Cracker plündert Online-Bankkonten

22.07.2003
Ob mehr als neun Kunden von Absa, der größten Bank Südafrikas, durch einen unbekannten Cracker geschädigt wurden, kann die Bank derzeit nicht sagen. Gewiss ist aber, dass einer von ihnen, der Rechtsanwalt Harry de Villiers, den Verlust von rund 300.000 Rand (rund 34.450 Euro) beklagt. Der Verlust geht auf das Konto des Crackers, der sich bei den Kunden Zugangscodes für ihre Konten erschlich - .mit Hilfe eines sogenannten "Keylogger"-Programms Jetzt müssen die Kunden, die insgesamt um rund 55.000 Euro geschädigt worden sein sollen, nachweisen, dass sie ihre Rechner gegen Attacken genügend geschützt haben. Denn die Bank ist sich sicher, dass sie die Schuld für die Kontenabbuchungen nicht treffe. "Auf Seiten der Bank", versicherte Absa-Sprecher Richard Peasey, "gab es keine Sicherheitsverletzung". Natürlich werde die Bank, die immerhin rund 400.000 Online-Kunden zählt, alles tun, um dem Cracker auf die Spur zu kommen. Doch für gehackte Kundenrechner und die möglichen unerfreulichen Konsequenzen könne sie aus ihrer Sicht nicht verantwortlich gemacht werden. Sicherheitsexperten vermuten, dass die Kunden-Rechner durch ein "Trojanisches Pferd" ausgespäht wurden. Der Cracker habe den Absa-Kunden eine Software mittels Mail auf die Rechner geschickt, die, einmal aktiviert, gezielt jeden Tastaturanschlag protokolliert haben muss und diese Informationen an ein Mailkonto des Crackers weitergeleitet habe. Mit diesen offensichtlich sogar in Echtzeit abgerufenen Informationen sei es ein Leichtes gewesen, die protokollierten Zugangspassworte, die PIN-Nummern und sogar die sogenannten TAN-Nummern (einmal gültige Transaktionsnummern, die bei jedem Kontenzugang angegeben werden müssen) illegal zu verwenden. Absa-Sprecher Pearsey erklärte, bei diesen Fällen handle es sich um ID-Diebstahl. Er schließe einen Hack des hauseigenen Banksystems aus. Diese Folgerung wirft für Online-Banking-Kunden eine Reihe von Fragen auf. Zum Beispiel: Habe ich meinen Rechner gegen Attacken geschützt? Verwende ich aktuelle Virenprogramme und Software-Updates? Was mache ich mit Mails, deren Absender ich nicht kenne? Welche Verschlüsselung verwende ich bei der übermittlung meiner Daten? Welche Sicherheiten bei dem Datenaustausch bietet mir meine Online-Bank? Berät mich die Bank bei meiner Rechnerkonfiguration? Wie sehen die Online-Banking-Verträge im Schadensfall vor? Einzige Beruhigung für die geschädigten Kunden: Das Eigeninteresse der Bank veranlasst diese dazu, den Cracker ausfindig zu machen. Doch ob das für Rechtsanwalt de Villiers bedeutet, dass er sein Geld zurück bekommen wird, ist völlig offen. (wl)

Ob mehr als neun Kunden von Absa, der größten Bank Südafrikas, durch einen unbekannten Cracker geschädigt wurden, kann die Bank derzeit nicht sagen. Gewiss ist aber, dass einer von ihnen, der Rechtsanwalt Harry de Villiers, den Verlust von rund 300.000 Rand (rund 34.450 Euro) beklagt. Der Verlust geht auf das Konto des Crackers, der sich bei den Kunden Zugangscodes für ihre Konten erschlich - .mit Hilfe eines sogenannten "Keylogger"-Programms Jetzt müssen die Kunden, die insgesamt um rund 55.000 Euro geschädigt worden sein sollen, nachweisen, dass sie ihre Rechner gegen Attacken genügend geschützt haben. Denn die Bank ist sich sicher, dass sie die Schuld für die Kontenabbuchungen nicht treffe. "Auf Seiten der Bank", versicherte Absa-Sprecher Richard Peasey, "gab es keine Sicherheitsverletzung". Natürlich werde die Bank, die immerhin rund 400.000 Online-Kunden zählt, alles tun, um dem Cracker auf die Spur zu kommen. Doch für gehackte Kundenrechner und die möglichen unerfreulichen Konsequenzen könne sie aus ihrer Sicht nicht verantwortlich gemacht werden. Sicherheitsexperten vermuten, dass die Kunden-Rechner durch ein "Trojanisches Pferd" ausgespäht wurden. Der Cracker habe den Absa-Kunden eine Software mittels Mail auf die Rechner geschickt, die, einmal aktiviert, gezielt jeden Tastaturanschlag protokolliert haben muss und diese Informationen an ein Mailkonto des Crackers weitergeleitet habe. Mit diesen offensichtlich sogar in Echtzeit abgerufenen Informationen sei es ein Leichtes gewesen, die protokollierten Zugangspassworte, die PIN-Nummern und sogar die sogenannten TAN-Nummern (einmal gültige Transaktionsnummern, die bei jedem Kontenzugang angegeben werden müssen) illegal zu verwenden. Absa-Sprecher Pearsey erklärte, bei diesen Fällen handle es sich um ID-Diebstahl. Er schließe einen Hack des hauseigenen Banksystems aus. Diese Folgerung wirft für Online-Banking-Kunden eine Reihe von Fragen auf. Zum Beispiel: Habe ich meinen Rechner gegen Attacken geschützt? Verwende ich aktuelle Virenprogramme und Software-Updates? Was mache ich mit Mails, deren Absender ich nicht kenne? Welche Verschlüsselung verwende ich bei der übermittlung meiner Daten? Welche Sicherheiten bei dem Datenaustausch bietet mir meine Online-Bank? Berät mich die Bank bei meiner Rechnerkonfiguration? Wie sehen die Online-Banking-Verträge im Schadensfall vor? Einzige Beruhigung für die geschädigten Kunden: Das Eigeninteresse der Bank veranlasst diese dazu, den Cracker ausfindig zu machen. Doch ob das für Rechtsanwalt de Villiers bedeutet, dass er sein Geld zurück bekommen wird, ist völlig offen. (wl)

Zur Startseite