Gefahren beim Online-Banking

Aufgrund immer grösserer Gefahren des Internets, in Verbindung mit immer häufiger gemeldeten Schwachstellen in allen Browsern (siehe auch --> http://www.security-dome.eu/Sans_Bericht_01-06.html ), stellen sich viele die Frage: "Wie sicher ist Onlinebanking?"

Leider ist die Frage so einfach nicht zu beantworten!

Ich will es mal so probieren:

Es gibt drei Gefahrenpunkte bei allen Onlinegeschäften:

• Fehler/Gefahren am Rechner des Kunden

• Gefahren bei der Datenübertragung

• Gefahren bei der Speicherung der Kundendaten durch den Shop/Bank

Gefahren am Rechner des Kunden:

Hier liegt wohl das höchste Gefahrenpotential!

Zu nennen wären:

• Phising (Social Engineering Angriffe)

• Keylogger

• Trojaner

• Spy-/Adware

• Geänderte "Hosts-Datei"

• Fahrlässiges Verhalten (speichern von Pin-/Tan-Nummern auf dem Rechner)

• "Vertipper Websites" - vertippen bei der Eingabe der Bankadresse

Es sollte also jeder, der Onlinebanking betreibt, besonderen Wert auf Schutzeinrichtungen, Updates für das Betriebssystem/Anwendungen und den E-Mailverkehr legen!!

Gefahren bei der Datenübertragung:

Hierzu zählen z.B.:

• Pharming (Fälschen der DNS-Namensauflösung auf den DNS-Servern der Provider)

• Man in the Middle Attacken

• Unsichere Datenübertragung (SSL2.0-Standard)

• Unsichere Verfahren

Gegen diese Gefahren kann man sich als Kunde nur schlecht wehren bzw. erkennen.

Dafür sind diese Angriffe auch sehr komplex und erfordern schon einiges an Wissen. Ich denke diese Gefahr ist prozentual am geringsten - wenn auch nicht vernachlässigbar!

Gefahren bei die Speicherung der Kundendaten:

Hierzu zählen z.B.:

• Diebstahl von Backup-Daten (Magnetbänder, Festplatten)

• Diebstahl von sonstiger Hardware (Laptops, Rechner)

• Einbruch in die Firmenserver

• Social Engineering-Angriffe direkt auf die Beschäftigten

Diese Gefahr nimmt momentan wohl den zweiten Platz ein - mit steigender Tendenz! Vor allem sind die Auswirkungen viel verheerender!! Und in der Vergangenheit gab es ja einige Beispiele, bei denen tausende von Kundendaten gestohlen wurden!

Die Gefahr liegt hierbei nicht im schnellen Erfolg (direkte Abbuchung), sondern im schleichenden Diebstahl der kompletten Identität einer/mehrer Personen.

Hier reichen schon Daten wie:

• Name

• Adresse

• Telefonnummer

• E-Mail Adresse

• Versicherungsnummer

• Kreditkartennummer

• Führerscheinnummer

• Personalausweisnummer

• usw.

um eine Identität komplett zu kompromittieren - mit schwerwiegenden finanziellen, sozialen und rechtlichen Folgen!!!

Ein absolut unüberschaubares Feld stellen hier wohl div. "Online-Shops".

Ein "Online-Shop" ist heute recht schnell erstellt, der Umfang der umgesetzten Sicherheitsrichtlinien ist aber oftmals nicht nachvollziehbar.

Wie sehen nun die Empfehlungen aus?

Technik:

• Aktuelles Betriebssystem (alle Sicherheitsupdates zeitnah installieren)

• Aktuelles Anti-Virenprogramm (mindestens tägliche Updates)

• Regelmässiges Scannen aller Laufwerke mit den installierten Scannern

• Aktuelle und gewissenhaft eingestellte Firewall (wohl der schwierigste Punkt)

• Einsatz eines guten Routers (zumindest mit Stateful Inspection Firewall)

• Einsatz von Anti-Spywareprogrammen

Menschlicher Faktor:

Hier hat ein flaxig klingender Spruch durchaus seine tiefere Bedeutung:

"Die beste Firewall sitzt vor dem Computer und zwischen den Ohren"!!!

• Kritischer Umgang mit E-Mails

• Kritischer Umgang mit Webseiten

• Programminstallatiosdateien nur von sicheren Quellen beziehen (Hersteller)

• Kein Filesharing, Internet-Messaging oder Internettelefonie

• Bankadresse immer aus den Favoriten aufrufen, um "Vertipper" zu vermeiden

• Beachtung einer verschlüsselten Verbindung (https-Adresse/Schlosssymbol in der unteren Leiste des Browsers

Massnahmen:

• Deaktivierung von SSL 2.0 im Browser - es sollte nur SSL 3.0 und TLS 1.0 verwendet werden

• Im Browser "verschlüsselte Seiten auf der Festplatte speichern" deaktivieren

• Vor und nach dem Online-Banking sollten alle Verlaufsdateien (Cookies, temporäre Dateien usw.) gelöscht werden

Banking Spezial:

Vorzuziehen ist auf jeden Fall das "HBCI"-System. Dies ist potentiell sicherer wie das Pin/Tan-Verfahren.

HBCI ist eine spezielle Hardware (ein so genannter Kartenleser), in den die Bankkarte eingeschoben wird. Eine eigene Tastatur wird für die Eingabe der Geheimnummern genutzt.

Durch diese Technik haben zumindest Keylogger-Programme keine Chance eingetippte Codes mitzuschneiden.

Wird das HBCI-Verfahren nicht angeboten, sollte zumindest von dem Kreditinstitut das erweiterte Tan-Verfahren angeboten werden. Dies verlangt bei jeder Transaktion eine ganz bestimmte Tan und nicht eine beliebig gewählte.

Ein weiterer Schutz bieten "Zahlenboxen", die mit der Maus eingeben werden und nicht über die Tastatur.

Bei Online-Shops sollte man besonders geprüfte und zertifizierte Shops vorziehen.

Trotz all dieser Vorsichtsmassnahmen ist E-Commerce gerade in der heutigen Zeit ein heikles Thema!!

Jeder sollte sich erst über die Gefahren informieren und dann über seine Sicherheitsphilosophie nachdenken. Danach - nach eigenem Ermessen/auf eigene Verantwortung handeln.

Die von mir genannten Schutzmassnahmen erheben natürlich keinen Anspruch auf Vollständigkeit!!

Die Liste wird aber bei Bedarf erweitert bzw. gepflegt.

Links:

Beispiel für zertifizierte "Online-Shops": http://www.trustedshops.de/de/consumers/index.html

Frank Richter