Die Kunden von dreizehn deutschen Banken sollen derzeit verstärkt das Ziel von Internetkriminellen sein, die mit einer Schadsoftware namens „Goznym“ versuchen, Bankkonten leerzuräumen. Das berichten Sicherheitsexperten des amerikanischen Informationstechnologie-Konzerns IBM, die zu einer speziellen Truppe mit Sitz im israelischen Haifa gehören, der sogenannten X-Force. Diese verfolgt neue Entwicklungen bei der Internetkriminalität in der ganzen Welt.

Die Hacker-Software war den Angaben zufolge schon im Frühjahr in den Vereinigten Staaten aufgetaucht. Im April soll sie einen Millionenschaden bei Kunden von mehr als 24 amerikanischen und kanadischen Banken angerichtet haben, wie Medien berichteten. Danach tauchte das Programm in Polen auf. „Jetzt sind offenbar Banken in deutschsprachigen Ländern an der Reihe“, sagte ein IBM-Sprecher. Laut IBM hat die Zahl der Angriffe von Goznym in Europa im August auffällig zugenommen, man habe knapp 1500 Angriffe registriert, nach kleineren Zahlen in den Vormonaten.

Spurensuche im Internet: So fahndet der Geheimdienst NSA nach Programmierern
Goznym ist ein sogenannter hybrider Trojaner, gleichsam ein „doppelköpfiges Monster“: Sein Name ist aus zwei Begriffen für frühere schädliche Programme zusammengesetzt, die dabei zusammenarbeiten: Nymaim und Gozi ISFB. Nymaim ist ein Trojaner, also ein Instrument, mit dem sich von Betrügern auf versteckte Weise schädliche Programme auf fremde Computer spielen lassen. Mit Gozi ISFB wiederum lassen sich Anmeldedaten abfangen, wenn Opfer eine Online-Banking-Seite besuchen. Die Kombination aus beiden Programmen eigne sich sehr gut für Online-Banking-Betrug, heißt es.

Betrug mit gefälschten Bank-Internetseiten

Die Betrüger arbeiten dabei offenbar unter anderem mit gefälschten Bank-Internetseiten, auf denen der Kunde zur Eingabe von Kontodaten und Pin-Nummern aufgefordert wird. Diese Seiten sähen mittlerweile täuschend echt aus – die Zeiten, in denen nur Gutgläubige auf laienhaft gemachte Fake-Internetseiten mit Tausenden Fehlern hereinfielen, seien offenbar vorbei, meinte der IBM-Sprecher. Ziel des Internetbetrugs sei es, Konten von Bankkunden leerzuräumen – und das Geld auf schwer erreichbare Konten in anderen Ländern zu transferieren.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bestätigte auf Anfrage, Goznym sei dort bekannt: „Goznym ist ein Online-Banking-Trojaner wie viele andere, die leider mit großem Erfolg von Online-Kriminellen eingesetzt werden“, sagte ein Sprecher. Weitere Informationen lägen nicht vor. Welche Banken im einzelnen von den Angriffen betroffen sind, dazu wollte IBM sich nicht äußern. „Es sind vor allem große Banken, aber auch eine Reihe von Genossenschaftsbanken und Sparkassen“, sagte Limor Kessem, Executive Security Advisor bei IBM.

Angriffe bei Sparkasse in „überschaubarer Zahl“

Beim Deutschen Sparkassen- und Giroverband (DSGV) hieß es auf Anfrage, in den Rechenzentren der Sparkassengruppe seien im Juni und Juli tatsächlich Angriffe von Goznym in überschaubarer Zahl registriert worden. „Die meisten davon konnten abgewehrt werden“, sagte ein Sprecher des Verbands. Für August lägen noch keine Zahlen vor, daher könne man einen weiteren Anstieg der Zahl der Angriffe weder bestätigen noch dementieren. Der Schaden werde als „mittlere Bedrohung“ eingestuft. Die Sparkassen haben bereits am 8. August Kunden vor dem Trojaner gewarnt. Misstrauisch machen sollten einen demnach E-Mails mit Betreffzeilen wie „Konto-Lastschrift Nr. konnte nicht vorgenommen werden“ oder „Lastschrift konnte nicht durchgeführt werden“ oder „Ihre Rechnung Nummer vom“ mit einem Anhang an der Mail. Ansonsten hielten die angefragten Banken sich mit Aussagen zu diesem Thema zurück. Comdirect und Targobank teilten mit, ihnen lägen keine Meldungen über Schadensfälle vor. Die Deutsche Bank äußerte, sie kenne die Schadsoftware, könne aber einen Anstieg der Schadensfälle nicht bestätigen.

Beunruhigte Bankkunden, die sich vor Schäden durch solche Internetkriminelle schützen wollen, sollten nach Angaben des Bundesamtes auf zwei Punkte achten: Auf der einen Seite sollten sie ihre Rechner so gut wie möglich schützen, indem sie regelmäßig Anti-Viren-Programme aktualisieren und Sicherheits-Updates für Betriebssystem, Browser und sonstige genutzte Software aufspielen. Auf der anderen Seite sollten sie vorsichtig sein, wenn sie den Kontakt zu ihrer Bank über einen Link aus einer E-Mail oder einen am Telefon genannten Link herstellen sollen.

Kunden sollen Daten nur auf Original-Internetseite eingeben
Auch bei der Deutschen Bank hieß es, die Kunden sollten ihre Daten grundsätzlich nur auf der Original-Internetseite der Bank eingeben und ihre Rechner so gut wie möglich gegen Betrugs-Software wappnen. Die Bank verschicke in aller Regel keine Mails mit irgendwelchen Links, über die man zu seinem Konto gelange. Auch Anrufe von Seiten der Bank bei Kunden, in denen diese aufgefordert würden, an ihrem Computer einen Link einzugeben und anzuklicken, seien unüblich.

Hundertprozentig sicher ist laut IBM auch die Eingabe von Kundendaten auf der Originalinternetseite von Banken nicht. „Nicht nur der Klick auf Fake-Webseiten ist das Thema, der Trojaner arbeitet auch als Man in the Middle und leitet Sie auf die Fake-Seiten um, auch wenn Sie die korrekte URL im Browser eingeben, wenn das System einmal infiziert ist“, sagte der IBM-Sprecher.

Tags: