Ratgeber Ratlos

NDR deckt Sicherheitslücke beim Onlinebanking auf - und schießt über das Ziel hinaus

Einen Skandal deckten die Redakteure des ARD-Ratgebers Technik am Sonntag auf. Die Homebanking-Server der HypoVereinsbank hatten so große Sicherheitslöcher, dass sich Hacker im Auftrag der Fernsehredakteure die Daten über anderthalb Millionen Onlinebuchungen besorgen konnten. Doch anstatt Verbraucheraufklärung zu betreiben, schürte die Sendung lieber Panik und verwies auf eine kostenintensive 0190er-Nummer.

Man sollte Gott danken, dass ARD-Redakteure so wenig kriminelle Energie haben. Mehrfach versicherte Moderator Martin Wilhelmi, die Redakteure könnten zusammen mit den von ihnen engagierten Hackern längst Millionäre sein - wenn sie ihr Wissen genutzt hätten. Wahr ist: die Hacker haben eine eklatante Sicherheitslücke entdeckt. Kundendaten und Pins lagerten zusammen in einer Datei auf einem unsicheren Webserver - größer kann die Sicherheitslücke kaum sein.

Doch leider scheiterte die Redaktion daran, den Zuschauern die wirkliche Brisanz der Entdeckung mitzuteilen. So kann ein Daten-Einbrecher mit der PIN alleine kein Geld abheben - auch keine Daueraufträge manipulieren, wie der NDR-Beitrag suggeriert. Dazu gehört eine Transaktionsnummer TAN, die nur einmal gültig ist.

Um an die TAN zu kommen, bemühten die Ratgeber-Hacker einen Trojaner, wie schon bei einem Beitrag im Dezember letzten Jahres (siehe ARD-Ratgeber entdeckt Trojaner und Identitätsklau). Im Bild war das altbekannte SubSeven zu sehen. Der Hacker wartet die Eingabe der TAN ab und lässt den Rechner des Opfers abstürzen.

Dazu gehört aber eine ganze Reihe von Voraussetzungen: Zuerst muss das Trojanische Pferd installiert sein und dem Hacker zur Verfügung stehen. Der Hacker lauert natürlich genau in dem richtigen Augenblick vor dem Computer und bringt den Opferrechner in Sekundenbruchteilen zum Absturz. Erst dann kann er mit der TAN Geld auf sein Konto überweisen. Wären die Hacker auf diese Weise vorgegangen, hätten sie für die versprochenen Millionenbeute wohl Monate gebraucht und wären eher im Gefängnis gelandet als in der Karibik. Dazu fragt sich der aufmerksame Zuschauer: Wozu sollte ein Hacker den Webserver angreifen, wenn er PIN und TAN sowieso per Trojaner bekommt?

Wer vom Ratgeber tatsächlich Rat erwartete, wurde enttäuscht. Zwar verwies die Sendung auf sicherere HBCI-Lösungen mit externer Nummerntastatur für PINs und TANs. Kein Wort über Abbuchungslimits, kein Hinweis auf Vertragsbedingungen, die die Rückbuchung falscher Überweisungen sicherstellen. Sich vor Trojanischen Pferden zu schützen, erscheint im Beitrag gänzlich unmöglich. Geradezu zwanghaft muss die Testperson im Beitrag die Datei moorhuhn.exe öffnen. Dass man nicht jedes Programm einfach installieren sollte, hört man dann für 2,42 Mark pro Minute von der Sicherheitsfirma, die das Loch entdeckt hatte. Dort erfahren besorgte Kunden, dass der Ratgeber-Hacker weiterhin unbesorgt selbst Online-Banking betreibt.

Alternativ hat der Ratgeber Technik auch einen Buchtipp parat. Die mit dem Hack beauftragte Firma hat nämlich ein Buch geschrieben, das im November erscheint: Hackerzbook. Auf der Webseite wird es schon vor dem ersten Verkaufstag als "Das Standartwerk über Netzwerk- und Internetsicherheit". Die Werbung lässt das Werk weniger als seriöses Buch über Sicherheit erscheinen, sondern eher als Scriptkiddie-Fibel (siehe The Script Kiddies Are Not Alright).

"Lernen Sie Hacken" steht auf einem Banner und "Wie knacke ich ein UBB?" Des Weiteren verspricht uns die Webseite zum Buch die Kapitel "DOS - Attacken richtig und gezielt einsetzen" und "Mailbomber und SMS - Bomber einsetzen". Sind das die Einsatzgebiete für IT-Sicherheitsexperten? Irritierend ist auch, dass gerade eine Verbrauchersendung auf eine Seite verweist, die eine getarnte 0190er-Nummer (+ 49 190) als Kontaktnummer angibt - ohne Angabe der Kosten. Zum Thema sicheres Online-Banking und Trojaner findet der besorgte Kunde selbst bei den gescholtenen Banken spezifischere Informationen.

Offenbar wollte die Redaktion auf einen Schock-Effekt setzen, um die Banken zu bekehren. Kein Geldinstitut wurde vorher informiert. Bei der HypoVereinsbank denkt man darüber nach, Strafanzeige zu stellen. Die PIN-Nummern will man vorerst nicht austauschen. Dass die Bank nach der Sendung am Sonntag für Stunden komplett vom Netz verschwunden war, führt eine Sprecherin auf routinemäßige Wartungsarbeiten zurück. Wenig glaubwürdig - nicht mal eine Informationsseite war noch online. Immerhin zeigt sich die Bank zuversichtlich, dass die Sicherheitslücken gestopft seien: "Der Einbruch war nur bei unserem alten System möglich, das wir vor mehr als zwei Wochen abgestellt haben."

Ratgeber Technik hat weitere dreizehn vermeintlich unsichere Internetbanking-Angebote aufgelistet. Doch welche Sicherheitslücken die Banken haben, verrät die Redaktion nicht. Hinter dem Hack bei der HypoVereinsbank steckte nach einer ersten Pressemitteilung ein Konfigurationsfehler bei dem eingesetzten Internet Information Server (IIS 4.0) von Microsoft.

Die andere Banken können mit der Meldung gar nichts anfangen. Mit ihnen hatte sich bis Montag niemand in Verbindung gesetzt. Die Deutsche Bank ist mit gleich zwei Angeboten auf der Liste der unsicheren Banken vertreten. "Wir haben bei der Hotline nachgefragt - leider konnte man uns da nicht weiterhelfen", sagt ein Sprecher. Ein IIS-Fehler fällt hier aus, da die Bank die Software gar nicht einsetzt. Ebenso verhält es sich bei der Aachener Bank.

Fazit: Der Ratgeber Technik hat tatsächlich einen Skandal aufgedeckt. So ungesichert dürfen Banken nicht mit den Daten ihrer Kunden umgehen. Allerdings warf die Redaktion zu viele Nebelkerzen: die angegebene Methode funktioniert so nicht, wie sie gezeigt wurde. Was bei den anderen Banken nicht in Ordnung war, kann man nur raten. Mit der zweifelhaften Buchempfehlung und der 0190-Nummer verspielt der Ratgeber einen großen Teil seiner Glaubwürdigkeit.