Sicherheit von Banking.pdf

Immer wieder werden wir zur Frage der Sicherheit des Homebankings konsultiert.

In diesem Dokument möchten wir Ihnen einen Überblick über die heute gängigen Verfahren geben sowie auf eventuelle Sicherheitsrisiken und Schutzmöglichkeiten hinweisen.

Generell ist Homebanking nicht sicherer oder unsicherer als herkömmliche Verfahren der Interaktion mit der Bank, Überweisungsformulare können gefälscht werden, oder bei persönlichen Abhebungen können sie sich sogar einer Gefährdung von Gesundheit und Leben, in Form eines Überfalls aussetzen.

Dennoch bietet Homebanking neben aller Vorteile auch gewisse Sicherheitsrisiken.

Verfahren PIN/TAN

Über Webinterface:

Beim PIN/TAN-Verfahren über ein Webinterface mit Hilfe einer Web-Adresse, (z.B. www.sskm.de für Stadtsparkasse München) die Sie in Ihrem Internet-Browser eingeben können, wird eine Internetseite aufgerufen. Um das Online-Banking durchführen zu können wird Ihr Internet-Browser eine verschlüsselte Verbindung aufbauen, welche im Browser an einem geschlossenen Schloss und in der Adress-Zeile an einem vorangestelltem https:// erkenntlich ist. Dort können Sie sich in ein Online–Portal mit Ihrer Kontonummer und einer PIN (Personal Identification Number) einloggen. Ab diesem Zeitpunkt haben Sie anschließend die Möglichkeit Abfragen auszuführen (z.B. Kontostand, Kontobewegungen). Um Transaktionen durchzuführen (z.B. Überweisungen, Daueraufträge) müssen Sie nun diese Transaktion mit einer einmalig gültigen TAN (Transaktions- Nummer) verifizieren.

Schwachstellen:

Angriffe sind bisher in der Regel auf die Webserver der Banken durchgeführt worden. Das heißt die Webportale sind gehackt worden, und z.B. Links (Verweise) abgeändert worden.

Neu ist auch, die sogenannte fishing Methode. Bei dieser Methode werden Ihnen E-Mails zugesandt, in denen Sie aufgefordert werden Ihre Kontodaten sowie PIN/TAN einzugeben.

Haben Sie nun Ihre Kontonummer/PIN eingegeben, werden diese nicht nur an die Bank übermittelt, sondern an den Hacker-Computer.

Führen Sie jetzt eine Überweisung aus und geben eine zugehörige TAN ein, simuliert der Hacker-Computer nun eine Bestätigung, so dass es für den Benutzer scheint, als wäre die Überweisung korrekt getätigt worden. Jedoch führt der Hacker Ihre Überweisung natürlich nicht aus. Somit bleibt die TAN ungenutzt und damit gültig. Der Hacker ist nun im Besitz Ihrer Kontonummer mit PIN und einer gültigen TAN und kann nun Überweisungen nach eigenen Bedürfnissen tätigen.

Schutzmöglichkeiten:

Achten Sie auf das Aussehen Ihres Webportals, sowie auf die in der Adress-Zeile angezeigte Adresse. Steht z.B. normalerweise https://homebanking.sskm.de/ in der Adress-Zeile und plötzlich https://homebanking.212.117.35.78.de sollten Sie aufmerksam sein, eine Bank wird normalerweise kaum einfach die Adresse seines Portals ändern.

Auch wenn plötzlich Hinweise auf Umbauten auf der Website angezeigt werden, lieber mal einen Tag warten, bzw. direkt bei der Bank anrufen und nachfragen, ob diese Umbauten bekannt sind.

Im Browser sollte NIEMALS die Option „Passwörter Speichern“ aktiviert sein, da dies einem Hacker möglicherweise die Chance gibt diese auf ihrem Rechner gespeicherten Daten auszulesen und mißbräuchlich zu verwenden. Sollten Sie öfter Passwörter auf Webseiten benötigen und möchten Sie diese automatisch speichern, verwenden Sie Zusatztools wie „Roboform“

Über Homebanking Software:

Homebanking Software ist eine angenehme Sache, birgt allerdings auch Sicherheitsrisiken. Homebanking Software ist zum Beispiel T-Online Homebanking, Star Money, Microsoft Money, Quicken, sowie z.T. Bankspezifische, oder in Buchhaltungsprogramme integrierte Bankfunktionen.

Schwachstellen:

Hier gibt es mehrere Möglichkeiten, derer sich bedient werden kann.

Scriptsteuerung, Keystroke Logger.

Über einen Keystroke Logger können Tastatureingaben aufgezeichnet werden und je nach Programmierung an einen entfernten Empfänger übermittelt werden, oder an ein Script übergeben werden.

Über den Keystroke Logger können Eingaben wie PIN/TAN und Banking Programm Passwörter bei der Eingabe aufgezeichnet werden. Diese können dann z.B. an eine Scriptsteuerung übergeben werden, mit denen dann die Banking Programme (auch unsichtbar im Hintergrund) gestartet werden können und somit mit Ihren persönlichen Daten Aufträge ausführen können. Des Weiteren können Übermittlungen, des Banking Programms auch umgeleitet werden, so dass der Empfänger der Daten nicht die Bank ist, sondern der Hacker.

Schutzmöglichkeiten:

Eine grundliegende Vorsichtsmassnahme sollte sicherlich sein, PIN/TAN Daten NIE im Computer zu speichern. Damit ist die Hürde Ihre Daten zu erfassen sicherlich höhergesetzt.

Des Weiteren sollte immer eine aktuelle Version einer Antivirus Software auf ihrem Rechner installiert sein, um in der Lage zu sein Viren, Trojaner (z.B. Keystroke Logger), sowie bösartige Codes auf Webseiten zu erkennen und abzublocken.

Eine Firewall hilft Verbindungsversuche von Trojanern, u.ä. zu erkennen und blockieren.

Hier verweisen wir auf die Dokumente über Antivirensoftware und Firewall.

HBCI Verfahren

Das HBCI (Home Banking Computer Interface) funktioniert über RSA Verschlüsselungstechnologie. D.h. Ihre Daten werden vor dem Versand verschlüsselt und können von einem Hacker somit nicht verwendet werden.

Verfahren HBCI per Diskette

Bei der HBCI Verschlüsselung wird der Schlüssel auf einer Diskette gespeichert. Der Schlüssel ist solange sicher, als die Diskette nicht im Laufwerk liegt. Sobald jedoch die Diskette im Computer liegt, können versteckte Programme (z.B. Trojaner) die Diskette auslesen und die Daten an den Hacker übermitteln. Sobald der Hacker in Besitz Ihres Schlüssels ist, ist er in der Lage Transaktionen in Ihrem Namen zu tätigen.

Schutzmöglichkeiten:

Siehe Schutzmöglichkeiten Homebanking Programme. Die Schutzmöglichkeiten sind hier im Wesentlichen die gleichen.

Nehmen Sie zusätzlich immer die Diskette aus dem Laufwerk, wenn Sie das Banking nicht benutzen.

Verfahren HBCI per Kartenleser Klasse 1

Hier wird anstatt einer Diskette, der Schlüssel und die Banking-Daten (Benutzerkennung, BLZ, Kundennummer/-ID und TCP/IP-Adresse des Banking Servers) auf einer Chipkarte gespeichert.

Die Daten der Chipkarte werden nur mit der korrekten Eingabe eines Passworts freigegeben.

Hier liegt das Problem, denn bei Chipkartenlesern Klasse 1 erfolgt die Eingabe über die Tastatur. Diese sendet dann das Passwort an den Chipkartenleser und dieser gibt dann die Daten frei.

Tastatureingaben können jedoch über (siehe oben) Keystroke Logger aufgezeichnet werden und somit kann dass Passwort auch für die Chipkarte herausgefunden werden.

Schutzmöglichkeiten:

Nehmen Sie bitte immer die Chipkarte aus den Lesegerät, wenn Sie das Banking nicht benutzen.

Verfahren HBCI per Kartenleser Klasse 2 oder 3

Die sicherste Variante dürfte wohl HBCI über Chipkartenleser Klasse 2 oder 3 sein. Hier ist die Tastatur für die Eingabe des Passworts am Chipkartenleser untergebracht. Somit geht die Passworteingabe nicht den Weg durch den Computer und kann nicht aufgezeichnet werden.

Schutzmassnahmen:

Nehmen Sie bitte auch hier immer die Karte aus dem Lesegerät, wenn Sie das Banking nicht benutzen. Es gelten auch hier die Sicherungsvorschläge gegen Trojaner und Keystroke Logger, Kapitel 1.2

Allgemeine Schutzmassnahmen:

Schränken Sie den maximal überweisbaren Betrag ein. Wenn Sie nie Überweisungen über 1000 € tätigen, sollten Sie Ihre Bank anweisen, einen maximalen Buchungsbetrag von 1000 € einzurichten. Damit ist für den Fall der Fälle der Buchungsbetrag limitiert.

Es gibt bereits Banken, die in Ihren AGB die Beweislast zu eigenen Ungunsten vereinbart haben. Wenn Hackerangriffe auf Konten erfolgen, ist die Bank in der Beweislast, dem Kunden, nicht ausreichende Sorgfalt nachzuweisen (zum Beispiel Passwort auf Computer gespeichert, oder weitergegeben).

Die meisten Banken lassen jedoch die Last beim Kunden, der Bank nachzuweisen, dass Sie Ihr System nicht ausreichend geschützt hat und damit der Angriff möglich war. Sie sollten nach Möglichkeit zu einer Bank wechseln, deren ABGs zu Ihren Gunsten stehen, oder Ihre eigene Bank darauf hinweisen, daß die AGBs entsprechend angepasst werden sollten. Nur wenn genug Druck von möglichst vielen Kunden kommt, werden die Banken reagieren.

Speichern Sie nie Passwörter, PINs und TANs auf Ihren Computer.

Sichern Sie Ihren Computer durch Einsatz von Anti Virus Software und Firewalls ab.

Seien Sie misstrauisch bei veränderten Webseiten, oder ungewöhnlichem Verhalten Ihrer Banking Software.

Verwenden Sie sichere Browser, wie Mozilla Firefox oder Opera. Verzichten Sie auf die Benutzung des Internet Explorers, dieser Browser weist viele Sicherheitslücken auf.

Wenden Sie sich an Ihre Bank (mit kritischem Blick!), oder Ihren Systemadministrator, wenn Sie Fragen zu diesem Dokument, oder einem der beschriebenen Verfahren haben.

Mit freundlichen Grüßen

Ihr Boxhorn EDV Team