Für den Test eröffnete «Kassensturz» bei vier verschiedenen Banken ein Konto und beauftragte Bernhard Plattner, Professor für technische Informatik an der ETH Zürich, und sein Team, die Konten zu hacken. Die Experten testet dabei sechs verschiedene Log-In-Systeme.
Als Werkzeug diente ein einfacher Trojaner, den ETH-Studenten ohne grossen Aufwand nachbauen können. «Solche Trojaner sind ein beliebtes Mittel von Cyber-Kriminellen: Sie werden über E-Mail oder andere auf den ersten Blick unauffällige Internetanwendungen auf den Computern von privaten Nutzern plaziert», sagt Bernhard Plattner.
Die Software auf dem Trojaner ermöglicht es den Hackern die Kontrolle über den Computer des Opfers zu übernehmen. Loggt sich nun das Opfer mit seinem geheimen Code in das Online-Banking seiner Bank ein, schicken ihm die Hacker einen fiktiven Sitzungsunterbruch – zum Beispiel eine Meldung, das Windows-Programm müsse eine Aktualisierung durchführen – und geben in dieser Zeit einen Zahlungsauftrag auf ein Konto ihrer Wahl ein.
Das Resultat der Hacking-Attacken hat selbst den Professor überrascht: Viele Banken schützen ihre Kunden nur ungenügend vor Hackern. Bei drei von vier Bankkonten gelang es den ETH-Fachleuten einzubrechen und einen Zahlungsaufträge auszuführen. Hacken konnten sie die Migrosbank, die Raiffeisenbank und Berner Kantonalbank. Das Konto der UBS hingegen widerstand den Angriffen.
Für den Sicherheitscheck musste «Kassensturz» aus rechtlichen Gründen die Einwilligung der Bankinstitute im Vorfeld einholen. Folgende Banken haben sich gegen einen Sicherheitscheck ausgesprochen: Postfinance, Credit Suisse und Zürcher Kantonalbank.
Banken sehen keinen Handlungsbedarf
Mit den Testergebnissen konfrontiert, geben sich die Bankinstitute gelassen: Die Migrosbank schreibt, ihr System sei sicher: seit der Einführung vor zwei Jahren sei es zu keinen Schadensfällen gekommen. Auch Raiffeisen betont die Sicherheit ihrer Systeme: In den letzten zehn Jahren sei es nur zu vier Schadensfällen mit geringen Beträgen gekommen. Die Berner Kantonalbank schliesslich ist ebenfalls von ihrem System überzeugt, will aber in Zukunft auch kleinere Beträge absichern.
