Der Abwehr-Code
Transcription
Der Abwehr-Code
Budget & Vorsorge [email protected] Online-Banking Der Abwehr-Code Zahlreiche Banken setzen auf neue Technik, um Transaktionen via Internet sicherer zu machen. Reicht der Schutz aus? Ein Test zeigt, dass Kunden bei manchen Instituten immer noch hohe Risiken eingehen. iTan. Wie bei PIN/TAN (siehe Rechts) erhält der Kunde eine Liste mit Codes, die aber durchnummeriert sind. Der Anwender wählt Die TAN nicht selbst. Die Bank gibt vor, welche er auf der Website eingeben muss. FAZIT. Basisschutz gegen klassische Phishing-Attacken, nicht aber gegen Trojaner, die Daten vom PC des Nutzers abgreifen. eTan. Ein Generator im Taschenrechnerformat erzeugt ständig wechselnde TAN-Nummern. Der Kunde benötigt vor jedem Vorgang eine Kontrollnummer von seiten der Bank. Ein so erzeugter Code gilt nur wenige Sekunden – zu wenig Zeit für Betrüger, um das Konto abzuräumen. FAZIT. Sicherer und bedienungsfreundlicher als ITAN. 82 C 16/2006 Pin/Tan. Der Kunde autorisiert sich mit einer stets gleichen fünfstelligen Identifikationsnummer (PIN) und einer variablen Transaktionsnummer (TAN) auf der Web-site der Bank. Die TAN wählt er aus einer Liste von meist 100 Nummern. Nachteil: Späht ein Betrüger PIN und TAN aus, kann er problemlos Geld abheben. FAZIT. Leicht angreifbar durch Phishing oder Trojaner. H einz Beeck nimmt die Sicherheit seiner Kunden ernst. Der Leiter Online-Banking der Deutschen Bank investierte „einen hohen siebenstelligen Betrag“, damit seine Kunden ihre Geschäfte ohne Angst vor Betrügern am heimischen PC erledigen können. Und dies nicht ohne Grund, denn Beecks Institut war im vergangenen Jahr Zielscheibe mehrerer Attacken. Zum Beispiel gab ein gutgläubiger Berliner Kunde im September 2005 mTan. Die Bank schickt die TAN auf eine vorgebliche Mail-Anfrage der per SMS auf das Handy des Bank – Phishing – die Zugangscodes seiKunden. Die Nummer ist wie nes Girokontos auf einer gefälschten Inbeim ETAN-Verfahren (siehe ternetseite preis. Die Betrüger plünLinks unten) nur kurze Zeit derten sein Konto fast bis zum Dispo-Ligültig. Zusammen mit der TAN mit. Schaden: 2600 Euro. werden weitere TransaktionsUnsicheres Internet-Banking? Inakdetails versandt, Manipulati- zeptabel für den Branchenprimus. Beeck onsversuche sind damit führte im Februar das neue Autorisieerkennbar. rungsverfahren iTan ein. Ein Dutzend FAZIT. Das sicherste TANMitarbeiter aus verschiedenen Abteilun Verfahren. gen hält aktuell Ausschau nach neuen Betrugsgefahren und wacht über die Sicherheit der Konten. Kunden werden mit HBCI. Der Kunde meldet sich Informationen über neue Maschen der per Chip-karte über ein exterInternet-Gangster geradezu bombarnes Lesegerät an. Die Karte diert. „Seitdem gab es keinen einzigen ist mit einer PIN geschützt, erfolgreichen Betrugsversuch“, so Beeck. die er über eine Tastatur auf Dass der Tatendrang des Bank-Manader Hardware eingibt. So köngers Wirkung zeigt und Beeck die hohen nen die Daten kaum ausgeInvestitionen offenbar nicht zum Fenster späht werden. Preis des Karhinaus geworfen hat, belegt ein Test des tenlesers: rund 100 Euro. renommierten Fraunhofer Instituts für FAZIT. Maximale Sicherheit, Sichere Informationstechnologie. Im aber teuer und aufwändig. Auftrag von Capital untersuchte ein Team von vier Wissenschaftlern Technik und Informationsqualität der InternetBanking-Seiten von 20 Instituten (siehe: „Online-Sicherheit“). Neben dem Testsieger Deutsche Bank erzielten nur PostIllustration: Capital bank, Berliner Volksbank und Commerzbank 22 oder mehr der möglichen 31 Punkte und damit nach dem zuvor festgelegten Schulnotensystem ein „Gut“. Insgesamt ist das Testergebnis aber eher ernüchternd: 40 Prozent der untersuch ten Unternehmen erreichten nicht mal die Hälfte der möglichen Punktzahl, drei Institute weniger als ein Drittel. Nach der Capital/Fraunhofer-Skala ist das ein glattes „Mangelhaft“. Auch der Kommentar von Testleiter Sven Türpe fällt ernüchternd aus. „Viele Institute lassen ihre Kunden mit den Gefahren allein“, resümiert der FraunhoferExperte, „die Kostenersparnis, die Geldhäuser dank Online-Banking erzielen, wird nicht vorrangig in neueste Technik investiert.“ Nach einer Einschätzung der Beratung Steria Mummert verursachen Kunden, die ihre Bankgeschäfte via PC abwickeln, 75 Prozent weniger Kosten als klassische Filialgänger. Massenphänomen. Dabei sind zuverlässige Abwehrsysteme gegen Phisher und Hacker wichtiger denn je. Mehr als 20 Millionen Bankkunden erledigen bereits ihre Geldgeschäfte am PC. Das ist bequem – wird aber auch immer riskanter. Die Gesamtzahl der Straftaten über alle Bereiche hinweg, so die Kriminalstatistik, ist im letzten Jahr gesunken. Im selben Zeitraum stieg aber die Internet- und Computerkriminalität um zwölf Prozent. Rund 2000 Anzeigen betrafen allein Angriffe auf Online-Banker – mit durchschnittlichen Schadensummen von 2000 bis 3000 Euro. Das Problem: Die Ganoven werden immer dreister. Sie bilden Logos und Optik echter Bank-Mails und Web-Sites täu- ∂ 16/2006 C 83 Budget & Vorsorge [email protected] Online-Banking schend echt nach. „Selbst erfahrene Privatanwender können auf derartige Fälschungen hereinfallen“, konstatiert Udo Helmbrecht, Präsident des Bundesamtes für Sicherheit in der Informationstechnik. Nach einer Umfrage der Marktforscher von TNS Infratest bezweifeln 80 Prozent der Verbraucher, dass sie eine getürkte E-Mail erkennen würden. Schickten die Betrüger ihre Lockbriefe bisher nach dem Gießkannenprinzip an alle erreichbaren elektronischen Postfächer, so gehen sie jetzt gezielter vor. Sie testen per E-Mail die Wahrscheinlichkeit, dass Internet-Nutzer auf Phishing-Ver- Verlierer. Die Volkswagen Bank erreichte nur 6,5 von 31 möglichen Punkten. Sichere Zugangsverfahren fehlen ebenso wie ein ausführliches Informationsangebot über die Risiken. Online-Sicherheit: 20 Banken im Vergleich Welche Institute bieten Online-Nutzern die sicherste Technik und die besten Informationen? Eine exklusive Analyse des Fraunhofer Instituts offenbart große Unterschiede. Nur vier Banken bewerteten die Wissenschaftler mit „gut“. Trojaner, Phishing, Farming, Man-in-the-Middle-Attack – die Krea- Banken, wenn Kunden bei Überweisungen ein Limit festlegen köntivität der Internet-Betrüger beim Ausspähen von Geldtransfers nen, bis zu vier Punkte, wenn die Online-Banking-Adresse und das scheint grenzenlos. Welche Bank die beste Abwehrstrategie bietet, SSL-Zertifikat den Namen der Bank enthalten und so leicht zu untersuchte im Auftrag von Capital ein Team von vier Wissenschaft- identifizieren sind. Jeweils zwei Punkte vergibt Fraunhofer, wenn lern des Fraunhofer Instituts im Wesentlichen nach fünf Kriterien. die Bank ihre E-Mails signiert oder der Kunde keine Mail-Adresse Testkriterien. Maximal 31 Punkte konnten die Institute erreichen. für die Anmeldung angeben muss. Vollständige und leicht auffindBesonders wichtig ist der Passwortschutz: Das Angebot von mTan bare Sicherheitshinweise auf der Web-Site der Bank verringern das bringt acht Punkte, gefolgt von eTan (sechs) und iTan (vier). HBCIRisiko für Nutzer und werden mit maximal neun Punkten belohnt. Technik gibt vier Sonderpunkte. Maximal zwei Punkte erhalten Teilnahme am Bezahlsystem Giropay gibt zwei Punkte Abzug. Institut Passwortschutz Deutsche Bank Postbank Commerzbank Berliner Volksbank Sparkasse Kiel Dresdner Bank GE Money Bank 1822 direkt Sparkasse Köln-Bonn Stadtsparkasse München ING-Diba Comdirect Sparda-Bank Südwest Netbank Sparkasse Nürnberg Hypovereinsbank Citibank Cortal Consors SEB Volkswagen Bank iTan, HBCI iTan, mTan iTan, HBCI iTan, HBCI iTan, HBCI iTan eTan, HBCI iTan, HBCI iTan Pin/Tan, HBCI iTan iTan iTan iTan Pin/Tan, HBCI Pin/Tan, HBCI Pin/Tan Pin/Tan Pin/Tan, HBCI Tan Generator 84 C 16/2006 SSL-Zertifikat mit Banknamen Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Nein Nein Ja Ja Ja Ja Ja E-MailSignatur Nein Ja Nein Nein Nein Nein Nein Nein Nein Nein Nein Nein Nein Ja Nein Nein Nein Nein Nein Nein Informationsangebot Sehr gut Gut Sehr gut Befriedigend Sehr gut Gut Befriedigend Sehr gut Sehr gut Sehr gut Gut Ausreichend Befriedigend Ausreichend Sehr gut Ausreichend Befriedigend Mangelhaft Ausreichend Mangelhaft Überweisungslimit möglich Ja Ja Ja Ja Ja Ja Ja2 Ja Ja Ja Nein Nein Ja2 Ja2 Ja Nein Ja2 Ja Ja2 Nein Gesamtwertung (max. 31 Punkte) 25,0 24,01 23,0 22,0 21,01 20,0 20,0 18,51 18,51 18,51 18,0 16,0 15,5 14,5 12,51 12,0 11,5 9,5 9,5 6,5 Gesamtwertung in Schulnoten: 31 – 27 Punkte: Sehr gut. 26 – 22: Gut. 21 – 17: Befriedigend. 16 – 12: Ausreichend. 11 – 0: Mangelhaft. 1) Punktabzug wegen Teilnahme an Giropay. 2) Betrag nicht frei wählbar. Quelle: Fraunhofer Institut für Sichere Informationstechnologie (SIT). Stand: 5. Juli 2006. suche anspringen. Sodann werden die naiv erscheinenden Anwender gezielt kontaktiert. In den USA versuchen Datendiebe neuerdings, Verbrauchern ihre Zugangscodes am Telefon zu entlocken. Selbst wer auf solche Tricks nicht hereinfällt, ist vor Nachstellungen nicht gefeit. Kriminelle infizieren die Rechner ihrer Opfer mit Spionageprogrammen, so genannten Trojanern. Die spähen Pin und Tan auf der Festplatte aus, etwa indem sie die Tastaturanschläge mitschreiben, und senden die Daten an die Ganoven zurück. „Die Trojaner-Software wird immer raffinierter“, sagt Beeck von der Deutschen Bank. Ein Kunde der SpardaBank Berlin wurde zum Beispiel im Februar dieses Jahres Opfer eines solchen Angriffs – obwohl er seinen Rechner mit neuester Virenschutz- und FirewallSoftware nach Empfehlung des Bundesamtes für Sicherheit in der Informationstechnik ausgerüstet hatte. Der Schaden betrug fast 3000 Euro. Wer die Summe ersetzt, ist noch nicht geklärt. So viel kriminelle Energie macht selbst eine neue Sicherheitstechnik wie iTan anfällig für Betrug. Mit diesem Verfahren ersetzen viele Geldinstitute derzeit das traditionelle Pin/Tan-System. Prinzip: Der Kunde autorisiert sich nicht mehr mit einer frei wählbaren Nummer aus der Liste seiner Tan. Welchen der nun durchnummerierten Codes er eingeben muss, gibt ihm die Bank auf der Web-Seite vor. Damit ist das System zwar gegen Phishing immun, gegen Trojaner bleibt es aber weit gehend schutzlos. Die Existenz solcher Sicherheitslecks belegte jüngst die Bochumer Arbeitsgruppe Identitätsschutz im Internet. Die Wissenschaftler aus dem Ruhrgebiet hackten einen Datentransfer zwischen einem Kunden und seiner Bank. Nach Belieben konnten die IT-Experten die Kommunikation manipulieren. Professor Georg Borges, einer der Gründer der Gruppe: „Wer iTan einsetzt, sollte stets anhand des SSL-Zertifikats prüfen, ob er tatsächlich auf der Internet-Seite der Bank landet.“ Dies aber verlangt dem Nutzer Geduld und Übung ab. Er muss sich durch drei Bildschirmfenster mit Computerkauderwelsch kämpfen. Foto: Sven Paustian für Capital Testsieger. Heinz Beeck, Leiter Online-Banking der Deutschen Bank, investierte in den vergangenen zwölf Monaten einen siebenstelligen Betrag in die Sicherheit. Derlei Umstände müssen nicht alle Bankkunden erdulden. Wie der Fraunhofer-Test zeigt, nutzen etliche Institute Verfahren, die bisher kein Betrüger knacken konnte. Den höchsten Sicherheitsstandard bietet HBCI: Der Nutzer installiert ein Lesegerät zwischen Tastatur und PC und autorisiert sich mit Hilfe einer Chipkarte beim Bankcomputer. Die Verbindung läuft nicht übers Internet und ist deshalb immun gegen jeglichen Angriff. Kostenfaktor. Doch auch HBCI hat einen Haken. „In der Regel sind Hardware und Software kostenpflichtig und nicht immer kompatibel mit den Gerätschaften des Kunden. Die Kartenleser schränken darüber hinaus die Mobilität ein“, konstatiert die Volkswagen Bank. Der Verlierer im Fraunhofer-Test verzichtet wie elf andere Institute auf diese Technik. Die HBCI-Hardware kostet rund 100 Euro und ist nicht immer einfach zu installieren. Das Fraunhofer Ins- titut trägt dem Rechnung. „Eine gute Bewertung war in dem Test auch ohne HBCI erreichbar“, erklärt Türpe. Eine Alternative bietet Testzweiter Postbank. Die Bonner setzen auf mTan. Bei diesem Verfahren schickt die Bank dem Kunden seinen Transaktionscode per SMS aufs Handy. Der Code gilt nur Sekunden – zu wenig Zeit für Kriminelle, die Konten abzuräumen. Eine ähnlich sichere Variante bietet GE Moneybank mit eTan: Hier erzeugt ein taschenrechnergroßes Gerät mit Rückkopplung zur Bank die Codes. „Das System funktioniert“, sagt Internet-Leiter Marco Brandt, „es gab bisher keinen Betrugsfall.“ Trotz solch vorbildlicher Angebote bietet keine der getesteten Banken die Ideallösung: eine freie Wahl zwischen den drei sichersten Verfahren HBCI, mTan und eTan. „Deshalb können wir für keines der Institute die Note „sehr gut“ vergeben“, erklärt Türpe. ∂ 16/2006 C 85 Budget & Vorsorge [email protected] Online-Banking Und nicht nur beim Online-Banking lauern Gefahren. Besonders kritisch sieht Türpe die Teilnahme der Postbank und Sparkassen an einer neuen Bezahlmöglichkeit, die eigentlich das Shoppen im Internet leichter machen soll: Giropay. User, die über dieses System ihre Rechnungen für Internet-Käufe begleichen möchten, wechseln automatisch von der Web-Seite des Online-Händlers auf die ihrer Bank. Die Befürchtung der Darmstädter Experten: Betrüger könnten sie dabei leicht auf eine ganz andere Homepage leiten. „Eine großzügige Einladung zum Fälschen von Internet-Seiten und damit zur Betrügerei unwissender Kunden“, kommentiert Türpe. „Kein spezifisches Problem von Giropay, sondern ein allgemeines Risiko im E-Commerce“, entgegnet Geschäftsführer Werner Wessinghage. Generell müssten Online-Banker den PC schützen, ehe sie ins Netz gehen. Risikoabwägung. Und wenn Kunden allen Vorkehrungen zum Trotz in eine der zahlreichen Fallen tappen? Welche Partei für den entstandenen Schaden haftet, ist höchstrichterlich nicht entschieden. Bei Summen bis 1000 Euro zeigen sich viele Institute kulant. „Eine Art Schweigegeld, damit Online-Banking nicht in Verruf gerät“, sagt Arne Trautmann, Rechtsanwalt in der Münchner Kanzlei Schlawien Naab. Bei höheren Beträgen kreiden viele Banken betroffenen Kunden mangelnde Sorgfalt an, der Gegenbeweis ist kaum zu führen. So konnte ein Diplomingenieur aus Süddeutschland seine Bank erst nach zähen Verhandlungen dazu bewegen, die Hälfte seines Schadens zu bezahlen. Betrüger hatten mit Hilfe eines Trojaners rund 5000 Euro von seinem Konto über einen Strohmann ins Ausland transferiert. Vor Gericht zog der Geprellte allerdings nicht: „Als erster einen Prozess durchzuziehen, war mir zu heikel.“ Wer weder Risiken eingehen noch auf die Kulanz seiner Bank vertrauen will, hat nur eine Option: Er bemüht sich in die Filiale. Auch dort lassen sich Geschäfte elektronisch erledigen. Die Kundenterminals funktionieren rund um die Uhr – und gelten als 100-prozentig sicher. Ω Daniela Eckstein, Jens Hagen 86 C 16/2006 Private Abwehrstrategie Wer seine Bankgeschäfte vom Computer aus erledigt, sollte den Rechner mit Sicherheitstechnik versehen und einige Regeln befolgen. Am besten nutzt der Kunde ein möglichst sicheres Online-Banking-System, etwa das HBCI-Verfahren mit ChipKarten-Leser. Stellt die Bank dies nicht zur Verfügung, muss der Nutzer besondere Sorgfalt walten lassen. ƒ Computer aufrüsten. Auf jeden Rechner mit Internet-Anschluss gehört ein aktueller Spamblocker, eine Firewall und – besonders wichtig – ein aktuelles Virenschutzprogramm. Die Schutz-Software spürt gefährliche Programme wie Trojaner, die Pin und Tan ausspionieren könnten, auf und macht sie unschädlich. Spamblocker halten die meisten unerwünschten E-Mails fern und verhindern damit, dass Phishing-Versuche oder Computerviren den Nutzer überhaupt erreichen. Firewalls verhindern, dass Fremde auf den PC zugreifen. ƒ Systeme pflegen. Nur aktuelle Schutz-Software hilft. Das gilt auch für Betriebssystem und Internet-Browser. Der Nutzer sollte sich daher regelmäßig neue Versionen von den Web-Sites der Hersteller laden. Mit Updates schließen die Anbieter deren Sicherheitslücken. Microsoft-Ergänzungen finden sich unter windowsupdate. microsoft.com. Wie gut das Mail-Programm und der Browser eines Rechners geschützt sind, lässt sich unter www.heise.de/security/dienste testen. ƒ Kontrollen einbauen. Kunden können bei Überweisungen ein Limit ein- setzen, wenn ihre Bank diesen Service anbietet. Das begrenzt im Betrugsfall den Schaden. Nutzer sollten den Kontostand außerdem mehrmals pro Woche kontrollieren. Je schneller eine Falschabbuchung gemeldet wird, desto leichter lässt sich Geld zurückholen. Wichtig ist, dass Online-Banker Kontoauszüge in Papierform aufbewahren. Sie sind ein wichtiges Beweismittel. ƒ Kritisch prüfen. Mails von der Bank sind genau und kritisch zu lesen. Fordern sie zur Eingabe von Pin oder Tan auf, handelt sich meist um einen Phishing-Versuch. Nutzer sollten niemals Links anklicken, die scheinbar zur WebSite der Bank führen, sondern die Internet-Adresse stets selbst in den WebBrowser eintippen. Nutzt die Bank die digitale Signatur für ihre E-Mails, wird dies mit einem eigenen Symbol angezeigt. Während der Kunde eingeloggt ist, müssen im Browser zudem das Schloss-Symbol für eine sichere Datenübertragung und die korrekte Internet-Adresse der Bank sichtbar sein. ƒ Regeln befolgen. Online-Banking auf fremden PC ist riskant. Auf ihnen könnten Spionage-Software oder mangelhafte Abwehrprogramme installiert sein. Auch beim eigenen PC gilt: Nach Abschluss des Bankings müssen Kunden sich ordungsgemäß abmelden (Logout) und sie sollten möglichst den Speicher des Browsers (Cache) löschen. Ganovenstück. Ende Juni verschickten Betrüger Phishing-Mails, die auf diese gefälschte Postbank-Seite lockten. Wer dort seine Daten eintippte, konnte zum Opfer von Betrügern werden. 16/2006 C 87