[datensicherheit.de, 26.09.2025] „Die temporäre Störung bei ,PayPal’ Ende August wirft ein Schlaglicht auf die Abhängigkeiten im europäischen Zahlungsverkehr“, so Frank Heisel, CEO von RISK IDENT, in seinem aktuellen Kommentar. Ein fehlerhaftes System-Update legte demnach die interne Betrugserkennung lahm – mit der Folge, dass deutsche Banken Transaktionen im zweistelligen Milliardenbereich vorsorglich blockierten. Dieser Vorfall verdeutliche, „wie verwundbar unsere digitale Zahlungsinfrastruktur geworden ist“.

Foto: RISK IDENT

Frank Heisel: Investitionen in robuste Testverfahren, redundante Sicherheitssysteme und durchdachte Notfallpläne sind keine Kür, sondern Pflicht!

Technisches Problem während eines Updates soll Störung bei „PayPal“ verursacht haben

Heisel berichtet: „Nach offiziellen Angaben handelte es sich um ein technisches Problem während eines Updates, das die automatische Prüfung verdächtiger Transaktionen außer Kraft setzte.“ Die Dimension sei indes beachtlich: Allein die Bayerische Landesbank habe Zahlungen in Höhe von etwa vier Milliarden Euro blockiert.

• „Dass solche systemkritischen Komponenten ohne ausreichende Absicherung ausfallen können, sollte der Branche zu denken geben!“ Moderne Zahlungssysteme benötigten nicht nur redundante Sicherheitsmechanismen, sondern auch robuste Rollback-Prozesse für den Ernstfall.

„Bemerkenswert ist, dass letztlich die etablierten Kontrollmechanismen der traditionellen Banken griffen. Ihre Systeme erkannten die anomalen Muster und verhinderten potenzielle Schäden.“ Dies unterstreiche die Bedeutung mehrschichtiger Sicherheitsarchitekturen im Finanzwesen – kein einzelner Akteur sollte zum „Single Point of Failure“ werden können.

Zeitpunkt des „PayPal“-Vorfalls durchaus pikant

Die Informationspolitik während des Vorfalls werfe allerdings Fragen auf. Während PayPal von einer „vorübergehenden Serviceunterbrechung“ gesprochen habe, hätten betroffene Kunden automatisierte Nachrichten über vermeintlich nicht gedeckte Konten erhalten – „inklusive der Ankündigung von Gebühren“. Eine transparentere Kommunikation hätte hier Vertrauen erhalten können, statt zusätzliche Verunsicherung zu schaffen. „Gerade im Finanzsektor ist offene Krisenkommunikation essenziell!“

• Der Zeitpunkt des „PayPal“-Vorfalls sei durchaus pikant: „Parallel etabliert sich mit ,Wero’ gerade eine europäische Alternative im Markt. Die Initiative großer europäischer Banken verzeichnet bereits 43 Millionen Nutzer und wird von Instituten wie der ING als Beitrag zur ,technologischen Souveränität’ positioniert.“

„Ob solche Alternativen langfristig Marktanteile gewinnen, wird auch davon abhängen, wie verlässlich sie operieren können“, gibt Heisel zu bedenken. Eine gewisse Diversifizierung der Zahlungsdienstleister könnte durchaus im Interesse aller Marktteilnehmer liegen. „Wenn der deutsche E-Commerce zu einem erheblichen Teil von einem einzigen Anbieter abhängt, entstehen systemische Risiken, die sich – wie der aktuelle Fall zeigt – schnell materialisieren können.“

„PayPal“-Problem als erneuter Denkzettel zum Thema Abhängigkeiten

Dieser Vorfall sollte Anlass sein, grundsätzliche Fragen zu stellen: „Wie resilient sind unsere digitalen Zahlungssysteme wirklich? Welche Abhängigkeiten haben wir aufgebaut? Und wie können wir sicherstellen, dass technische Updates nicht zu tagelangen Störungen im Wirtschaftskreislauf führen?“

• Für Zahlungsdienstleister bedeutet dies laut Heisel: „Investitionen in robuste Testverfahren, redundante Sicherheitssysteme und durchdachte Notfallpläne sind keine Kür, sondern Pflicht!“

Die nächste Generation der Betrugsprävention müsse nicht nur intelligent, sondern auch ausfallsicher sein. Denn das Vertrauen der Nutzer sei schnell verspielt – und nur mühsam wiederzugewinnen.

Weitere Informationen zum Thema:

RISK IDENT
Das sind wir / Unsere Vision: Eine Welt in der es keinen Online-Betrug mehr gibt!

SECURITY INSIDER
Diese Bedrohungen machen Security-Experten zu schaffen

BR 24, Christian Sachsinger, 27.08.2025
Banken stoppen Paypal-Zahlungen: Deutsche Kunden betroffen / Dem Zahlungsdienstleister Paypal sind offenbar massiv Zahlungen an Kriminelle durchgerutscht. Deutsche Banken haben deshalb den Überweisungsverkehr mit dem US-Unternehmen zeitweise unterbrochen. Das Problem hat Nachwirkungen.

WIKIPEDIA
Wero

datensicherheit.de, 05.09.2025
PayPal-Missbrauch für Betrugsmaschen auf Web-Verkaufsplattformen / Betrüger schicken z.B. – als privater Käufer getarnt – per Chat einen Screenshot mit einem QR-Code, um angeblich den Zahlungseingang über „PayPal“ zu bestätigen

datensicherheit.de, 31.08.2025
PayPal-Zahlungsausfälle: Verbraucherzentrale NRW gibt Betroffenen Empfehlungen / „PayPal“-Kunden sollten regelmäßig das „PayPal“-Konto und das Girokonto auf unberechtigte Abbuchungen und auf den Status offener Zahlungen prüfen

datensicherheit.de, 25.08.2025
Alarm bei PayPal-Kunden: 15,8 Millionen Zugangsdaten im Darknet aufgetaucht / Offenbar massives Datenleck aufgetreten, welches Bedrohung für Millionen von „PayPal“-Nutzern weltweit sein könnte

datensicherheit.de, 25.01.2023
PayPal-Vorfall als Warnung für die Cybersecurity-Welt / Nur wenige Sicherheits-Lösungen, die PayPal tatsächlich selbst umsetzen könnte

[datensicherheit.de, 18.07.2025] Nach aktuellen Erkenntnissen des Branchenverbands Bitkom e.V. hat eine Mehrheit der Verbraucher das Girokonto schon einmal gewechselt – indes hat demnach aber ein Drittel hat Angst, dass dabei etwas schief gehen könnte. Angebote für einen digitalen Umzugsservice seien bei den Jüngeren besonders beliebt. Grundlage der dieser Angaben ist laut Bitkom eine im Auftrag von Bitkom Research durchgeführte telefonische Umfrage mit 1.003 Personen in Deutschland ab 16 Jahren. Diese repräsentative Befragung habe im Zeitraum der Kalenderwochen 13 bis 16 2025 stattgefunden.

Abbildung: bitkom

Bitkom-Umfrage 2025: Kontowechsel nicht immer die sichere Bank…

Bei den 16- bis 29-Jährigen nutzt fast die Hälfte digitalen Umzugsservices beim Kontowechsel

„Wer früher die Bank wechseln wollte, musste Kontoauszüge durchforsten, Lastschriften manuell umstellen und Formulare einreichen. Heute hingegen lässt sich der Kontowechsel mithilfe eines digitalen Umzugsservices, der den Kontowechsel automatisiert und die Umstellung laufender Zahlungen und Lastschriften übernimmt, mit wenigen Klicks digital erledigen.“

• Unter allen, die bereits ihr hauptsächlich genutztes Girokonto gewechselt haben, habe fast ein Drittel (31%) schon einen solchen Dienst in Anspruch genommen. Unter den 16- bis 29-Jährigen sei es mit 48 Prozent sogar fast die Hälfte. Bei den Älteren ab 65 Jahren seien es hingegen nur 17 Prozent der Wechsler.

Insgesamt gebe mehr als die Hälfte (57%) der Deutschen an, schon einmal ihr hauptsächlich genutztes Girokonto gewechselt zu haben. Neun Prozent von ihnen hätten dabei nur ein einziges Mal die Hausbank gewechselt, weitere 19 Prozent zweimal. 70 Prozent hätten die Bank sogar bereits dreimal oder öfter geändert.

Nur bei zwei Dritteln lief der letzte Kontowechsel völlig problemlos

„Automatisierte Umzugsservices nehmen den Kundinnen und Kunden einen Großteil der Arbeit ab und senken die Hürde für einen Bankwechsel deutlich. Für Banken bedeutet das: Sie müssen mehr denn je mit überzeugenden digitalen Angeboten punkten – nicht nur, um neue wechselwillige Kundschaft zu gewinnen, sondern vor allem, um die bestehenden Kundinnen und Kunden dauerhaft zu halten“, erläutert Alina Stephanie Bone-Winkel, Expertin für „Digital Banking“ beim Bitkom.

• Die Treue zur Hausbank nehme damit insgesamt ab: Vor fünf Jahren seien erst 43 Prozent mit ihrem Hauptkonto umgezogen. Tatsächlich würde aber heute eine Mehrheit von 58 Prozent der Wechsler jederzeit wieder die Hausbank ändern, wenn es woanders ein besseres Angebot gäbe. „Der Wettbewerb im Bankensektor hat sich durch die Digitalisierung und den Markteintritt von Neobanken und FinTechs deutlich verschärft, und die Kundinnen und Kunden nutzen die größere Auswahl“, kommentiert Bone-Winkel.

Trotz hoher Wechselbereitschaft bestehe bei vielen aber auch eine gewisse Skepsis, mit dem Hauptkonto umzuziehen: 36 Prozent hätten bei einem Kontowechsel nach eigenen Angaben immer Sorge, dass es schief gehen könnte. Nur bei zwei Dritteln (66%) der Kontowechsler sei der letzte Wechsel völlig problemlos gelaufen.

Weitere Informationen zum Thema:

bitkom
Arbeitskreis Digitaler Zahlungsverkehr

bitkom
Alina Stephanie Bone-Winkel / Referentin Digital Banking & Financial Services Bitkom e.V.

datensicherheit.de, 14.06.2022
Betrug: Kontoübernahmen um 58 Prozent angestiegen / „Jetzt kaufen, später zahlen“ – Boom beflügelt Betrug

datensicherheit.de, 20.10.2021
Age Analysis: Schutz vor Betrugsversuchen bei der Kontoeröffnung / BioCatch führt neuen Webservice Age Analysis ein

datensicherheit.de, 17.05.2021
Konto-Daten beliebte Ware im Darknet / Sicherheitsforscher von Check Point warnen, dass ein sorgloser Umgang mit personenbezogenen Daten zu großem Schaden führen kann

[datensicherheit.de, 06.12.2024] Banken müssten der Cyber-Bedrohungslandschaft mit fortschrittlichen Sicherheitsstrategien begegnen – von der Nutzung von Zero-Trust-Frameworks bis zur Gefahrenaufklärung bei Kunden, rät Marco Eggerling, „Global CISO“ bei Check Point Software Technologies, in seiner Stellungnahme zum 4. Dezember, dem „Internationalen Tag der Banken“. In diesem Kontext sollte man über die Rolle der Digitalisierung und IT-Sicherheit als Garant für Vertrauen im modernen Bankwesen nachdenken. Transaktionen würden immer häufiger digital getätigt, daher müsse die Sicherheit dieses digitalen Zahlungsverkehrs garantiert sein, um Malware, Datenlecks, Phishing und Betrug zu vermeiden. „Andernfalls ist das Vertrauen der Kunden in die Bank schnell verloren!“

Foto: Check Point Software

Marco Eggerling: Vertrauen, welches die Kunden in die Banken setzen, von der Güte der Cyber-Sicherheit abhängig!

Banken in Deutschland wöchentlich 899 Cyber-Attacken ausgesetzt

Eggerling erläutert: „Blickt man auf die Zahlen, dann sieht man, dass Banken in Deutschland nach Erkenntnis unserer Sicherheitsforscher wöchentlich 899 Attacken hinnehmen müssen. Damit liegen sie auf Platz 8 der gefährdeten Bereiche in Deutschland, wobei die Zahlen im ersten Halbjahr 2024 höher lagen.“ Außerdem habe es hierzulande bereits einige bedenkliche Zwischenfälle gegeben:

„So wurde im Jahr 2023 bekannt, dass ein Datenleck bei einem Dienstleister dafür sorgte, dass Tausende von Kundendaten von vier großen Banken in Deutschland gestohlen wurden. Ebenfalls 2023 wurde die Deutsche Leasing AG, eine Tochter der Sparkassen, von Hackern angegriffen, wobei sowohl die Mitarbeiter als auch die Kunden den Zugriff auf die Systeme verloren haben.“ Im Juni 2024 sei herausgekommen, dass die Kunden der Immobilientochter der DZ-Bank, „die zweitgrößte Bank in Deutschland und Mutter der Volksbanken“, das Opfer eines Hacker-Angriffs geworden seien.

Finanz-Sektor verlor in den letzten 20 Jahren rund 11,4 Milliarden Euro durch über 20.000 Cyber-Attacken

Gemäß Daten von IMF (International Monetary Fund) and Advisen cyber loss data, habe der Finanz-Sektor in den letzten 20 Jahren rund zwölf Milliarden US-Dollar (ca. 11,4 Milliarden Euro) durch über 20.000 Cyber-Attacken verloren. „Dies macht deutlich, wie wichtig die Cyber-Sicherheit für das Bankwesen ist!“ Robuste Frameworks stellten sicher, dass die Finanzinstitute ihre Versprechen gegenüber den Kunden im Digitalen Zeitalter einhalten könnten.

Die Art und Weise der Attacken und ihre Wirkung lasse sich in diesem Sektor in drei Punkte zusammenfassen:

1. Finanzielle Verluste
Direkter Diebstahl von Geldern oder Ressourcen, welche für die Wiederherstellung der Systeme erforderlich sind.

2. Unterbrechung Kritischer Bankdienstleistungen
Verzögerungen bei elektronischen Zahlungen und beim Zugang zu Konten wirkten sich auf das tägliche Leben der Kunden aus.

3. Erosion der Marke
Unzufriedenheit der Kunden und die Berichterstattung in den Medien schadeten dem Ruf.

Modernes Bankings mit Apps über Smartphones besondere Herausforderung an Cyber-Sicherheit

Eine solche Bedrohung der finanziellen und wirtschaftlichen Stabilität durch die Erosion des Vertrauens in die Finanzsysteme könnte weitere weitreichende Folgen haben, welche möglicherweise so weit gehen könnten, „dass die globalen Finanzoperationen gestört werden, indem der Kreditfluss zwischen den Finanzinstituten behindert wird“.

Die Aufrechterhaltung des Kundenvertrauens hänge jetzt von der Fähigkeit einer Bank ab, sensible digitale Informationen zu schützen und nahtlose, sichere Transaktionen zu gewährleisten – besonders angesichts des modernen Bankings mit Apps über Smartphones.

Weltweit Vorschriften zur Stärkung der Cyber-Sicherheit im Bankwesen erlassen

Weltweit hätten die Regierungen daher Vorschriften zur Stärkung der Cyber-Sicherheit im Bankwesen erlassen, „die in letzter Zeit an Fahrt gewonnen haben, da der Finanzsektor häufig als Kritische Infrastruktur (KRITIS) für jedes Land angesehen wird“. In Europa setze die Datenschutzgrundverordnung (DSGVO) der EU strenge Datenschutzgesetze durch, „die von den Banken verlangen, robuste Cyber-Abwehrmaßnahmen zum Schutz der Kundendaten umzusetzen“.

Fragt man Experten nach „Best Practices“, so könne Folgendes empfohlen werden:

Implementierung einer Zero-Trust-Architektur
Alle Geräte und Benutzer würden standardmäßig als „nicht vertrauenswürdig eingestuft“, bis sie das Gegenteil bewiesen hätten.

KI-gesteuerte Erkennung von Bedrohungen
KI könne Anomalien in Echtzeit erkennen und neutralisieren.

Verschlüsselung sensibler Daten
Sichere Daten sowohl bei der Übertragung als auch im Ruhezustand.

Regelmäßige Sicherheitsaudits
Häufige Kontrollen würden helfen, Schwachstellen zu erkennen und zu entschärfen.

Sichere Integration von Drittanbietern
Prüfung von Anbietern und Überwachung von Schwachstellen in der Lieferkette.

Kundenschulung
Die Aufklärung der Kunden über bewährte Praktiken der Cyber-Sicherheit – von strengen Passwortrichtlinien über die Förderung von Multi-Faktor-Authentifizierungen bis zur Schulung der Kunden (und Mitarbeiter) in der Erkennung von Phishing-Versuchen. „Bei einem informierten Kunden ist die Wahrscheinlichkeit geringer, dass er einem Betrug zum Opfer fällt, was sowohl das individuelle als auch das institutionelle Risiko einer Hacker-Attacke verringert.“

DORA als Meilenstein der Cyber-Sicherheit: Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit der Daten und Systeme

Hinzu komme mit dem „Digital Operational Resilience Act“ (DORA) der EU eine weitere Regulierung, die ab 17. Januar 2025 anzuwenden sei. „Sie betrifft beinahe alles, was unter Bank- und Kreditwesen zusammengefasst werden kann. Zentrale Bedeutung kommt dem ITK-Risikomanagement zu, Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit der Daten und Systeme sichergestellt werden.“

Auch sogenannte Awareness im Rahmen von Schulungen – auch der Geschäftsleitung – werde eine wichtige Rolle spielen. Zudem seien Kommunikationspläne und -strategien für interne und externe Zielgruppen dann Pflicht, „wobei mindestens eine Person zum Mediensprecher ernannt wird, die agieren muss, sollte es zu einem ITK-Vorfall kommen“. Was ein ITK-Vorfall ist, sei nach Kriterien klassifiziert worden – diese seien meldepflichtig.

Ansporn für Finanz-Unternehmen, holistische Konzepte zur Cyber-Sicherheit umzusetzen

Außerdem sei das Testen der Widerstandsfähigkeit der eigenen Netzwerke ebenfalls ein Bestandteil von DORA und erfordere entsprechende Programme, was damit auch Drittparteien inkludiere – und die Aufsichtsbehörden. Basistests seien eine Pflicht für den gesamten Finanzsektor und umfassten unter anderem Schwachstellen-Scans, Quell-Code-Tests und Performance-Tests, während die fortgeschrittenen Tests „Threat Led Penetration Tests“ (TLPT) meinten. Letztere beträfen aber nur systemrelevante Unternehmen im Finanz-Sektor.

Diese basierten auf dem Rahmenwerk TIBER der EU (Threat Intelligence-based Ethical Red Teaming). Somit werde die Umsetzung von DORA zwar ein Kraftakt, besonders für kleinere Banken und Finanzdienstleister, aber mit diesem Rahmenwerk könnten die Unternehmen ein holistisches Konzept der Cyber-Sicherheit umsetzen und damit eine tiefergehende Cyber-Abwehr erreichen, um ihre wertvollen Operationen zu schützen.

Cyber-Sicherheit als Rückgrat des Kundenvertrauens

„Abschließend lässt sich sagen: Im Digitalen Zeitalter beruht das Vertrauen in das Bankwesen nicht nur auf der Qualität der Dienstleistungen, sondern auch auf der Fähigkeit des Instituts, seine Computer-Systeme und die Daten zu schützen.“ Die Cyber-Sicherheit sei das Rückgrat des Kundenvertrauens und gewährleiste finanzielle Stabilität und operative Belastbarkeit.

Eggerling fasst zusammen: „Anlässlich des ,Internationalen Tages der Banken’ sollten alle sich bewusst machen, dass das Vertrauen, welches die Kunden in die Banken setzen, von der Güte der Cyber-Sicherheit abhängt! Dies sollten die Führungskräfte im Bankwesen bedenken, wenn es um Investitionen in IT-Sicherheitslösungen und Schulungen geht.“

Weitere Informationen zum Thema:

RHEINISCHE POST, Martin Kessler, 23.06.2024
Cyberattacke Volksbanken-Kunden wurden Opfer von Hackern

tagesschau, 11.07.2023
Hacker-Angriff Daten von Tausenden Bankkunden abgegriffen

Merkur.de, Bettina Menzel, 07.06.2023
Hackerangriff auf Sparkassen-Tochter – Tausende Mitarbeiter nach Hause geschickt

datensicherheit.de, 05.12.2024
Finanzsektor: Digitalisierung und Cloud bieten idealen Nährboden für Cyber-Angriffe / Tiho Saric erörtert Cyber-Risiken des Finanzsektors im Rahmen der Digitalisierung und der oftmals damit einhergehenden Migration in die „Cloud“

datensicherheit.de, 31.10.2024
Fit für DORA in 3 Schritten: Birol Yildiz rät zum effektiven Incident Management zwecks Stärkung der Cyber-Sicherheit im Finanzsektor / Der „Digital Operational Resilience Act“ (DORA) verlangt von Unternehmen im Finanzsektor, ihre Prozesse im Vorfallsmanagement gründlich zu überprüfen

datensicherheit.de, 09.07.2024
DORA: EU-Regelungen für den Finanzsektor werfen Schatten voraus / Höchste Zeit zur Vorbereitung auf den Digital Operational Resilience Act (DORA)

[datensicherheit.de, 04.06.2024] Immer wieder wird vor Phishing-E-Mails und SMS-Mitteilungen im Namen verschiedener Banken gewarnt. Aktuell sind demnach gefälschte Nachrichten unter anderem im Namen der Volksbank Raiffeisenbank, der Targobank oder der comdirect im Umlauf – und selbst die KfW Bank warnt vor gefälschten Webseiten und Phishing-Mails. Dass Phishing-Angriffe in Deutschland nach wie vor erfolgreich seien, belegten aktuelle Studien: Laut einer aktuellen Kaspersky-Umfrage sollen bereits 17 Prozent aller Deutschen auf entsprechende Attacken hereingefallen sein. Aktuelle Ergebnisse von BioCatch zeigten zudem, dass Deutschland im Vergleich zu anderen europäischen Ländern nach wie vor ein größeres Problem mit Phishing habe.

Abbildung: BioCatch

BioCatch beschreibt die typische Anatomie eine Phishing-Angriffs

Phishing-Angriffe aus Basis von Social Engineering

Phishing gilt als eine Form von „Social Engineering“: Dabei werden schriftliche Nachrichten – meist E-Mails – verschickt, die scheinbar von seriösen Quellen stammen. So erhalten potenzielle Opfer beispielsweise eine Nachricht, die vorgibt, von ihrer Bank zu stammen. Diese enthält dann einen Text, welcher die Empfänger dazu verleiten soll, auf einen integrierten Link zu klicken, um bestimmte Aktionen mit ihrem Konto durchzuführen.

So werden Nutzer beispielsweise aufgefordert, ein Sicherheitsupdate einzuleiten, um weiterhin Online-Banking nutzen zu können, ihre Kontodaten zu aktualisieren, um den AML-Vorschriften zu entsprechen, oder sie werden darüber informiert, dass eine dringende Steuerzahlung erforderlich ist, um eine Geldstrafe zu vermeiden…

Phishing-Webseite sieht imitierter echter Homepage täuschend ähnlich

Gelingt es, die Empfänger glauben zu machen eine echte E-Mail vor sich zu haben, klicken diese auf den Link und gelangen dann auf eine Phishing-Website, welche der täuschend echt imitierten Website sehr ähnlich sieht. Auf dieser Website werden dann persönliche Daten abgefragt – und sobald die Nutzer diese eingegeben haben, sind die Betrüger im Besitz ihrer Zugangsdaten und können online auf ihr Bankkonto zugreifen, um nach Belieben Transaktionen durchzuführen und Zahlungen zu veranlassen. In anderen Fällen können sie im Namen ihrer Opfer sogar Kredite aufnehmen und erhalten so zusätzliche finanzielle Mittel, welche sie sich auszahlen lassen können.

Manche Betrüger nutzen erbeutete Zugangsdaten sogar in Echtzeit. Dies geschieht laut BioCatch vor allem dann, wenn eine Zwei-Faktor-Authentifizierung (ZFA) erforderlich ist: „Die betrügerischen Akteure nutzen die Phishing-Website, um von den Opfern diese zusätzlichen Informationen wie Einmalpasswörter (OTPs) zu erhalten.“

Empfehlungen zum Erkennen eines Phishing-Angriffs

„Vorsicht ist besser als Nachsicht!“, rät BioCatch. Auch wenn es unvermeidlich sei, irgendwann Phishing-E-Mails zu erhalten, könnten die Empfänger durch richtiges Verhalten verhindern, Opfer eines Betrugs zu werden. Bestimmte Merkmale der Nachricht sollten zumindest misstrauisch machen – beispielsweise wenn sie vorgibt, dringend handeln zu müssen und mit harten Konsequenzen droht, wenn sie zur Eingabe vertraulicher Daten wie PINs auffordert oder wenn das Anliegen des Absenders ungewöhnlich erscheint.

Viele Behörden und Organisationen seien sich bewusst, dass Aufklärung „die beste Waffe“ sei, und arbeiteten daran, das Bewusstsein für diese betrügerischen Kampagnen zu schärfen. So habe beispielsweise der deutsche Zoll einen Ratgeber für deutsche Bürger herausgegeben, welcher beschreibt, wie man sich schützen kann. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) informiert ausführlich über Phishing-Angriffe, unter anderem auf einer Webseite mit Beispielen für Phishing-E-Mails.

Mittels KI erreicht Phishing-Betrug eine neue Dimension

„Nicht zuletzt durch KI erreicht Betrug eine neue Dimension: Im vergangenen Jahr haben wir gesehen, wie Betrüger KI genutzt haben, um sehr gezielte und personalisierte Videos, Sprachnachrichten, E-Mails, ,WhatsApp’-Nachrichten und SMS zu erstellen. Ihr Ziel ist es, die Sicherheitsvorkehrungen der Banken zu umgehen und noch mehr Menschen in die Falle zu locken“, so Tom Peacock, „Director, Global Fraud Intelligence“ bei BioCatch, in seinem warnenden Kommentar.

Er führt weiter aus: „Das ist keine Bedrohung, die erst in der Zukunft auf uns zukommt. Sie existiert bereits. Banken müssen nun handeln, um sich und ihre Kunden zu schützen.“ Aber auch die Kunden selbst müssten ihre Sinne schärfen und wachsam sein, um nicht auf Phishing-Angriffe hereinzufallen. Peacock rät Kunden, sich im Zweifelsfall lieber an die Bank wenden, bevor sie auf Handlungsaufforderungen reagieren und im schlimmsten Fall viel Geld verlieren.

Weitere Informationen zum Thema:

ZOLL
Achtung vor Phishing-Mails und gefälschten Steuerbescheiden der Zollverwaltung

KfW Bank aus Verantwortung
Warnung vor Fake-Websites und Phishing-Mails

Bundesamt für Sicherheit in der Informationstechnik
Wie erkenne ich Phishing-E-Mails und -Webseiten? / Fälschungen von E-Mails und Webseiten sehen immer professioneller aus

biallo.de, Franziska Baum, 03.06.2024
Geld in Gefahr / Volksbank Raiffeisenbank Phishing: Diese E-Mails und SMS sind Spam + Betrug

biallo.de, Franziska Baum, 03.06.2024
Gefährliche E-Mails / Comdirect Phishing: Diese E-Mails und SMS sind Spam, Fake, Betrug

biallo.de, Franziska Baum, 31.05.2024
Targobank-Spam / Targobank Phishing: Diese E-Mails und SMS sind Betrug

datensicherheit.de, 28.05.2024
Kaspersky-Umfrage: Bereits 17 Prozent aller Deutschen auf Phishing-Attacken reingefallen / 13 Prozent haben trotz Phishing-Vorfall Zugangsdaten nicht geändert

BioCatch, 10.04.2024
BioCatch Releases Comprehensive Analysis of Banking-Fraud and Financial-Crime Trends in Germany

[datensicherheit.de, 31.05.2023] Laut einer aktuellen Meldung der Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI) wurde von ihr gegen eine Bank ein Bußgeld in Höhe von 300.000 Euro „wegen mangelnder Transparenz über eine automatisierte Einzelentscheidung“ verhängt. Diese Bank hatte sich demnach geweigert, einem Kunden nachvollziehbare Auskünfte über die Gründe der automatisierten Ablehnung eines Kreditkartenantrags zu erteilen. Die BlnBDI hat nach eigenen Angaben festgestellt, „dass die Bank in dem konkreten Fall gegen Art. 22 Abs. 3, Art. 5 Abs. 1 lit. a und Art. 15 Abs. 1 lit. h DSGVO verstoßen hat“. Bei der Bußgeldzumessung habe die BlnBDI insbesondere den hohen Umsatz der Bank sowie die vorsätzliche Ausgestaltung des Antragsprozesses und der Auskunft berücksichtigt. Als bußgeldmindernd sei u.a. eingestuft worden, dass das Unternehmen den Verstoß eingeräumt sowie Änderungen an den Prozessen bereits umgesetzt und weitere Verbesserungen angekündigt habe – das Unternehmen habe umfassend mit der BlnBDI kooperiert und den Bußgeldbescheid akzeptiert.

Banken müssen aussagekräftige Informationen über involvierte Logik geben

Bei einer automatisierten Entscheidung urteilt ein IT-System ausschließlich auf Grundlage von Algorithmen – ohne menschliches Eingreifen. Für diesen Fall sieht die Datenschutz-Grundverordnung (DSGVO) laut BlnBDI spezielle Transparenzpflichten vor. So müssten personenbezogenen Daten in einer für die betroffenen Personen nachvollziehbaren Weise verarbeitet werden. Betroffene Personen hätten zudem einen Anspruch auf Erläuterung der nach einer entsprechenden Bewertung getroffenen Entscheidung. „Beantragen betroffene Personen bei den Verantwortlichen eine Auskunft, müssen diese aussagekräftige Informationen über die involvierte Logik hinter der automatisierten Entscheidung erteilen.“

In diesem Fall habe die Bank dies jedoch bei ihrem digitalen Antrag für eine Kreditkarte nicht beherzigt. Über ein Online-Formular habe die Bank verschiedene Daten über Einkommen, Beruf und Personalien des Antragstellers abgefragt. Anhand dieser abgefragten Informationen und zusätzlicher Daten aus externen Quellen habe der Bank-Algorithmus den Antrag des Kunden ohne besondere Begründung abgelehnt. Der Algorithmus basiere auf zuvor von der Bank definierten Kriterien und Regeln.

Bank hatte auf Nachfrage lediglich pauschale und vom Einzelfall gelöste Angaben zum Scoring-Verfahren gemacht

„Da der Kunde einen guten Schufa-Score und ein regelmäßiges hohes Einkommen hatte, bezweifelte er die automatisierte Ablehnung.“ Die Bank habe auch auf Nachfrage lediglich pauschale und vom Einzelfall gelöste Angaben zum Scoring-Verfahren gemacht, sich jedoch geweigert, ihm mitzuteilen, „warum sie in seinem Fall von einer schlechten Bonität ausging“. Der Beschwerdeführer habe somit nicht nachvollziehen können, „welche Datenbasis und Faktoren der Ablehnung zugrunde lagen und anhand welcher Kriterien sein Kreditkartenantrag dementsprechend abgelehnt worden ist“. Ohne diese Einzelfallbegründung sei es ihm aber auch nicht möglich gewesen, die automatisierte Einzelentscheidung sinnvoll anzufechten. Daraufhin habe er sich bei der BlnBDI beschwert.

„Wenn Unternehmen automatisiert Entscheidungen treffen, sind sie verpflichtet, diese stichhaltig und nachvollziehbar zu begründen. Die Betroffenen müssen in der Lage sein, die automatisierte Entscheidung nachzuvollziehen“, kommentiert Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit. Dass die Bank in diesem Fall auch auf Anfrage nicht transparent und nachvollziehbar über die automatisierte Ablehnung informiert habe, „hat ein Bußgeld zur Folge“. Eine Bank sei verpflichtet, die Kunden bei der automatisierten Entscheidung über einen Kreditkartenantrag über die tragenden Gründe einer Ablehnung zu unterrichten. „Hierzu zählen konkrete Informationen zur Datenbasis und den Entscheidungsfaktoren sowie die Kriterien für die Ablehnung im Einzelfall“, betont Kamp.

[datensicherheit.de, 19.08.2022] „So schnell wie das Home-Office für Unternehmen und Angestellte zur Routine wurde, so schnell kamen auch die Gefahren. Aktuell setzen viele Firmen weiterhin auf VPN-Tunnel für den Zugriff auf das Unternehmensnetzwerk, obwohl die Technologie den Sicherheitsanforderungen dieser neuen Rahmenbedingungen schlicht nicht mehr gerecht wird“, so Lothar Geuenich, „VP Central Europe / DACH“ bei Check Point Software Technologies, in seiner aktuellen Stellungnahme. Eine aktivierte VPN-Verbindung leite jeden Datenverkehr durch das Unternehmensnetzwerk. Dies könne besonders für Institutionen mit hochsensiblen Daten, wie Banken und Finanzdienstleister, zur Gefahr werden. Geuenich erläutert: „Surft man dann entweder mit dem Firmenlaptop privat im Netz oder nutzt umgekehrt den privaten Laptop für die Arbeit, entstehen Sicherheitsrisiken. Denn jede Malware, die das Gerät befällt, kann sich über den VPN-Tunnel direkten Zugang zum Unternehmen verschaffen – erleichtert durch den Umstand, dass man sich zuhause außerhalb der geschützten Umgebung der Firmen-IT befindet.“

Foto: CHECK POINT

Lothar Geuenich: Besonders beim Surfen im Internet und bei der Nutzung von E-Mail- und Collaboration-Apps gilt es, ganzheitliche Schutzmaßnahmen zu implementieren…

Im Home-Office jedes Gerät potenzielle Gefahrenquelle – insbesondere für Banken

Mehr noch als andere Einrichtungen brauchten Kreditanstalten daher einen fortschrittlichen Schutz für sogenannte Remote-Mitarbeiter – und dieser sollte alle Geräte, einschließlich Tablets, mobile, BYOD- (Bring-Your-Own-Device) und von der hauseigenen IT verwaltete Geräte umfassen. Geuenich betont: „Besonders beim Surfen im Internet und bei der Nutzung von E-Mail- und Collaboration-Apps gilt es, ganzheitliche Schutzmaßnahmen zu implementieren und einen Wildwuchs an Lösungen verschiedener Anbieter zu vermeiden.“ Obendrein müssten Banken einen vertrauenswürdigen Zugriff auf Unternehmensanwendungen von jedem Ort aus sicherstellen.

Hinzu komme ein weiterer Risikofaktor, welcher branchenübergreifend häufig übersehen werde: „Die Absicherung Dritter, einschließlich Auftragnehmer, Berater und Partner, die auf Geräte und Anwendungen zugreifen.“ Deren Umsetzung von Compliance- und IT-Richtlinien könne von außen nicht nachvollzogen werden, weswegen eine standardmäßige Absicherung ab Werk zu empfehlen sei.

Tipps zur Absicherung der Mobilgeräte von Banken

Grundsätzlich beschränkten sich die Arbeitsgeräte von Angestellten in Fernarbeit und Home-Office meist auf Smartphones und Laptops. Die Prioritäten und Fokuspunkte der IT-Sicherheit unterschieden sich hierbei jedoch und es stelle sich die Frage: „Worauf kommt es bei der Absicherung von mobilen und anderen Endgeräten jeweils an?“

Die Absicherung von Mobilgeräten bei Banken braucht laut Geuenich:

• Vollständigen Schutz vor Netzwerkangriffen, einschließlich Phishing, Smishing (Phishing über SMS oder Textnachrichten) und anderen Angriffstypen.
• Blockierung von nicht konformen Geräten und Schwachstellen im Betriebssystem.
• Verbesserte Einhaltung der DSGVO/GDPR (Datenschutzgrundverordnung).
• Vollständigen Schutz der Privatsphäre der Nutzer.
• Hohe Skalierbarkeit mit „Mobile Device Management“ für die Zero-Touch-Bereitstellung für alle Mitarbeiter.

Geuenichs Empfehlungen zur Absicherung von Endgeräten bei Banken:

• Vollständigen Endpunktschutz und EDR (Endpoint Detection and Response).
• Eine konsolidierte Sicherheitsarchitektur, welche Bedrohungen in Echtzeit verhindert.
• Nahezu vollständige Automatisierung der Erkennung, Untersuchung und Behebung von Angriffen.
• Schutz vor und automatische Behebung sowie Wiederherstellung nach erfolgten Ransomware-Angriffen.
• Hohe Produktivität mit „Content Disarm and Reconstruction“ (CDR).
• Reduzierte TCO (Total Cost of Ownership) mit einer einzigen Lösung, die erweiterte Überwachungs- und Berichterstattungsfunktionen für schnelle Problemlösung enthält.

Banken haben Verantwortung über sensible Geschäfts- und Finanzinformationen ihrer Kunden

Abgesicherte Endgeräte reichten jedoch nicht aus. Geuenich macht indes deutlich: „Auch der Datenverkehr zwischen ihnen muss lückenlos geschützt sein. E-Mail und Collaboration-Apps sind heutzutage zu den wichtigsten Tools für Unternehmen, aber auch zu den beliebtesten Zielen von Hackern geworden. BEC-Angriffe (Business-E-Mail Compromise) haben in der Vergangenheit bereits zahlreichen Institutionen hohe Verluste beschert.“ Um beim Schutz der vielen täglich verwendeten Applikationen wie „Outlook“, „SharePoint“, „Teams“, „OneDrive“, etc. nicht den Überblick zu verlieren, empfiehlt er die Verwendung einer einzigen Anwendung zur Überwachung aller. Dabei komme es besonders auf den Schutz vor Malware, Phishing, bösartigen Links, Kontoübernahmen und mehr an. Denn es gelte zu bedenken: Banken hätten die Verantwortung über sensible Geschäfts- und Finanzinformationen ihrer Kunden, „die diese nicht im Darknet wiederfinden wollen“.

Aus diesem Grund sollte auch nicht weniger als das sogenannte Zero-Trust-Konzept oberster Leitfaden der Sicherheitsarchitektur sein. Bei der aktuellen Bedrohungslage sei eine Null-Vertrauen-Policy alternativlos und Banken sollten bei der Umsetzung von „Zero Trust“ folgendes sicherstellen:

• Least-Privilege-Zugriff auf Webanwendungen.
• Sichere Shell-Server, Remote-Desktops und Datenbanken.
• Zugriffsmanagement für Plattformen wie „Splunk“, interne WeApps, AWS-Ressourcen, etc.
• Administratoren die Verfolgung von Benutzeraktivitäten mit aufgezeichneten Sitzungen und Prüfpfaden ermöglichen.

Insbesondere Banken sollten IT-Sicherheit der Endgeräte ihrer Tele-Mitarbeiter im Blick behalten

Besonders für Finanzinstitute und Kredithäuser sei es entscheidend, die IT-Sicherheit der Endgeräte ihrer Mitarbeiter trotz Telearbeit im Blick zu behalten. „Denn unmittelbar mit ihrer Sicherheit ist die ihrer Kunden und deren Daten verbunden.“

Geuenich Fazit zur Motivation: „IT-Verantwortliche, die zusätzlich den Mailverkehr und die Apps zur gemeinsamen Zusammenarbeit im Blick haben und ,Zero Trust’ als Grundlage für alle Sicherheitsentscheidungen nehmen, sind den Herausforderungen der modernen IT-Landschaft gewachsen.“

Weitere Informationen zum Thema:

datensicherheit.de, 25.11.2019
Zero Trust: Warum die Zeit gerade jetzt dafür reif ist / Laut einer aktuellen Studie befassen sich bereits 78 Prozent der befragten Unternehmen damit

datensicherheit.de, 15.08.2019
Firmennetzwerke bedroht: Nathan Howe empfiehlt Zero Trust Network Access / Ein Hacker verkauft gefälschte und manipulierte Apple-Ladekabel, die einen WLAN-Chip beinhalten

datensicherheit.de, 19.06.2019
Einfache Implementierung des Zero-Trust-Modells in Netzwerken / Palo Alto Networks empfiehlt Fünf-Stufen-Methode

[datensicherheit.de, 07.06.2022] Laut Zimperiums aktuellem Sicherheitsreport zum Mobile-Banking konnten über 600 Apps für Bank-, Finanz- und Krypto-Geldgeschäfte, die von Trojaner-Programmen kompromittiert werden, identifiziert werden. Zimperium, nach eigenen Angaben Anbieter von Echtzeitschutz für Mobilgeräten, hat demnach in einer neuen Studie zunehmende Risiken für Finanzinstitute und Verbraucher durch Trojaner-Angriffe auf Mobile-Banking-Apps dokumentiert.

Untersuchung aktiver Trojaner-Programme, die weltweit mobile Bank- und Finanz-Apps angreifen

„Der Bericht über die aktuelle Gefahrenlage im Finanzsektor untersucht aktive Trojaner-Programme, die weltweit mobile Bank- und Finanz-Apps angreifen.“ Sicherheitsforscher hätten über 600 Anwendungen mit mehr als einer Milliarde Downloads benennen können, „bei denen Banken-Trojaner vertrauliche Informationen und Daten stehlen“.

Neben Einsatzweise und Funktionsbeschreibung der identifizierten Schadprogramme untersuche der Zimperium-Bericht „Mobile Banking Heists: The Global Economic Threat“, welche Banking-Apps kompromittiert werden und welche Länder am stärksten betroffen sind.

Im Rahmen einer detaillierten Analyse von zehn großen Banking-Trojaner-Familien und den angegriffenen Mobilanwendungen zeige der Bericht anhand einer Chronik auf, „wie sich die Bedrohungslage durch Bankentrojaner verschärft hat“.

Rückbau der Bankenfilialnetzes und Corona-Pandemie triggern Nutzung von Online-Diensten der Banken

„Die Autoren der Sicherheitsstudie benennen den Rückbau der Bankenfilialnetzes und die ,Corona-Pandemie‘ als wichtige Gründe dafür, dass die Nutzung von Online-Diensten der Banken für viele Konsumenten mittlerweile Standard im Alltag ist.“ In Deutschland sei die Anzahl der Bankfilialen seit den 1990er-Jahren rückläufig und habe sich inzwischen mehr als halbiert. Dieser Trend habe sich während der „Corona-Pandemie“ weiter beschleunigt, so dass immer mehr Bankkunden mittlerweile ihre Bankgeschäfte am Smartphone erledigten, Online-Übersichten für ihre Finanzen nutzten und Geldbeträge unterwegs überwiesen.

„Nicht jeder Trojaner, der auf mobile und Banking-Apps abzielt, ist gleich — die Verbreitungstechniken und Kompromittierungsarten unterscheiden sich nicht nur bei der Reichweite und Raffinesse“, erläutert Nico Chiaraviglio, „VP Security Research“ bei Zimperium, und führt aus:

„Wir haben in den vergangenen Jahren viele Beispiele für Banking-Trojaner-Attacken gesehen, die offenbar an Umfang und Häufigkeit zunehmen. Erst mit diesem strukturierten Bericht von Zimperium zLabs ergibt sich jetzt ein Gesamtbild, um die mobile Bedrohungslage analysieren und auswerten zu können.“

Mobile Banking Heists: The Global Economic Threat – wichtigste Ergebnisse

• Die Top 3 der mobilen Finanz-Apps, gegen die sich die aktiven Trojaner richteten, übernähmen Aufgaben wie mobile Zahlungen oder Vermögensanlagen für Krypto-Währungen und Gold. Allein diese drei Apps seien weltweit über 200 Millionen mal heruntergeladen worden.
• Mit über zehn Millionen Downloads sei „BBVA Spain | Online Banking“ die am häufigsten angegriffene Mobile-Banking-Anwendung. Diese App werde von sechs der zehn untersuchten Banken-Trojaner ins Visier genommen.
• Produktivster Banken-Trojaner sei „Teabot“, welcher 410 der im Bericht untersuchten Anwendungen attackiere.
• In Deutschland seien unter anderem die Commerzbank, Deutsche Bank und Postbank mit eigenen Finanz-Apps betroffen — in der Schweiz die Zürcher Kantonalbank, Credit Suisse und UBS.
• Insgesamt 15 Finanzanwendungen aus Deutschland mit über zwölf Millionen Downloads würden von „ExobotCompact.D/Octo“, „Bianlian Botnet“ und „Teabot“ ins Visier genommen (19 Finanz-Apps mit über neun Millionen Downloads in der Schweiz).

Das Forschungsteam von Zimperium analysieret täglich mehrere hunderttausend Anwendungen mit modernsten Machine-Learning-Technologien und proprietären Methoden. Die in diesem Bericht untersuchten Beispiele seien anhand dieser Methodik gesammelt und klassifiziert worden.

Weitere Informationen zum Thema:

ZIMPERIUM
Mobile Banking Heists: The Global Economic Threat

[datensicherheit.de, 01.12.2021] Security-Experten von Proofpoint haben nach eigenen Angaben eine Zunahme von Phishing-Kampagnen registriert, „bei denen deutsche Bankkunden ins Visier der Cyber-Kriminellen geraten“. Bereits seit Ende August 2021 hätten dabei mehrere großangelegte Angriffskampagnen festgestellt werden können, die mittels gefälschter Webseiten den Diebstahl von Zugangsdaten für das Online-Banking zum Ziel hätten. Betroffen seien hiervon insbesondere Kunden der Sparkassen sowie Volksbanken.

Abbildung: proofpoint

Scrennshots: Beispiele für Phishing-Mails – mit QR-Code (l.) und mit Link zu gefälschter Website (r.)

Neben Privatkunden auch Unternehmen Ziel noch immer andauernder Phishing-Kampagnen

Neben Privatkunden zielten Cyber-Kriminelle bei diesen noch immer andauernden Phishing-Kampagnen auf deutsche Unternehmen verschiedener Branchen ab, aber auch Mitarbeiter ausländischer Organisationen mit Sitz in Deutschland gehörten zu den Empfängern der Phishing-Mails. Die dabei verschickten Nachrichten enthielten angebliche Informationen zur Kontoverwaltung sowie zusätzlich einen Link bzw. QR-Code, mit deren Hilfe das potenzielle Opfer auf eine gefälschte Webseite gelockt werden solle.
Diese gefälschten Bank-Webseiten seien mittels Geo-Fencing-Techniken so präpariert, dass nur Nutzer aus Deutschland zur jeweiligen Phishing-Seite weitergeleitet würden. Alle anderen landeten auf einer Webseite, die vorgeblich Touristeninformationen über eine Sehenswürdigkeit liefere.

Bei Phishing-Kampagnen werden gefälschte Webseiten der Sparkasse oder Volksbank als Köder benutzt

Bei ihren Phishing-Kampagnen imitierten die Angreifer sowohl Webseiten der Sparkasse als auch die der Volksbank. „Die Cyber-Kriminellen haben es bei ihren Kampagnen auf Informationen zur jeweiligen Niederlassung der Bank, den Benutzernamen sowie die PIN bzw. das Passwort der potenziellen Opfer abgesehen.“
Zur Verschleierung der tatsächlichen gefährlichen URLs der gefälschten Webseiten nutzten die Täter ausgeklügelte Weiterleitungstechniken. Zudem griffen sie in verschiedenen der beobachteten Kampagnen auf kompromittierte „Wordpress“-Seiten zurück, um Opfer auf die Phishing-Landing-Pages umzuleiten.

Phishing-Angriffe mit ähnlichen Domain-Namen

„Die Cyber-Kriminellen hosten die gefälschten Webseiten auf einer von ihnen selbst kontrollierten Infrastruktur und verwenden dabei Domain-Namen, die denen der imitierten Webseiten ähneln.“ So würden beispielsweise die Phishing-URLs für Sparkassen-Zugangsdaten häufig mit „spk-“ beginnen, jene der Volksbank-Imitate mit „vr-„.
Proofpoint empfiehlt allen Nutzern, grundsätzlich die Web-Adresse ihrer Bank im Browser einzutippen und nicht auf Links in E-Mails zu klicken. Gleiches gelte zweifelsohne auch für „WhatsApp“-Nachrichten oder SMS.

Weitere Informationen zum Thema:

datensicherheit.de, 10.11.2021
Köder-Angriffe: Hacker werfen ihre Phishing-Netze aus / Dr. Klaus Gheri benennt Best Practices zum Schutz vor Köder-Angriffen

datensicherheit.de, 12.10.2021
Phishing-Attacken: Cyber-Kriminelle missbrauchen Banken als Köder / Christine Schönig warnt vor Phishing-Gefahr durch Smartphones und Unachtsamkeit

[datensicherheit.de, 15.11.2020] „PolizeiDeinPartner.de“, das Web-Präventionsportal der Gewerkschaft der Polizei informiert in einer aktuellen Meldung über das richtige Verhalten, wenn z.B. Kredit- oder EC-Karten abhanden kommen, sei „schnelles Handeln gefragt“. Denn Diebe oder Betrüger warteten nicht lange, um das Konto leerzuräumen. Über den Sperr-Notruf 116 116 könne man seine Karten für PIN-basierte Zahlungen schnell und unkompliziert telefonisch sperren lassen, so die Empfehlung. Was indes viele nicht wüssten: „Für Zahlungen mit Unterschrift bedarf es einer zweiten Sperrung der Karte.“ Dies könne man für EC-Karten bei der Polizei über das „KUNO“-System veranlassen – „KUNO“ steht demnach für „Kriminalitätsbekämpfung im unbaren Zahlungsverkehr unter Nutzung nichtpolizeilicher Organisationsstrukturen“.

Bei Karten für PIN-basierte Zahlungen: Sperr-Notruf unter 116 116

Wird die EC-Karte nur über diesen Sperr-Notruf gesperrt, könnten Dritte zwar keine Zahlungen mehr mit PIN tätigen, aber immer noch über das SEPA-Lastschriftverfahren per Unterschrift. Deshalb sollten Geschädigte beide Bezahlmöglichkeiten so schnell wie möglich sperren lassen. Der Sperr-Notruf sei 24 Stunden am Tag erreichbar und für Anrufe aus dem Inland gebührenfrei – für Anrufe aus dem Ausland benötige man zusätzlich die jeweilige Vorwahl für Deutschland (i.d.R. 0049). Die Kosten für den Anruf hingen vom jeweiligen Netzbetreiber ab.
Bei „girocard“, „Maestro“-, „V PAY“-, Bankkunden-, Spar- und Geldkarten müsse man zur Sperrung die IBAN oder alternativ die Kontonummer und Bankleitzahl parat haben. Bei Kreditkarten sei der Name des Kartenherausgebers oder die Bankleitzahl zu nennen: Anhand dieser Daten werde man dann an den Herausgeber der Karte weitergeleitet, um von diesem die Sperrung vornehmen zu lassen. Ob das eigene Bankinstitut zu den Teilnehmern gehört, könne man auf der „Sperr-Notruf-Liste“ einsehen. Über den Sperr-Notruf unter 116 116 ließen sich nicht nur Bankkarten sperren, sondern auch Mobilfunkkarten, Online- und Telebanking-Accounts sowie die „eID“-Funktion des neuen Personalausweises. Für Sprach- und Hörgeschädigte gebe es auch Sperr-Faxe für „girocard“, Kreditkarte und Personalausweis.

Karten-Lastschriftverfahren per KUNO richtig sperren

„Ist man Opfer eines Diebstahls geworden, sollte man grundsätzlich Anzeige bei der Polizei erstatten.“ Außerdem könne nur die Polizei über das „KUNO“-System das Lastschriftverfahren für eine abhanden gekommene EC-Karte sperren. Denn die Banken meldeten dem Einzelhandel Informationen über gesperrte Karten nur noch im Rahmen der PIN-Zahlung.
„KUNO ist ein Zusammenschluss von Polizei und Handelsunternehmen.“ Die Polizei melde dabei die relevanten Karteninformationen an eine zentrale Meldestelle. Von dort aus würden die Daten dann an die an „KUNO“ angeschlossenen Handelsunternehmen weitergegeben. Sie lehnten dann Lastschrift-Zahlungen mit den gemeldeten Karten ab. Kreditkarten könnten mit dem System allerdings nicht erfasst werden.

KUNO sperrt nicht das ganze Konto, sondern nur die verlorene Karte

Der Vorteil von „KUNO“ sei, dass nicht das ganze Konto gesperrt werde, sondern nur die verlorene Karte. Andere EC-Karten des Kontos, zum Beispiel die des Ehepartners, könnten weiterhin normal genutzt werden, genauso wie das Online-Banking. Dafür sei es aber notwendig, die sogenannte Kartenfolgenummer bei der Polizei anzugeben. Mit dieser Nummer lasse sich eine Karte eindeutig identifizieren, wenn zu einem Konto mehrere Karten gehören. Die Nummer stehe jedoch nicht direkt auf der Karte, sondern zum Beispiel auf den Kontoauszügen. Sie könne auch beim jeweiligen Geldinstitut erfragt werden.
Neben dieser Nummer benötige die Polizei nur noch die IBAN für die Sperrung. Wichtig: „Nur mit der Kartenfolgenummer kann die Karte dauerhaft gesperrt werden.“ Ohne diese Nummer werde die Sperre nach zehn Tagen wieder aufgehoben. In manchen Bundesländern erhalte man nach der Sperrung eine persönliche Sperrbestätigungsnummer von der Polizei. Damit könne man online die Kartenfolgenummer nachmelden oder die „KUNO“-Sperre selbst wieder löschen – etwa, wenn die Karte wieder auftaucht. Über „KUNO“ würden im Monat etwa 10.000 Meldungen über gesperrte Karten von der Polizei an den Handel weitergegeben.

Weitere Informationen zum Thema:

Sperr-Notruf 116 116 e.V.
Sperr-Notruf 116 116

Sperr-Notruf 116 116 e.V.
Über den Sperr-Notruf 116 116 können alle girocards gesperrt werden!

KUNO
Karten-Sperrdienst für SEPA-Lastschriftzahlungen

POLIZEI DEIN PARTNER – Gewerkschaft der Polizei
Das Präventionsportal: Karten richtig sperren / Sicher mit KUNO und dem Sperr-Notruf

datensicherheit.de, 07.08.2018
Firmenpatente und Kreditkartendaten: Angestellte als potenzielle Datenhehler

[datensicherheit.de, 14.07.2019] Experten der Bitdefender-Labs ist es nach eigenen Angaben gelungen, den zeitlichen Verlauf eines Angriffs der „Carbanak“-Gruppe im Jahr 2018 auf eine osteuropäische Bank vollständig zu rekonstruieren. Neben einem „Whitepaper“ haben die Bitdefender-Experten den „Carbanak“-Angriff nun auch übersichtlich in einer Infografik dargestellt. Darin lasse sich eine genaue Beschreibung des Angriffs finden, die sehr plastisch vor Augen führen soll, wie die Cyber-Kriminellen vorgegangen sind, um Sicherheitslücken auszunutzen.

Abbildung: Bitdefender

Neues Whitepaper von Bitdefender: Blaupause eines Cyber-Angriffs

Mit Hilfe der „Cobalt Strike“-Malware 63 Tage durch die gesamte Infrastruktur bewegt

Experten der Bitdefender-Labs sei es gelungen, den zeitlichen Verlauf eines Angriffs der „Carbanak“-Gruppe vollständig zu rekonstruieren. Das Opfer sei eine osteuropäische Bank.
Die Rekonstruktion aller Aktivitäten der Attacke liefere wertvolle Erkenntnisse für die Sicherung Kritischer Infrastrukturen (Kritis) und zeige die Bedeutung von Endpoint-Security-Maßnahmen auf.
„Während die Infiltrierung des Netzwerks bereits nach 90 Minuten abgeschlossen war, bewegten sich die Angreifer mit Hilfe der ,Cobalt Strike‘-Malware weitere 63 Tage durch die gesamte Infrastruktur, um das System auszuspähen und weitere Informationen für den finalen Raubüberfall zu sammeln. Wäre die Attacke erfolgreich gewesen, hätten die Kriminellen unbemerkt über das Geldautomatennetzwerk verfügen können.“

Infiltration mittels Spear-Phishing-Kampagne

Gegenstand der Untersuchung sei ein Angriff auf ein osteuropäisches Finanzinstitut im Mai 2018 gewesen. Die Infiltration mittels einer Spear-Phishing-Kampagne mit der URL „swift-fraud.com/documents/94563784.doc“ sowie der Einsatz der „Cobalt Strike Malware“ deuteten auf die „Carbanak“-Gruppe hin.
Die „Carbanak-Bande“ blicke auf eine lange Erfolgsgeschichte bei Angriffen auf Finanzinstitutionen zurück. Ihre Strategie ziele darauf ab, illegale Transaktionen durchzuführen oder Geldautomaten-Infrastrukturen zu übernehmen, die mit Hilfe von „Money Mules“ geplündert würden.
Mehrere der „Carbanak“-Gruppe zugeschriebene Spear-Phishing-Kampagnen zwischen März und Mai 2018 seien von Sicherheitsforschern analysiert worden. Diese Kampagnen hätten sich als E-Mails von hochkarätigen Organisationen wie IBM, der Europäischen Zentralbank oder auch von Cyber-Sicherheitsunternehmen ausgegeben. Durch die Auswertung von „Threat Intelligence Feeds“ und Logfileanalysen der im Mai 2018 betroffenen Bank sei es Experten von Bitdefender nun gelungen, den zeitlichen Verlauf eines derartigen Angriffs detailliert zu rekonstruieren:

Tag 0: Die Infiltration

An einem regulären Arbeitstag um 16.48 Uhr erhalten zwei Mitarbeiter einer Bank eine E-Mail, dessen schadhaften Anhang beide unabhängig voneinander binnen einer Minute öffnen.
Das angehängte Dokument nutzt die „Remote Code Execution“-Exploits CVE-2017-8570, CVE-2017-11882 und CVE-2018-0802 von „Microsoft Word“. Darüber wird unbemerkt eine Verbindung zu einem C&C-Server über eine Backdoor hergestellt: Die Datei „smrs.exe“ (d68351f754a508a386c06946c8e79088) initiiert einen Shell-Befehl, der wiederum den „Cobalt Strike Beacon“ herunterlädt.
Im Anschluss daran werden Zugangsdaten zum Domain-Server entwendet, getestet und schließlich der Domain-Controller übernommen. Mit Ende dieser ersten Angriffswelle um 18.20 Uhr sind die Angreifer bereits in der Lage, weitere Nutzerdaten herunterzuladen und auszuführen, sich unbemerkt durch das System zu bewegen, Dateien zu löschen und Registrierungsschlüssel zu beseitigen, um ihre Spuren zu verwischen.

Tage 1-28: Die Ausspähung

In den fünf darauffolgenden Wochen konzentrieren die Angreifer ihre Aktivitäten darauf, systematisch zahlreiche Arbeitsplätze zu kompromittieren, um an Informationen zu gelangen, die von Nutzen sein könnten.
Am Tag 10 erfasst der Angriff den dreizehnten Endpunkt, welcher im späteren Verlauf für die Informationssammlung und -speicherung genutzt wird.
Am Tag 28 wird eine Reihe von als potenziell wertvoll erachteten Dokumenten zu internen Anwendungen und Verfahren für die Exfiltration vorbereitet.

Tage 30-63: Die Informationssammlung und Vorbereitung des Diebstahls

Im weiteren Verlauf wird die Informationssammlung systematisiert. In einem Zeitraum von 17 Tagen legen die Angreifer verschiedene Ordner mit Handbüchern, Anleitungen und Schulungsunterlagen für verschiedene Anwendungen an. Dabei ist davon auszugehen, dass diese Informationen nicht nur dazu dienen, den finalen Diebstahl ausführen zu können, sondern auch dazu verwendet werden, Angriffstaktikten für künftige Ziele mit vergleichbaren Systemen zu verfeinern.
Ab Tag 33 beginnen die Angreifer damit, interne Hosts und Server zu kompromittieren, die für den eigentlichen Raubüberfall benötigt werden. Der „Cobalt Strike Beacon“ erzeugt einen VPN-Tunnel zu einem externen Arbeitsplatz der Hacker, von dem aus ausgewählte Workstations der legitimen Bankeninfrastruktur angemeldet werden. Diese C&C-Verbindungen dauerten zwischen 20 Minuten und einer Stunde und wurden stets außerhalb der Geschäftszeiten und an Wochenenden durchgeführt.
An Tag 63 schließlich verwischen die Angreifer ihre Spuren, indem sie sämtliche Beweise für ihre Informationssammlung vernichten.

Mittels „Money Mules“ ggf. beliebig oft den festgesetzten Höchstbetrag abheben können

Wäre der Angriff unentdeckt geblieben, hätten die Hacker die Kontrolle über das Geldautomatennetzwerk der Bank erlangt. Damit wären sie in der Lage gewesen, das Auszahlungslimit an Geldautomaten mit einer vorab autorisierten Karte zurückzusetzen. Auf diese Weise hätten die vor Ort abgestellten „Money Mules“ beliebig oft den festgesetzten Höchstbetrag abheben können, ohne dass von dem betreffenden Automaten die Transaktion als verdächtig an die Bank gemeldet würde.
Im Allgemeinen sei eine Infiltration mittels Spear-Phishing-Kampagnen nicht ungewöhnlich, da es derartigen E-Mails meistens gelinge, Sicherheitsmaßnahmen auf Server-Ebene zu umgehen. Unternehmen könnten das Risiko einer Infektion minimieren, „wenn Endpoint-Security-Lösungen eingesetzt werden, die über URL-Filter, verhaltensbasierte Analysen und Sandboxing verfügen“.
Ein Untersuchungsbericht fasst laut Bitdefender die zeitliche Abfolge und einzelnen Schritte der Attacke zusammen und steht zum Download zur Verfügung.

Abbildung: Bitdefender

Anatomie eines Bankenangriffs: Zeitspanne über 64 Tage

Weitere Informationen zum Thema:

Bitdefender/Labs, 04.06.2019
An APT Blueprint: Gaining New Visibility into Financial Threats

datensicherheit.de, 20.05.2019
KI-basierte Cyber-Angriffe: Präventive Sicherheitsmaßnahmen erforderlich

datensicherheit.de, 11.12.2018
Bitdefenders Cybersicherheitsprognosen: Top 10 für 2019