In diesem Teil geht es um Maßnahmen der Banken, die geeignet sind, die Sicherheit beim Online-Banking weiter zu erhöhen.
Von Seiten der Banken gibt es hauptsächlich zwei Verbesserungen des PIN/TAN-Verfahrens. Beim aktuell von sehr vielen Banken eingesetzte iTAN-Verfahren sind die TANs auf der Liste durchnummeriert. Bei einer Transaktion wird nun vom Bankserver eine ganz bestimmte TAN (z.B. TAN Nummer 34) angefordert. Nur mit dieser TAN kann die Transaktion abgeschlossen werden. Dieses Verfahren verhindert ziemlich zuverlässig das klassische Phishing, da der Betrüger selbst wenn er in den Besitz von einigen TANs gelangt ist, nicht weiß welche TAN er eingeben muss. Einen Schritt weiter geht das mTAN-Verfahren. Dabei hat der Anwender keine Liste mit TANs, sondern erhält bei Bedarf eine TAN und die Buchungsdaten per SMS auf sein Handy. Diese Methode unterbindet recht zuverlässig alle Phishing-Attacken, hat aber den Nachteil, dass sie sehr kostenintensiv ist. Legt die Bank die SMS-Gebühren auf den Kunden um, entstehen diesem nicht unerhebliche Kosten pro Transaktion. Daher hat sich diese Technik kaum durchgesetzt.
Eine Alternative zum PIN/TAN-Verfahren ist HBCI (Hombanking Computer Interface). Hierbei erhält der Kunde eine passwortgeschützte Chip-Karte, die ähnlich wie die EC-Karte am Geldautomaten die Autorisierung übernimmt. Dieses Verfahren bringt tatsächlich deutlich mehr Sicherheit. Allerdings bieten längst nicht alle Banken diese Technik an und der Kunde benötigt ein Kartenlesegerät, was als Einmalanschaffung eigentlich nicht wirklich ins Gewicht fällt. Leider hat sich dieses Verfahren wahrscheinlich aus o.g. Gründen bisher zahlenmäßig nicht durchsetzen können.
Es existieren noch weitere Techniken und Ideen, die aber noch Entwicklungsstatus haben und daher aktuell noch keine Rolle spielen.
Im nächsten Teil werden weitere technische Möglichkeiten besprochen, mit denen der Bankkunde für deutlich mehr Sicherheit sorgen kann.
KategorienAllgemein Tags: Girokonto, HBCI, Internet-Banking, iTAN, Konto, mTAN, Online-Banking, Phishing, Pin, Sicherheit, TAN
Die zweite und aktuell am weitesten verbreitete Phishing-Methode arbeitet mit sogenannten Trojanern, bzw. Trojanischen Pferden. Der Begriff ist den griechischen Heldensagen über die Eroberung Trojas entliehen. Trojaner sind eine Untergruppe von Computerviren, die keinen Schaden am Computer anrichten, sondern ähnlich wie das berühmte Pferd unauffällig und unbemerkt auf Ihren Einsatz warten. Ihre Stunde ist gekommen, wenn der Bankkunde eine Onlineverbindung zum Bankserver aufnehmen will. Der Trojaner schaltet sich in den Datenverkehr zwischen Browser und Bankserver ein und leitet die Daten an eine gefälschte Website weiter. Man spricht hier auch von einer „Man in the Middle“-Attacke.
Einige dieser Websites greifen die PIN und TAN zur späteren Verwendung ab und geben eine Fehlermeldung aus, die natürlich von der gefälschten Website stammt. Mit etwas „Glück“ versucht der Bankkunde es mehrmals erneut mit verschiedenen TANs, sodass der Betrüger auf einen Streich in den Besitz gleich mehrerer unverbrauchter TANs kommt. Also Augen auf bei Fehlermeldungen während Transaktionen. Diese müssen nicht, können aber auf eine Attacke hindeuten.
Bei einer anderen Methode werden durch ein automatisches Tool auf der gefälschten Website die Empfängerdaten geändert und die bearbeitete Buchung an den echten Bankserver weitergeleitet. Das perfide an dieser Attacke ist, dass der Anwender von dieser Aktion nichts mitbekommt und auch kein Anhaltspunkt für eine Attacke zu erkennen ist. Erst bei der Kontrolle der Kontoauszüge kommt die Wahrheit ans Licht.
Gegen diese Methoden hilft letztlich nur seinen Rechner „sauber“ zu halten. Zum einen sollten das Betriebssystem und vor allem der Internet-Browser stets auf dem aktuellen Stand gehalten werden, um erkannte Sicherheitslücken zu schließen. Zum anderen sollte eine Firewall (entweder zentral im Router, oder eine Desktop-Firewall auf dem Rechner) aktiv und ganz wichtig ein Virenscanner mit stets aktuellen Virensignaturen installiert sein.
Im nächsten Teil geht es um weitergehende Techniken, die Online-Banking noch sicherer machen.
Trotz der in Teil 1 besprochenen Doppelsicherung im PIN/TAN-Verfahren, haben sich findige Hacker mit kriminellen Intentionen Methoden ausgedacht, das System zu unterlaufen. Die grundsätzliche Idee besteht darin, PIN und TANs abzufangen und auszuspionieren. Diese Technik wird allgemein als Phishing bezeichnet. Hierbei gibt es zwei Methoden.
Beim klassischen Phishing wird versucht den Anwender auf eine gefälschte Website zu locken, die im Idealfall möglichst exakt wie das Portal Ihrer Bank aussieht. Ein weit verbreiteter Weg ist das Versenden von gefälschten E-Mails, die vorgeben von der eigenen Bank zu sein und den Anwender auffordern sich über einen in der Mail befindlichen Link mit der (gefälschten) Website zu verbinden, sich einzuloggen und unter irgendeine Vorwand eine oder gleich mehrere TANs einzugeben. Auch wenn die Link-Adresse auf den ersten Blick wie die URL Ihrer Bank aussieht ist hier Vorsicht geboten, da der dargestellte Link-Text technisch ganz einfach auf eine andere Adresse verweisen kann. Ihre Bank würde Sie niemals per E-Mail dazu auffordern, Ihre PIN oder TANs irgendwo einzugeben. Eine sichere Methode ist also solche Mails einfach zu ignorieren und die Mail sofort zu löschen. Eine weitere Methode in dieser Kategorie sind Websites die durch kleine Schreibfehler des Anwenders bei der Eingabe der URL des Bank-Portals angesteuert werden und im weiteren nach der o.g. Methode verfahren. Da die Methode auf Zufall, bzw. einem Fehler des Bedieners beruht, also nicht von den Betrügern provoziert werden kann, ist sie nicht sehr weit verbreitet. Auf jeden Fall sollte man die Adresse des Bank-Portals immer händisch eingeben und niemals über Links, Bookmarks, etc. auf die Website der Bank gehen. Bei der Eingabe sollte man natürlich sehr sorgfältig vorgehen und Schreibfehler vermeiden. Lieber einmal zu viel kontrollieren, als einmal zu wenig.
Der nächste Teil befasst sich mit der zweiten Kategorie von Phishing-Attacken über sogenannte Trojaner. Dies ist die aktuell am weitesten verbreitete Methode.
Auf der Suche nach einem geeigneten und möglichst kostengünstigen Girokonto stößt man schnell auf Angebote von Direktbanken, die kein eigenes Filialnetz unterhalten. Sehr schnell sieht man sich dann mit dem Thema Online-, bzw. Internet-Banking konfrontiert. Selbst viele ansonsten sehr vom Internet begeisterte Zeitgenossen, die sich gerne und oftmals sehr freizügig in sozialen Netzwerken tummeln, schrecken bei diesem Thema unvermutet zurück und lassen sich damit die Möglichkeit im täglichen Geldverkehr ordentlich zu sparen entgehen.
Natürlich birgt Online-Banking wie fast alles im Leben etliche ernst zunehmende Gefahren, aber unter Beachtung einiger Regeln ist es auch nicht gefährlicher, als vom Geldautomaten abzuheben oder in Geschäften und Restaurants mit EC- oder Kredit-Karte zu zahlen. Auch Bargeld kann verloren gehen oder gestohlen werden und Überweisungsträger in Papierform können durch Schreibfehler oder Zahlendreher unangenehme Konsequenzen nach sich ziehen.
Im Rahmen einer mehrteiligen Reihe haben dieser und die folgenden Artikel zum Ziel Skeptikern die Angst vorm Internet-Banking zu nehmen und Techniken und Verhaltensstrategien aufzuzeigen, um Online-Banking so sicher wie möglich zu machen.
Zur Absicherung von Geldbewegungen (Transaktionen) und die Autorisierung durch den Kontoinhaber wird überwiegend das PIN/TAN-Verfahren eingesetzt. Dabei meldet sich der Anwender mit seiner Kontonummer und seiner PIN(Persönliche Identifikationsnummer) im Banksystem an. Damit kann der Kontoinhaber lesend auf seine Daten (Kontostand, Umsätze, …) zugreifen. Soll nun eine Transaktion wie z.B. eine Überweisung getätigt oder ein Dauerauftrag erteilt werden, muss diese mit einer Transaktionsnummer bestätigt werden. Hierzu erhält man von der Bank eine Liste mit Transaktionsnummern, die beim einfachen PIN/TAN-Verfahren in beliebiger Reihenfolge benutzt werden können. Durch diese Doppelabsicherung hat man an sich schon ein sehr sicheres System, solange man mit der PIN und den TANs sorgsam umgeht.
In den nächsten Teilen geht es um die Methoden mit denen es Betrügern trotzdem gelingt, das System auszuhebeln, wie die Banken diesem Missbrauch begegnen und was man selbst tun kann um die Sicherheit zu erhöhen.
