IT-Experte Gianclaudio Moresi (53) schlägt wegen neuen Hacker-Methoden Alarm

«Unser Geld ist auf der Bank nicht mehr so sicher wie früher»

Beat Michel und Qendresa Llugiqi

Beim Ehepaar Jost haben alle Sicherheitsmassnahmen nicht geholfen. Trotz Zwei-Faktor-Authentifizierung (2FA) übers Handy konnten Cyber-Diebe das Konto leerräumen. 20'000 Franken waren innert Minuten einfach weg. Auch die rasch kontaktierte Bank kann dem Paar nicht weiterhelfen, obwohl es zunächst so wirkte, als ob das Geld noch im Inland – einfach auf einer anderen Bank – liege. Schliesslich erklärte die Bank: «Selbst Schuld!»

In den Kommentaren zum 2FA-Trick meldete sich unter anderem IT-Experte Gianclaudio Moresi (53). Er arbeitet für grosse Firmen und lehrt an der Uni St. Gallen. Er warnt: «Banken sind sich bewusst, dass die heutigen Sicherheitsmethoden keine absolute Sicherheit mehr bieten.»

Sicherheitsverfahren, die eigentlich Schutz bieten sollen, seien längst überholt. Der Spezialist hat zu diesem Thema bereits auf zahlreichen Konferenzen präsentiert und mehrere Whitepapers dazu veröffentlicht. Besonders die Zwei-Faktor-Authentifizierung weise seit Jahren bekannte Schwachstellen auf.

Mehr zum Thema Betrüger

Auf Tutti-Trick reingefallen

«Ich schäme mich, aber es kann wirklich jedem passieren»

Wie Robert N. (70)

Nirgendwo verlieren Betrugsopfer so viel wie in der Schweiz

Wieso Authentifizierung scheiterte

Im Fall der Josts verwendeten die Kriminellen laut Moresi eine Technik namens Man-in-the-Middle-Attack (MitM). Dabei klinkt sich der Hacker unbemerkt zwischen Nutzer und Bank ein, beobachtet den Datenverkehr und fängt den Login-Link des Kunden ab. Mit diesem sogenannten Reverse Proxy kann sich der Kriminelle im Hintergrund ins Konto einloggen – trotz Zwei-Faktor-Authentifizierung.

«Die Hacker können Transaktionen durchführen, ohne dass selbst der vorsichtigste Kunde eine Chance hat, das zu verhindern», sagt Moresi. Sein Fazit: «Unser Geld ist auf der Bank nicht mehr so sicher wie früher.» Durch Künstliche Intelligenz würden Angriffe noch raffinierter und in rasanter Kadenz ausgeführt.

1:29

Hacker ergaunern 20'000 CHF:«Die Bank sagt, ich sei selbst schuld»

Outsourcing der Verantwortung

Was ihn besonders beunruhigt: «Die Banken wälzen die Verantwortung auf ihre Kunden ab. Doch die können wenig tun – die Institutionen haben viel mehr Möglichkeiten.» Mit gezielten Investitionen könnten Banken verdächtige Verbindungen erkennen, das Verhalten prüfen und auffällige Überweisungen sofort stoppen.

Positiv erwähnt Moresi die zum Beispiel UBS: Bei grossen oder ungewöhnlichen Zahlungen werde dort eine zweite Authentifizierung verlangt – das erhöhe die Sicherheit spürbar.

Das 400 Milliarden-Geschäft

Cybercrime ist für Betrüger ein lukratives Geschäft. Gemäss aktuellen Studien wird der Schaden weltweit auf über 400 Milliarden US-Dollar geschätzt. Die Schweiz gehört neben den USA und Dänemark zu den Hotspots: Über 42'000 Cyberbetrugsfälle wurden gemäss der Polizeilichen Kriminalstatistikk 2024 gemeldet – 40 Prozent mehr als im Vorjahr. Gemäss Meldungen an das Bundesamt für Cybersicherheit stehen Betrug und Phishing regelmässig an der Spitze.

Auch Banken wissen um ihre sensible Rolle in diesem System. Laut der Schweizerischen Bankiervereinigung (SBVg) ist das Sicherheitsniveau im Schweizer Finanzsektor jedoch hoch. «Die Banken investieren konsequent in ihre Sicherheitssysteme und Prävention», sagt Richard Hess (38), Leiter Digital Finance, auf Blick-Anfrage. Er betont: «Die Bankensysteme sind robust und entsprechen den heutigen Anforderungen in Sachen Verschlüsselung und Authentifizierung.»

Aus Sicht des SBVg – zu deren Mitglieder etwa UBS, Raiffeisen und PostFinance – zählen – geschehen die meisten Betrugsfälle nicht, weil die Sicherheitssysteme versagen. «Die Schwachstelle bleiben klar wir Menschen», sagt Hess. «Betrüger wissen das und nutzen psychologische Tricks, um uns gezielt zu manipulieren.» Mit dem technologischen Fortschritt sei es auch immer einfacher, mit «wenig Aufwand eine sehr glaubwürdige digitale Realität vorzutäuschen». Im Fall der Josts: die Fake-Webseite der Bank.

4:11

Experte für Cyber-Security:«Schutz vor Hacker-Angriffen ist extrem aufwendig»

Mehr und bessere Zusammenarbeit

Trotzdem sieht auch die Vereinigung Verbesserungspotenzial. Hess erklärt: «An erster Stelle steht die Sensibilisierung und Aufklärung der Kundinnen und Kunden. Nur wer die gängigen Betrugsmaschen kennt, kann sich wirksam davor schützen.» Hierzu gibt es bereits Initiativen in der Schweiz, die Kräfte könnten laut Hess aber noch stärker gebündelt und Kampagnen abgestimmt umgesetzt werden.

Zugleich brauche es auch technische Lösungen, so Hess. «Idealerweise sollen Systeme in Echtzeit bankübergreifend Transaktionen auf verdächtige Muster überprüfen und den Banken entsprechende Hinweise zurückspielen, um betrügerische Zahlungen zu verhindern – bevor sie überhaupt ausgelöst werden», erklärt er. «Selbstverständlich unter Einhaltung von Datenschutz und anderen regulatorischen Anforderungen.» Entsprechende Initiativen würden derzeit vertieft geprüft.

Ausserdem will die Vereinigung die Zusammenarbeit mit anderen Akteuren – wie etwa Meta mit seinen Social Media-Plattformen – verbessern. Der Grund: «Meist wird auf anderen Kanälen Kontakt zu den Opfern erstellt, weshalb wir schon dort ansetzen wollen.» Doch Hess ist sich bewusst: «Wir können Betrugsmaschen nur erschweren, ganz verhindern lässt sich die Abzocke leider nicht.»

3:17

Tipp vom «Beobachter»-Experten:So schützt du dich vor Kreditkarten-Betrug