Die Postbank und die Phisher

Montag, 6. Juni 2005, 14.29 Uhr

Gerade trudelte wieder einmal eine Mail ein, die angeblich von der Postbank stammt. In ihr warnt man mich angeblich vor gefährlichen Online-Betrügereien und fordert mich auf, eine bestimmten Webseite zu besuchen und dort meine TANs einzugeben (bzw. „einzutasten“).

Einmal davon abgesehen, dass ich kein Postbank-Kunde bin und schon allein deshalb die Mail erkennbar ein Betrugsmanöver ist, scheint sie auch sonst wenig dazu angetan, jemanden erfolgreich hereinzulegen. Der Text ist deutsch (oder soll es doch sein), aber von jemanden geschrieben worden, der entweder kein Muttersprachler ist oder sehr seltsame Vorstellungen über den Satzbau und die Wortwahl im Deutschen hat.

Da fragt man sich, wer eigentlich auf so etwas hereinfällt. Eine kleine Kostprobe:

Warnung der Banksicherheitsdienst hinsichtlich der Internet – Misstaeter

[…]

Leider wurde von uns in der letzten Zeit, trotz der Anwendung von den TAN-Nummer, eine ganze Reihe der Mitteldiebstaehle von den Konten unserer Kunden durch den Internetzugriff festgestellt.

[ …]

Um die Missetaeter zu ermitteln und die Geldmittel von unseren Kunden unversehrt zu erhalten, haben wir entschieden, aus den TAN – Tabellen von unseren Kunden zwei aufeinanderfolgenden Codes zu entfernen.

[ …]

In dieser Form werden Sie ZWEI FOLGENDE TAN – CODEs, DIE SIE NOCH NICHT VERWENDET HABEN, EINTASTEN.

[…]

Wenn bei der Mittelueberweisung von Ihrem Konto gerade diese TAN – Nummer verwendet werden, so wird es fuer uns bedeuten, dass von Ihrem Konto eine nicht genehmigte Transitaktion ablaeuft und Ihr Konto wird unverzueglich bis zur Klaerung der Zahlungsumstaende gesperrt.

Wie sich die Postbank selbst ins Aus manövriert, Ihre Geschäftskunden los wird und mehr Schaden anrichtet, als es eine Phishing-Mail je könnte.

Auch wenn Wortschöpfungen wie „Internet-Missetäter“ oder „Mitteldiebstahl“ einen ganz eigenen Charme haben, ist die Postbank darüber natürlich nicht amüsiert und darum bemüht, ihre Kunden vor Phishing-Attacken zu schützen. Entsprechend finden sich auf den Webseiten der Postbank umfangreiche Warnungen und Erläuterungen, woran man eine Phishing-Mail erkennt.

Das ist zweifellos löblich und gut, doch das hat der Postbank nicht genügt. Also hat man sich zu einem drastischen Schritt entschieden, der nun allerdings ganz und gar nicht gut und nicht zu loben ist. Im Gegenteil, man fragt sich eher, wie eine Bank auf so eine Schnapsidee kommt – vorausgesetzt, diese Bank ist an Geschäftskunden interessiert.

Denn was hat man sich einfallen lassen? Ganz einfach: Ein Zwangslimit fürs Online-Banking. Die Grenze liegt bei 3.000 Euro. Wohlgemerkt: Für jeden Postbankkunden und für jede Online-Überweisung.

Nun sind 3.000 Euro natürlich nicht nichts und für viele Überweisungen im Geschäftsalltag reichen sie hin – aber im Geschäftsleben kommt es mitunter vor, dass man sehr viel größere Beträge überweisen muss.

Wer als Geschäftskunde der Postbank sagen wir mal eine Steuerschuld von 15.000 Euro begleichen muss, der hat ein nicht unerhebliches Problem. Ihm stehen folgende Möglichkeiten offen:

  • Überweisung per Briefpost: mit dem Risiko, dass die Überweisung verloren geht und der Zahlungstermin beim Finanzamt überzogen wird, was wiederum zur Zahlung von Strafgebühren (und also zu einem realen, finanziellen Schaden) führt.
  • Telefonbanking: Das ist nicht nur lästig, sondern bis 10.000 Euro begrenzt, bei 15.000 Euro also unbrauchbar.
  • Einsatz spezieller Buchungssoftware: Diese Lösung erfordert unter Umständen die völlige Umstellung des internen Buchungsverkehrs.
  • Stückelung der Zahlung in fünf 3.000 Euro-Überweisungen: Hier muss der Empfänger sich die eingegangenen Zahlungen aus seinen Kontoauszügen erst mühsam zusammeklauben und einem Rechnungsposten korrekt zuordnen – was nicht nur beim Finanzamt zu Problemen führen kann.

Für Geschäftskunden der Postbank wird die Abwicklung ihres Zahlungsverkehrs also aufwändiger, lästiger, fehleranfälliger und am Ende gar kostspieliger.

Und das nur, weil die Postbank eine bestehende Lösung sang- und klanglos abgeschafft hat, ohne eine sinnvolle Alternative zu bieten. Es wäre ja zum Beispiel denkbar, dass zwar ein Zwangslimit eingeführt wird, das man aber als Kunde für bestimmte Konten aufheben kann. Oder dass für Überweisungen ab einer bestimmten Höhe mehr als eine TAN erforderlich ist.

Wie gesagt, man fragt sich wie ein Bank überhaupt auf so eine seltsame Idee kommen kann – und vor allem, was das mit der Sicherheit vor Phishing-Attacken zu tun haben soll.

Hier ist die offizielle Begründung der Postbank:

„Mit dem neuen Überweisungslimit wird der Betrugsversuch unattraktiver.“

Gemessen an den Problemen, die die Postbank ihren Geschäftskunden bereitet, ist das doch eine eher schwachbrüstige Begründung – und sie ist wohl obendrein nicht ganz zutreffend.

Denn beim Phishing scheint es ohnehin um relativ kleine Beträge zu gehen, so dass ein Überweisungslimit hier nicht allzuviel hilft. Das zumindest legt eine Meldung nahe, die kürzlich in der „Süddeutschen Zeitung“ zu lesen war. Da wurde auf der Seite 1 die Zerschlagung eines Online-Betrügerrings gemeldet, der mit Phishing-Mails gearbeitet hat. Der Schaden, den die „Phisher“ angerichtet hatten, belief sich auf gerade einmal 4.000 Euro.


Ihr Kommentar Name (erforderlich):

Mail (wird nicht publiziert) (erforderlich):

Website: