cash.ch: Wieso gibt es so viele Mail-Phishing-Attacken auf Bankkunden?
Alexandra Arni: Phishing-Attacken machen etwa 51 Prozent aller sogenannten Social-Engineering-Angriffe aus. Betrügerinnen und Betrüger versuchen dabei mit Mails, an das Geld von Bankkundinnen und -kunden zu gelangen. Es ist die erfolgreichste Methode, weil diese relativ einfach umgesetzt werden kann und häufig erfolgreich ist.
Als Bankkunde muss ich also immer damit rechnen, Opfer einer Phishing-Attacke zu werden?
Dieses Risiko besteht immer. Deshalb ist es wichtig, dass Bankkundinnen und Bankkunden sorgfältig mit ihren Mail-Passwörtern umgehen. Mit den Möglichkeiten der Künstlichen Intelligenz (KI) wird es künftig immer schwieriger werden, ein Mail von der eigenen Bank von einem gefälschten bei einem Betrugsversuch zu unterscheiden.
Kann man das Original vom Betrugsmail unterscheiden?
Ein Mail sollte immer genau angeschaut werden. Dazu gehört die Prüfung der Absenderin oder des Absenders und die Übereinstimmung der Domain mit dem vermeintlichen Absender oder der vermeintlichen Absenderin. Bankkundinnen und -kunden sollten sich dabei fragen, ob das Mail Sinn ergibt. Im Zweifelsfall sollten sie immer bei ihrer Bank nachfragen. Besonders wichtig ist es, nicht einfach auf einen Link zu klicken, bei dem nicht sicher ist, wohin er führt.
Die Berichte über erfolgreiche Phishing-Attacken reissen nicht ab. Sind die Bankkunden zu unvorsichtig?
Es gibt keine 100-prozentige Sicherheit, weil Phishing-Mails sehr authentisch aussehen. Niemand ist davor geschützt, wir können alle Opfer einer Phishing-Attacke sein.
Solche betrügerischen Nachrichten kommen nicht nur per E-Mail, sondern auch per SMS und Whatsapp an?
Solche Nachrichten nehmen leider laufend zu. Die Empfängerinnen und Empfänger werden dabei aufgefordert, zum Beispiel bezüglich einer Paketabholung aktiv zu werden und auf einen Link zu klicken. Das sollte unbedingt vermieden werden.
Ein anderes Problem ist der Anlagebetrug über Social Media mit hohen Renditenversprechungen?
Die Fälle nehmen hier ebenfalls immer mehr zu. Oftmals geht es aber auch hier darum, an Passwörter zu gelangen. Der Betrüger oder die Betrügerin täuscht dazu eine Identität vor. Mit Identitätsdaten können zum Beispiel falsche Konten auf den Namen des Bankkunden oder der Bankkundin erstellt werden, die dann für kriminelle Zwecke genutzt werden können.
Gibt es eine effektive Abwehr gegen Identitätsdiebstahl?
Heute sind über die Social-Media-Kanäle immer mehr persönliche Informationen und Fotos öffentlich zugänglich. Dadurch werden Kundinnen und Kunden angreifbarer, weil diese Daten für fremde Zwecke verwendet werden können. Deshalb sollte sich jede und jeder genau überlegen, welche Informationen sie oder er veröffentlicht.
Kann ein Laptop so sicher sein, damit das Risiko möglichst gering bleibt?
Auf jeden Fall sollte immer ein aktueller Antivirus-Schutz auf dem Laptop installiert sein. Zusätzlich wird es immer wichtiger, sich mit einer sogenannten Multifaktor-Authentifizierung auf Finanzportalen anzumelden. Das heisst, man erhält zum Beispiel nach dem Login im E-Banking eine Zahlenkombination per SMS zugestellt, die man anschliessend am Laptop zur Bestätigung des Zugangs eingeben muss. Es gibt aber auch sichere Verfahren, bei welchen ein QR-Code eingelesen werden muss. Ganz wichtig ist hier, dass die Internetadresse der Bank von Hand eingetippt wird und nicht nach einer Suchanfrage bei Google auf das E-Banking zugegriffen wird. So kann verhindert werden, dass man auf eine schädliche Seite umgeleitet wird.
Wie wichtig ist das Passwort?
Mit dem richtigen Umgang mit Passwörtern wird sehr viel erreicht. Erstens sollten die Passwörter regelmässig geändert werden. Ein Passwort sollte aus zehn bis fünfzehn Zeichen bestehen und Sonderzeichenzahlen, Zahlen sowie Gross- und Kleinbuchstaben beinhalten. Vor allem sollten auch keine persönlichen Informationen wie das Geburtsdatum in einem Passwort verwendet werden. Das automatische Speichern von Passwörtern im Browser ist ebenfalls nicht empfehlenswert. Zudem ist es wichtig, für verschiedene Internetdienste unterschiedliche Passwörter zu nutzen.
Mit einer Zwei-Faktor-Authentifizierung und einem sicheren Passwort hat man schon relativ viel erreicht?
Auf jeden Fall. Insbesondere die biometrische Authentifizierung bietet eine hohe Sicherheit, da die biometrischen Merkmale einzigartig sind. Mittels Gesichtserkennung (Face ID) oder Fingerabdruck (Touch ID) kann beim Einloggen festgestellt werden, ob eine Person die tatsächliche Eigentümerin oder der tatsächliche Eigentümer des Geräts ist. Ausserdem empfiehlt sich vor allem bei grösseren Kreditkartentransaktionen eine zusätzliche Bestätigung der Transaktion.
Mittlerweile kann man Stimmen fälschen oder vortäuschen, jemand anderes zu sein. Wie problematisch ist das?
Das sind sogenannte Deepfakes, die ebenfalls immer häufiger verwendet werden. Dies kann am Telefon geschehen oder bei Video-Calls. Auch hier gilt deshalb, zuerst rückzufragen und abzuklären, ob es sich tatsächlich um diese Person handelt. Gerade ältere Personen sollten für dieses Thema sensibilisiert werden und mit ihrem Umfeld darüber sprechen.
Alexandra Arni ist Mitglied der Direktion und Leiterin ICT der Schweizerischen Bankiervereinigung, bei welcher sie seit 1999 tätig ist. Sie vertritt den Verband in nationalen und internationalen Gremien im Bereich Informationssicherheit & Cyberabwehr. Seit Juli 2023 ist Arni Geschäftsführerin des Vereins Swiss Financial Sector Cyber Security Centre (Swiss FS-CSC).
8 Kommentare
Bei den Phishing Mails wird ja in der Regel vorgegeben, dass die Bank die Sicherheitsmassnahmen verbessert hat. Deshalb solle man den Link klicken sonst wird das Konto gesperrt.
@Alexandra Arni: machen das Banken tatsächlich, dass sie solche Aufforderungen per Mail senden?? Wenn ja, dann ist das grobfahrlässig und kein Wunder, dass man auf diese immer besser gemachten Phishing Mails reinfällt.
Die einzige Waffe gegen Phishing und sonstigen Passwortklau ist passkey, welches auf Fido2 basiert. Man meldet sich auf einer Webseite ohne Passwort an, sofern der Webdienst dies unterstützt. Jedes modernere Gerät (Windows, iOS, MacOS, Android) unterstützen dies bereits. Bei Google, Microsoft, github, Apple, Paypal kann man sich bereits mit passkeys anmelden.
Bei der Registrierung von passkeys werden ein privater und ein öffentlicher Schlüssel nach dem RSA-Verfahren erstellt. Der öffentliche Schlüssel kann jeder haben. Der private Schlüssel bleibt geheim und ist auf dem Gerät, wo er abgespeichert ist, weder auszulesen, noch zu kopieren. Auch der Webdienst besitzt ihn nicht. Man beweist quasi nur, dass man ihn hat, ohne ihn herauszugeben.
Im öffentlichen Schlüssel ist auch die Webadresse enthalten, wo man berechtigt ist, also für ein Phisher völlig wertlos. Auch fällt der Passwortklau dahin.
Mühsam für den Lesefluss, dieses repetitive Gendern.
Das nervt mich auch, deshalb habe ich ein Plugin für den Browser installiert. Die heissen in der Regel Anti-Gender oder dergleichen.
@ffehlmann und @friedrich
wenn das euer einziges Problem ist ...
Die Banken sollten ausschliesslich innerhalb ihres E-Banking Systems mit Kunden kommunizieren und gar keine E-Mails an Kunden mehr verschicken. Und falls es super wichtig ist dann halt noch immer per Post. Und somit wird es klar, dass die Bank nie eine E-Mail oder SMS verschicken würden und der Kunde fällt nicht mehr in solche Betrugsmails rein. Oder zumindest ein grossen Teil kann ausgeschlossen werden kann.