Keine Anlaufstelle am Wochenende

Die Nachricht, welche tausende von Schweizern am Sonntagmorgen in ihrem elektronischen Briefkasten fanden, stammte augenscheinlich von Postfinance, war englisch und inhaltlich so blauäugig wie technisch raffiniert. Postfinance wolle, so die Mitteilung, die E-Mail-Adressen ihrer Nutzer verifizieren, und man solle auf der angegebenen Webseite seine Angaben eintippen. Wer auf den Link klickte, wurde zur Eingabe von Passwort und Strichlistennummern aufgefordert.

Ein Klarer Fall von Phishing, also dem plumpen Versuch, via optisch perfekt nachgebauter Webseiten an vertrauliche Informationen zu kommen. «So blöd, darauf hereinzufallen, ist keiner», dachte man sich wohl auch bei Postfinance, deren Hotlines nur zu Bürozeiten bedient werden. Einige fielen dennoch darauf ein und waren in der Folge lange hilflos. Die Post hat allerdings aus dem Vorfall gelernt und betreut nun über die durchgehend bediente Sperrnummer für Postcards (Tel. 0800 88 88 77) auch ihre Telebanking-Kunden. Zu den 600000 Postfinance-Anwendern gehören immerhin 100000 Unternehmen, von denen ein Grossteil elektronische Zahlungsübermittlungen nutzt.

Geregelte Arbeitszeiten hat man übrigens auch bei Melani, der Melde- und Analysestelle Informationssicherung des Bundes. Via speziellem Meldeformular ging der Vorfall dort bereits Samstagnacht ein, wurde jedoch erst am Montagmorgen quittiert, nachdem Nachrichtenagenturen bereits Samstagnacht darüber informiert hatten. «Melani wurde in erster Linie zum Aufbau und zur Pflege eines geschlossenen Kundenkreises ins Leben gerufen. Es gehört nicht zu unseren Aufgaben, als eine 7x24-Meldestelle für Fälle von Internetkriminalität zu fungieren», erklärt dazu Marc Henauer, Leiter Lagezentrum Melani.

Am Montag reagierten dann aber die Pöstler zügig. Das Phi-shing-Mail versuchte, die nächsten fünf Streichlistennummern zu ergaunern. Postfinance erklärte deshalb flugs die nächsten Streichlistennummern aller Nutzer für ungültig. Der Raubzug, welcher von der russischen Internet-Domäne «da.ru» aus gestartet wurde, hatte aber bereits Opfer gefordert. Bei einigen Kunden wurde Geld wegtransferiert. «Postfinance hat die entstandenen Schäden übernommen, obwohl sie dazu nicht verpflichtet ist», liess die Firma schnell verlauten. Technisch hätten die Pöstler die Möglichkeit, den Erfolg der Passwort-Fischerei zu analysieren. Die Webseite lud nämlich bei jedem Aufruf eine Originalgrafik von der Postfinance-Webseite herunter. Genaue Zahlen wurden aber nicht publik.

Fachleute gehen davon aus, dass mit Phishing-Attacken erst die Spitze des Berges von Sicherheitsproblemen sichtbar wird. Ausgefeiltere Methoden sind bereits vorhanden, um auf PC sämtliche Tastatureingaben abzuhören und so Passwörter live zu übermitteln oder einen Rechner während der Banking-Sitzung fernzusteuern. Längerfristig müssen wohl die Zahlungsinstitute bei der Hardware aufrüsten, etwa mit geschützten Kartenlesern, und die Verfahren verbessern. Anwendern bleibt momentan nur, auf Internet-Explorer und Windows als Internetbanking-Plattform zu verzichten und den Rechner stattdessen mit einer Live-CD wie Knoppix zu starten.

* Kurt Haupt ist freier IT-Journalist.