er brauchte nicht einmal die Wohnung zu betreten – und konnte trotzdem auf einen Schlag mehr als 8500 Euro erbeuten.

Als es vor knapp drei Wochen, Anfang Jänner, passierte, saß Gernot Wolfgruber am Schreibtisch vor dem Computer. Er war per Internet mit seinem Kreditinstitut, einem der größten Österreichs, verbunden und wollte eine Überweisung abschließen, als am Bildschirm eine Fehlermeldung auftauchte: Programm abgestürzt, Neustart erforderlich, kein Problem.

Ein paar Minuten später lief der Rechner wieder.

Bloß: Es gab nichts mehr zu überweisen. Das Konto war bis auf den letzten Cent ausgeplündert.

Wolfgruber war zum Opfer einer Verbrechenssparte geworden, die hierzulande noch von keiner offiziellen Statistik erfasst wird: der so genannten Cyberkriminalität.

Bislang unbekannten Tätern war es gelungen, den Rechner über ein so genanntes Trojaner-Programm derart zu manipulieren, dass das Geld auf ein anderes Konto umgeleitet wurde – ohne dass der Kunde etwas dagegen tun konnte.

In den vergangenen Monaten haben sich die Attacken auf österreichische Bankkunden, die das Internet zur Erledigung ihrer Geldgeschäfte nutzen, gefährlich gehäuft. Das Spektrum reicht von plump formulierten E-Mails über faule Links bis hin zur direkten Manipulation von unzureichend geschützten Computern.

Die Attacken. Besonders auffällig waren drei Wellen des so genannten Phishing Anfang Jänner. Dabei wurden an österreichische E-Mail-Adressen nicht weniger als geschätzte 1,2 Millionen Nachrichten versandt: erst im Namen der Raiffeisenbanken, dann vorgeblich von der Bank Austria Creditanstalt (BA-CA) und schließlich von der vermeintlichen Volksbanken-Gruppe.

In den elektronischen Schreiben wurden die Empfänger unter Androhung einer Kontensperre aufgefordert, eine nur schwer als Fälschung erkennbare Website anzuwählen und dort zur angeblichen „Authentifizierung“ sensible persönliche Bankdaten wie Transaktionsnummern (TANs) bekannt zu geben. Waren die erst eingetippt, hatten die Kriminellen damit quasi bereits den Schlüssel zum Safe in der Hand.

Phishing ist derzeit die banalste, gleichzeitig aber effektivste Form der Cyberkriminalität. Unter hunderttausenden Empfängern finden sich garantiert immer noch ein paar, die darauf hereinfallen.

Bei Gernot Wolfgruber lag der Fall anders. Er dürfte beim Online-Banking unbemerkt auf eine gefälschte Website gelotst worden sein. Während er glaubte, Transaktionsinformationen an seine Bank zu übermitteln, lieferte er sie in Wirklichkeit den Cyberdieben.

Gesicherte Zahlen über Schadensfälle in Österreich existieren nicht. Die BA-CA bezifferte die 2006 geknackten Onlinekonten jüngst mit 450. Die Bawag meldet für diesen Zeitraum 150. Andere Großbanken wie Raiffeisen, Volksbanken und Erste Bank wollen vorsichtshalber keine diesbezüglichen Auskünfte geben.

Nach vorsichtigen Schätzungen der Arge Daten, Österreichs wichtigster Datenschutzorganisation, dürften alleine im vergangenen Jahr mindestens 3000 Personen Opfer von Diebstahl im Internet geworden sein. „Wir haben den Schaden in Österreich vergangenes Jahr in einer Studie sehr vorsichtig mit einigen hunderttausend Euro angenommen“, sagt Hans Zeger, Obmann der Arge Daten. „Er liegt mit hoher Wahrscheinlichkeit darüber.“

Und täglich werden neue Fälle bekannt. „Erst vor Kurzem konnten auf Konten in Litauen 90.000 Euro gestoppt werden, die von österreichischen Bankkonten entwendet wurden“, sagt Rudolf Unterköfler, Leiter des Büros für Wirtschafts- und Finanzermittlungen im Bundeskriminalamt.

Auf den Websites sämtlicher österreichischen Banken prangen inzwischen auffällige Warn- und Sicherheitshinweise. In erstaunlichem Gegensatz dazu bemühen sich die Geldhäuser gleichzeitig aber, das Thema möglichst herunterzuspielen. Die BA-CA etwa wertete jüngst eine Umfrage, wonach neun von zehn Internetnutzern ihrer Bank weiterhin vertrauen, als Erfolg. Bleiben immerhin zehn Prozent, die ihr Geld dort nicht gut aufgehoben wähnen. Die Frage nach den Sicherheitsstandards beantworteten neun Prozent mit „nicht“ und 44 Prozent gerade noch mit „ausreichend“. Auch nicht unbedingt ein Ruhmesblatt.

„Die Täter haben dazugelernt“, muss BA-CA-Informatikvorstand Robert Zadrazil zähneknirschend einbekennen. „Waren es früher hauptsächlich kommerzielle Dienstleister, die attackiert wurden, so ist es jetzt das schwächste Glied in der Kette, der Privatkunde.“

Die Methoden sind inzwischen so vielfältig wie das Internet selbst. Es beginnt bei E-Mails, in denen der Empfänger aufgefordert wird, seine Daten auf gefälschten Websites einzugeben, und endet bei Computerangriffen durch Plünderprogramme.

Die Tätergruppen, weiß Kriminalist Unterköfler, sind arbeitsteilig strukturiert. Weltweit soll es siebzig bis achtzig davon geben – und sie sind dick im Geschäft. Nach Erhebungen der Anti-Phishing-Plattform „Phishtank“ waren allein am Donnerstag vergangener Woche 8959 gefälschte Websites online. Die meisten davon in den USA und China.

Mitteleuropa, und damit auch Österreich, wird währenddessen vom ehemaligen Ostblock aus bearbeitet. Die meisten der Kriminellen sind in Russland und den jungen EU-Mitgliedsstaaten Bulgarien, Rumänien, Estland und Litauen beheimatet.

Das Netzwerk. Bei ihren Diebszügen bedienen sich die Banden großer Rechnerkapazitäten, die in so genannten „Serverfarmen“ auf der ganzen Welt verteilt sind. Vorzugsweise befinden sich diese in Südostasien, zunehmend aber auch in Chaosstaaten wie etwa Afghanistan.

Hintergrund: Sobald Banken auf gefälschte Websites aufmerksam werden, versuchen sie umgehend, beim Betreiber des Servers eine Sperre zu erwirken. „In aller Regel schaffen wir das innerhalb eines halben Tages“, sagt BA-CA-Vorstand Zadrazil: „Wenn der Server aber in Afghanistan steht, sind wir chancenlos.“

Die Bosse der Banden stammen aus dem organisierten Verbrechen. Einschlägiges Internet-Know-how brauchen sie nicht: Das wird zugekauft, etwa von Studenten, die für wenig Geld „Trojaner“ entwerfen, die in fremde Computer eingeschleust werden können. „Über das Internet kann man inzwischen detaillierte Anweisungen erhalten, wie man Bankkonten von außen knackt“, so Thomas Havranek, Chef des Wiener Sicherheitsberatungsunternehmens MIG Austria. „Man muss nur wissen, wo man diese Informationen sucht.“

Auch Mail-Adressen von potenziellen Opfern gibt es im Web zu kaufen. Sie werden von spezialisierten Händlern mit so genannten „Crawlern“, also Suchprogrammen, gesammelt und für Bruchteile von Cents pro Stück feilgeboten.

Daneben beschäftigen die Banden offenbar auch „Analysten“, die lohnende Angriffsziele identifizieren. Das lässt sich aus der Tatsache schließen, dass die jüngsten Phishing-Mails gezielt auf den österreichischen Bankenmarkt zugeschnitten waren.

Ganz unten in der Hierarchie der Banden rangieren zwei Gruppen: die „Finanzmanager“, deren hochtrabender Titel ihrer wahren Tätigkeit Hohn spricht. Und die Geldeintreiber, die einschreiten, wenn es Probleme dabei gibt, die Beute ins Ausland zu schaffen.

Die Arbeitsteilung. Die Tat beginnt in der Regel lange vor dem eigentlichen Klau – mit einem Jobangebot per E-Mail (siehe Kasten „Nur Bares ist Wahres“). Die „Finanzmanager“, die sich darauf einlassen, gehen ein hohes Risiko ein: „Sie bekommen es mit Strukturen der organisierten Kriminalität zu tun“, warnt Kriminalist Unterköfler. „Damit ist erstens nicht zu spaßen. Und zweitens machen sie sich mit hoher Wahrscheinlichkeit strafbar.“

Auf ihrem Konto landet die Beute aus dem Internetangriff, sie haben die Aufgabe, das Geld umgehend nach Erhalt an die eigentlichen Täter weiterzuleiten. Das kann beispielsweise über Eintreiber funktionieren. Vergangenen Juni wurde am Landesgericht Wien ein 34-jähriger Kasache verurteilt, der für eine russische Bande bei „Finanzmanagern“ in Österreich und Deutschland Geld persönlich abgesammelt hatte: nicht weniger als 101.764 Euro binnen sechs Wochen. „Das war nur ein kleiner Fisch“, sagt sein Verteidiger Elmar Kresbach. „Dahinter stand eine streng hierarchische, in abgeschottete Zellen unterteilte Organisation. Mit heutigen Polizeimethoden kommt man höchstens an einen Teil der mittleren Bandenebene heran.“

Tatsächlich ist allen Bemühungen europäischer Behörden zum Trotz zuletzt nur ein bedeutender Fang gelungen: eine Tätergruppe aus Estland, die auch in Österreich aktiv war. Über die näheren Umstände wollen die dortigen Behörden keine Auskunft geben: „Dafür ist es aus ermittlungstaktischen Gründen noch zu früh“, sagt Kadri Põldaru, Sprecherin der estnischen Polizei.

Im Fall von Gernot Wolfgruber, der Anfang Jänner über eine in Österreich neu aufgetauchte Spionagesoftware beim Online-Banking 8500 Euro verloren hat, lief der Betrug über die Bankverbindung eines Arbeitslosen, der sich – wissentlich oder nicht – für die Internet-Mafia verdingt und den Betrag umgehend via Western Union nach Russland überwiesen hat. Er bekommt jetzt Probleme: Schließlich hat er Bankgeschäfte ohne einschlägige Konzession abgewickelt. Strafrechtlich könnte ihm zusätzlich Unbill drohen, wenn ihm nachgewiesen wird, dass er vorsätzlich Geldwäsche betrieben hat. Und wenn die Bank gezwungen ist, Wolfgruber den Verlust zu ersetzen, wird sie wohl versuchen, sich an dem kleinen „Finanzmanager“ schadlos zu halten.

Immerhin: Bei den österreichischen Staatsanwaltschaften sind inzwischen mehr als einhundert Anzeigen gegen Helfershelfer anhängig. Und die Internetbanden haben ihre Strategie bereits wieder modifiziert: „Sie gehen jetzt dazu über, das Geld von geknackten Konten direkt zu Strohmännern im Ausland umzuleiten“, weiß Kriminalist Unterköfler.

Die Vertreter der Kreditwirtschaft beeilen sich, darauf hinzuweisen, dass bislang ausnahmslos jeder Schaden auf dem „Kulanzweg“ bereinigt worden sei. „Wenn Dritte unbefugt über ein Konto disponieren, ohne dass den Kunden ein Verschulden trifft, kann sich die Bank nicht schadlos halten“, so Peter Kolba, Chefjurist des Vereins für Konsumenteninformation (VKI). „Wenn sich aber herausstellt, dass der Kunde selbst seine Daten an die Täter weitergegeben hat, schaut die Welt theoretisch schon wieder anders aus.“

Letzten Endes, so Kolba, würden die zusätzlichen Kosten über kurz oder lang über höhere Gebühren wieder auf die Kunden abgewälzt.

Die Lücken. „Wir wollen, dass die Banken ihr Verhalten ändern“, sagt Hans Zeger von der Arge Daten. „Sie sollen ihre Online-Banking-Systeme endlich sicherer machen.“ Eine kürzlich veröffentlichte Studie des Vereins hat zum Teil schwere Mängel bei einzelnen Banken ergeben. Demnach wurden lediglich zwei Institute (Bank für Kärnten und Steiermark, Bank für Tirol und Vorarlberg) mit „gut“ bewertet, die größten Banken des Landes, BA-CA, Erste Bank, Raiffeisen, Hypo-Group Alpe-Adria und Volksbanken, kamen über „befriedigend“ beziehungsweise „genügend“ nicht hinaus. Resümee der Expertise: „In keinem Fall wurde ein sicherheitstechnisch optimales, benutzerfreundliches und vertragsrechtlich unbedenkliches System angeboten, kein System erreichte 100 Prozent.“

Die Banken sehen das naturgemäß anders. „Herrn Zegers Darstellungen müssen mit Vorsicht genossen werden“, so ein hochrangiger Raiffeisen-Manager: „Er macht alle Systeme schlecht, weil er seine eigene Schutzsoftware an den Mann bringen will.“

Wenn Dummheit im Spiel ist, helfen freilich auch die besten Sicherheitstipps nichts. So soll es in Österreich zuletzt mehrfach passiert sein, dass Kunden auf Phishing-Mails reagiert haben, obwohl sie bei der angeführten Bank gar kein Konto hatten. Abgezockt wurden sie trotzdem.

Und wenn die nackte Angst Platz greift, hilft erst recht nichts mehr. In den USA, wo die Trends der Internetkriminalität gemacht werden, sorgt derzeit eine brachiale Methode für Wirbel.

In E-Mails werden Internetnutzer von angeblichen Profi-Killern kontaktiert. Die teilen allen Ernstes mit, dass sie den Auftrag hätten, den Empfänger umzubringen. Und erwähnen ganz beiläufig die Wohnadresse und Vornamen der Kinder ihrer Zielperson.

Das vermeintlich rettende Angebot: Leben gegen Geld.

Von Michael Nikbakhsh und Martin Staudinger