24You

Das neue Internetbanking der Bank Austria.

OnlineBanking & BusinessNet

Das gewohnte Internetbanking für Privatkunden und Unternehmen

olbImgAlt Informieren Sie sich jetzt
MegaCard – gratis für alle zwischen 14 und 20 Jahren Informieren Sie sich jetzt ›

Cyper-Attacken sind rasant im Steigen begriffen.
Laut Experten hilft vor allem eines gegen die Bedrohung aus dem Internet: Awareness.

Dass Cyberkriminalität eine ernstzunehmende Bedrohung darstellt, steht außer Frage. Und dass sie in Österreich stark zunimmt, ebenso. Laut einer Studie („Cyber Security in Österreich“) von KPMG ist die Zahl der betroffenen Unternehmen allein zwischen September 2016 und September 2017 von 49 Prozent auf 72 Prozent angestiegen. Auch wenn Industrieunternehmen besonders betroffen waren – rund 87 Prozent wurden angegriffen – fällt das Fazit von Andreas Tomek, Partner bei KPMG, eindeutig aus: „Es kann und wird jeden treffen.“

Zu den häufigsten Angriffsmethoden zählen laut der Studie Schadsoftware (90 Prozent), Phishing (89 Prozent) und Social Engineering bzw. soziale Manipulation (47 Prozent). Wie Wolfgang Trexler von der Abteilung Integrated MultiChannel Strategy der UniCredit Bank Austria bestätigt, handelt es sich bei allen dreien um Cyberbedrohungen, mit denen sich Unternehmen – so wie im Übrigen auch Private – ernsthaft auseinandersetzen sollten. In der Regel setzen die Kriminellen auf Kombinationen mehrerer Methoden, mit dem Ziel, ihren Opfern Geld abzuluchsen.

Beim Phishing handelt es sich um eine Art Trickbetrug mit Elementen des Social Engineerings, bei dem sich die Betrüger über ein gefälschtes E-Mail Verfügernummer und PIN sowie über einen Anruf einer falschen Bankmitarbeiterin die mobileTAN (vom Handy) erschleichen. Beim Angriff mittels Schadsoftware (Trojaner) werden die Zugangsdaten und TANs direkt bei der Eingabe am PC ausgespäht oder am Handy von Spionagetools abgefangen. „Dank einer Reihe vom Sicherheitsmaßnahmen sind Phishing und Trojaner heute kein Dammbruch mehr“, sagt Trexler. Bei der UniCredit Bank Austria setzt man auf eine Reihe von Sicherheitsmaßnahmen, wie das CardTAN Autorisierungsverfahren, mobileTAN Push und erweiterte Sicherheit beim Login.

Raffinierter Betrug

Ausschließlich an Firmenkunden richtet sich eine besonders ausgefeilte Betrugsvariante: Der CEO-Fraud (auch Invoice-Fraud). Hier gibt sich der Betrüger als Geschäftsführer oder Direktor eines Unternehmens aus, nimmt per Mail oder Telefon Kontakt zu Mitarbeitern, die für die Finanzen verantwortlich sind, auf und weist eine Überweisung an. „Da der Täter meist die E-Mail-Accounts des Unternehmens gehackt hat, ist er etwa über den Tonfall des CEO sowie über aktuelle Projekte bestens informiert“, so Maja Hoffmann vom Anti Fraud Management der UniCredit Bank Austria.

Wie kann man sich gegen Cyber-Attacken am besten schützen? Die Expertinnen und Experten der UniCredit Bank Austria empfehlen Unternehmen, sich über IT-Sicherheitspakete zu informieren, die am besten zu ihnen passen. Das Angebot sei hier entsprechend groß. Auch sei es wichtig, regelmäßig Updates durchzuführen. „Allerdings ersetzt kein Produkt Awareness“, sagt Hoffmann. Wenn man etwa auf ein gefälschtes E-Mail reinfalle und einen Link anklicke, könne man etwas lostreten, das alle technischen Sicherheitsmaßnahmen obsolet mache. Nachsatz: „Die anfälligste Software sitzt an der Tastatur.“

Häufige Cyber-Bedrohungsarten

Phishing:
Phishing ist eine Kombination von „Password“ und „Fishing“ und steht für das Fischen nach vertraulichen Informationen wie Online-Banking-Zugangsdaten. Bei dem Trickbetrug, der mit Methoden des Social Engineerings arbeitet, erhält das Opfer z.B. ein vermeintlich von seiner Bank versendetes E-Mail – etwa mit der Aufforderung, seine Zugangsdaten preiszugeben.

Schadsoftware:
Dazu zählen unter anderem Viren, Würmer und Trojaner. Sie wurden entwickelt, um auf den Endgeräten der Opfer unerwünschte und oft schädliche Funktionen in Gang zu setzen. Die Folgen reichen von nicht sofort spürbaren Beeinträchtigungen – wie dem Ausspionieren von Informationen – bis hin zur Manipulation und Zerstörung ganzer Softwaresysteme.

Social Engineering:
Die Gefahr von zwischenmenschlichen Manipulationen mit dem Ziel, bei den Opfern bestimmte Verhaltensweisen in Gang zu setzen – etwa die Preisgabe vertraulicher Informationen –, ist vermutlich so alt wie die Menschheit. Digitale Technologien haben zu immer ausgefeilteren Delikten, die schon oft Millionenschäden verursacht haben, geführt. Die Täter setzen auf eine Mischung aus Vertrauen und Angst.

Sicherheitsmaßnahmen

Die UniCredit Bank Austria hat mit einer Reihe von Maßnahmen das Risiko von Cyber-Attacken für ihre Kunden erheblich reduziert:

cardTAN:
Die aktuell sicherste Zahlungsmethode im Electronic Banking. Dabei handelt es sich um ein standardisiertes Autorisierungsverfahren. Die Funktionsweise: Der Zeichner generiert den TAN zur Zeichnung mit seinem CardTAN-Lesegerät und seiner Bankkarte. Die Authentifizierung des Kunden erfolgt mittels CardTAN-Karte oder CardTAN-fähiger Bankkarte.

mobileTAN Push:
Bei der Weiterentwicklung der mobileTAN SMS  fordert der Zeichner den mobileTAN Push im Zuge der Unterschrift im BusinessNet oder OnlineBanking an. Eine Push-Nachricht wird auf das registrierte Endgerät des Kunden geschickt.
Das „Sandboxing“ der Betriebssysteme stellt sicher, dass die Nachricht von anderen Apps nicht ausspioniert werden kann.

Verteilte Kompetenzen:
Erfolgt nach dem Vier-Augen-Prinzip. Experten empfehlen Unternehmen etwa das Einzelzeichnungsrecht bei Transaktionen zu unterbinden und mehrere Personen einzubinden: Erfasser, Info-Berechtigte und Zeichnungsberechtigte.

Erweiterte Sicherheit beim Login:
Mit dieser Funktion können Kunden ihren BusinessNet- oder OnlineBanking-Zugang noch besser gegen unbefugte Zugriffe schützen. Der Hintergrund: Bei jedem Login wird zusätzlich eine TAN abgefragt.