Alle Verfahren bergen Security-Risiken
Mehr als alle anderen Online-Dienste dürften die Bezahlangebote im Visier von Cyber-Kriminellen sein. Denn was ist lukrativer als ein erfolgreicher Bankraub? Wie es um die Sicherheit der einzelnen Anbieter steht, ist schwer zu sagen. Eines ist allen gemeinsam: der Einsatz von SSL (Secure Socket Layer). Wann auch immer sich ein Nutzer beim Zahlungsanbieter anmeldet, passiert das verschlüsselt. Ein Lauschangriff auf die Login-Daten sollte somit ausgeschlossen werden.
Nachdem aber auch SSL keinen vollkommenen Schutz bietet - so sind beispielsweise Man-in-the-Middle-Attacken durchaus realistisch, da viele Anwender eine auftauchende Zertifikatswarnung einfach ignorieren - droht an dieser Front ein klein wenig Gefahr. Der kürzlich mit viel Getöse bekannt gewordene Angriff auf die Zertifizierungsstelle Comodo hat zudem gezeigt, auf welch wackligen Füßen SSL steht.
Deutlich gefährlicheren Angriffen müssen sich die Betreiber von Bezahlsystemen erwehren, die auf PIN- und TAN-Verfahren setzen. Denn die weit verbreitete Malware Zeus und deren Nachfolger SpyEye sind spezialisiert auf das bösartige Manipulieren von Transaktionen, die per TAN gesichert sind. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) warnte jüngst sogar vor einer Variante, die per SMS verschickte TAN-Codes abfangen kann.
Zeus wird von seinen Machern für alle möglichen Banken und Zahlungsanbieter optimiert, so dass im Prinzip all diese Verfahren bedroht sind. Wobei es zuvor natürlich zu einer Infektion des PCs - im Fall des SMS-Angriffs auch des Smartphones - des Kunden gekommen sein muss. Aktuelle Antivirensoftware hilft, das Risiko zu minimieren.