- Werbung -

Einstieg

In der RG600 hatten wir im Oktober einen Vortragstermin zum Thema „Bezahlfallen im Internet / Schutz des heimischen PCs“. Sowohl bei der Vorbereitung auf diesen Termin wie auch bei den Diskussionen auf dem Treffen zeigte sich, dass sehr viele Menschen KEIN Electronic Banking betreiben, weil – besonders durch entsprechende Berichte in den Medien – die Unsicherheit und Angst vor Missbrauch sehr hoch ist. Dieser Artikel soll einen kleinen Überblick darüber geben, welche Maßnahme zu einem sicheren Banking momentan auf dem Markt sind, und was man sonst noch beachten sollte.

Schutzmaßnahmen

Das älteste Mittel – und immer noch sehr gebräuchlich – ist das PIN/TAN-Verfahren. In seiner Urform erhält man von seiner Bank einmal eine PIN (Persönliche Identifikations-Nummer) sowie eine Liste von TANs (TransAktionsNummern). Meldet man sich bei der Bank an, muss man sich mit der PIN legitimieren. Nimmt man eine Transaktion (z.B. eine Überweisung) vor, muss man eine TAN eingeben, die damit „verfallen“ ist. Das Verfahren an und für sich ist nicht schlecht, solange nicht einige oder sogar alle der TANs in fremde Hände fallen. Allerdings konzentrieren sich viele kriminelle Strategien auf dieses Verfahren, weil es eben so weit verbreitet ist.

Eine erste Erweiterung, die speziell wegen der Phishing-Angriffe entwickelt wurde, ist recht einfach und nennt sich das iTAN-Verfahren. Hier sind die TANs auf der Liste schlichtweg lediglich nummeriert (=indiziert), und man wird bei einer Transaktion nicht aufgefordert, irgendeine TAN einzugeben, sondern eben z.B. die 53.. Damit hilft die einfache Kenntnis „einiger“ TANs eventuellen Dieben schon nicht mehr weiter. Bei einem Verlust der gesamten TAN-Liste ist man natürlich aber auch nicht mehr geschützt.

Bestimmte Phishing-Verfahren basieren darauf, dass der Kunde nur „glaubt“, mit seiner Bank zu kommunizieren. Diesem trägt eine andere Erweiterung Rechnung: das BEN-Verfahren, das i.A. in Kombination mit iTAN verwendet wird. Hier ist auf der TAN-Liste neben jeder TAN noch eine BEN (BEnachrichtigungs-Nummer) vermerkt, welche von der Bank nach der Transaktion zurückgesendet wird. Stimmt sie also mit der gedruckten Nummer überein, ist man sich weitgehend sicher, es mit der Bank zu tun gehabt zu haben.

Eine weitere Ergänzung ist das mTAN-Verfahren, wobei das Medium SMS in den Prozess mit eingebunden wird. Hier sendet die Bank bei jedem Vorgang eine nur für eben diesen Vorgang gültige TAN per SMS auf das Handy, die dann am Bildschirm eingegeben werden muss. (Insgesamt werden gesendet: der Überweisungsbetrag, die Kontonummer des Empfängers und eine TAN.) Vorteil gegenüber iTAN: man muss nicht immer die gesamte iTAN-Liste mit sich führen, wenn man unterwegs Banking betreiben will; Nachteil: die SMS sind im Allgemeinen nicht kostenlos.

Eine andere Stufe der Sicherheit betritt man, wenn z.B. ein Verfahren wie HBCI (Home-Banking-Computer-Interface) oder FinTS (Financial Transaction Services) benutzt wird. Hier kommt eine Chipkarte oder Schlüsseldiskette (resp. Schlüsseldatei) ins Spiel. Die Chipkarte bekommt man von seiner Bank – den zugehörigen Kartenleser, wenn man Glück hat auch, sonst muss man sich ihn (für ca. 30.- €) selbst kaufen. (Auf dem Frankfurter Treffen berichtete eine Anwesende, die SEB habe ihr den Kartenleser mit der Karte gegeben – ich musste ihn mir bei der Frankfurter Sparkasse zum Beispiel selbst kaufen.) In diesem Verfahren gibt es auch noch eine PIN, mit der man sich legitimieren muss sowie eben das Schlüsselmedium, das „online“ sein muss, wenn eine Transaktion ausgeführt werden soll. Dadurch, dass man die Chipkarte eben nur bei Transaktionen in den Leser steckt (oder eben die Diskette resp. den USB-Stick mit der Schlüsseldatei einlegt oder -steckt), gewinnt man eine zusätzliche Sicherheit.

Im Firmensektor gibt es noch weitere Verfahren, auf die dieser Artikel aber nicht eingehen soll.

Im auch im privaten Bereich interessante Entwicklung ist der sogenannte Secoder, der sich gerade zu etabliere beginnt. Er soll zu allen bisherigen Kartenstandards (wie HCBI) kompatibel und auch nicht nur für Bankgeschäfte sondern grundsätzlich als Identitätsnachweis geeignet sein.  (Bild: /www.reiner-sct.com)
Der Secoder besitzt eine eigene Firewall, eine Anzeige und Tastatur und ist damit – da er eine eigene Internetverbindung aufbauen kann - vom sonstigen PC-gestützten Datenverkehr unabhängig – und schützt somit vor Phishing- und ähnlichen Attacken. Die Firewall schützt Karte und PIN des Benutzers, auf der Anzeige können Informationen wir beim mTAN-Verfahren erscheinen und eine Eingabe geschieht nicht mehr über die PC-Tastatur, sondern die des Secoders.
Das Verfahren ist eine direkte Reaktion auf die momentanen Angriffsstrategien (Phishing, man-in-the-middle).

 

Schadstrategien

Welche Maßnahme ergreifen denn nun böse Menschen, um an ihre geheimen Daten zu kommen? Bekannt sind – ohne Anspruch auf Vollständigkeit - zum Beispiel folgende:
Keylogger
Diese versuchen, Tastatureingaben aufzuzeichnen. Für TANs scheint das erstmal sinnlos, handelt es sich aber um eine „man-in-the-middle“ Attacke (siehe unten), sieht das Ganze anders aus.
Phishing
Hier versuchen die Angreifer, die oder den Benutzer auf eine gefälschte (Bank-)Seite zu locken. Aus „Sicherheitsgründen“ sollen dann zum Beispiel gleich außer der PIN mehrere TANS eingegeben werden. Diese stehen den Phishern dann zur Verfügung. Eine Variante ist, die eingegebene TAN zu speichern, eine Fehlermeldung auszugeben und dann wirklich auf die korrekte Bankseite weiterzuleiten. Man glaubt dann schlichtweg an eine Fehleingabe, da ja der normale Vorgang im Anschluss daran ausgelöst wird.
Man-in-the-middle-Attacken
Das ist eine sehr ausgefuchste Strategie: der Kommunikation mit der Bank wird eine „kriminelle Instanz“ zwischengeschaltet. Statt mit der Bank, kommuniziert man mit dieser. Gibt man z.B. eine Überweisung auf, wird sie anscheinend durchgeführt – in Wirklichkeit benutzt der man-in-the-middle die Daten dazu, eine ANDERE Überweisung auszuführen – mit einem möglichst hohen Betrag auf ein eigenes Konto. Vor dieser Methode schützt speziell der Secoder, der noch eine weitere Verbindung aufbaut, auf die der „man-in-the-middle“ keinen Zugriff hat.

Schutzstrategien

Die einfachste ist schon einmal, ein Banking-Programm zu benutzen und keinen Browser. Die meisten Phishing- etc. –Strategien basieren darauf, Ihnen eine falsche URL (Internetadresse) unter zu schieben. Das Banking-Programm baut die Verbindung selbst auf. Bei T-Online gibt es ein kostenloses Banking-Programm – viele Banken und Sparkassen vertreiben vergünstigte Version von zum Beispiel „Star-Money“.
Wenn Sie Internetbanking über einen Browser betreiben, geben sie die Adresse immer selbst ein. Benutzten Sie nie einen Link, erst recht nicht einen aus einer Mail, um auf die Bank-Seite zu gelangen. Es gibt viele Möglichkeiten, einen Link zu „tarnen“ um ihn authentisch erscheinen zu lassen – denken sie nur an die seit einiger Zeit nutzbare Möglichkeit, auch Umlaute in Domain-Namen zu verwenden. Es gibt viele Alphabete, die Zeichen enthalten, die den deutschen Buchstaben ähnlich sehen und zum Umlenken auf eine gefälschten Seite dienen können.
ALLE Banken kommunizieren beim Banking mit Ihnen über eine https-Verbindung, die über eine Verschlüsselung des Datenverkehrs eine höhere Sicherheit gewährleistet. Sie erkennen diese zum Beispiel an einer eingefärbten Adresszeile im Browser und/oder einem Schloss-Symbol, was irgendwo (je nach Browser unterschiedlich) erscheint. Das https-Verfahren benötigt ein Zertifikat. Seien sie zutiefst misstrauisch, wenn irgendeine Nachfrage bezüglich des Vertrauens in dieses Zertifikat gestellt werden sollte. Keine Bank kann es sich erlauben, dies nicht aktuell zu halten!
Versuchen Sie, ein sichereres Verfahren zu benutzen als PIN/TAN! Schon iTAN erhöht die Sicherheit deutlich, noch besser ist eine Chipkarte.
Antworten oder reagieren Sie ABOSLUT NIE auf eine vermeintliche Mail Ihrer Bank, die Sie dazu auffordert, aus Sicherheitsgründen irgendwo ihre PIN und ein oder mehrere TANs einzugeben – genau das ist die Phishing-Methode.
Ganz auf „Nummer sicher“ gehen Leute, die eine spezielle Betriebssystem-Variante von der CD booten (die c’t z.B. stellt hier häufiger eine Knoppix-CD vor), nur um Banking zu betreiben. Wenn sie das Ganze noch in Kombination mit HBCI betreiben, sind sie sehr gut geschützt.
 

Stichworte: 

Kommentare

Die Schlüsseldatei kann man z.B. auf einen USB-Stick packen, den man nur einsteckt, wenn man eine Transaktion durchführen will. Das umständliche Hantieren mit PIN und TANs hat dann ein Ende. Besonders praktisch ist das auch, wenn man mehrere Konten bei einer Bank führt (z.B. privat und geschäftlich), dann kann man mit einem Schlüssel alle bedienen.

M5543, Schriftführer und Leiter der RG600 im AUGE e.V.