Der Abwehr-Code

Budget & Vorsorge
[email protected]
Online-Banking
Der Abwehr-Code
Zahlreiche Banken setzen auf neue Technik, um Transaktionen via
Internet sicherer zu machen. Reicht der Schutz aus? Ein Test zeigt, dass
Kunden bei manchen Instituten immer noch hohe Risiken eingehen.
iTan. Wie bei PIN/TAN
(siehe Rechts) erhält
der Kunde eine Liste
mit Codes, die aber
durchnummeriert sind.
Der Anwender wählt
Die TAN nicht selbst.
Die Bank gibt vor, welche er auf der Web­site eingeben muss.
FAZIT. Basisschutz
­gegen klassische
­Phishing-Attacken,
nicht aber gegen
­Trojaner, die Daten
vom PC des Nutzers
abgreifen.
eTan. Ein Generator im Taschenrechnerformat erzeugt
ständig wechselnde TAN-Nummern. Der Kunde benötigt
vor jedem Vorgang eine Kontrollnummer von seiten der
Bank. Ein so erzeugter Code gilt nur wenige Sekunden –
zu wenig Zeit für Betrüger, um das Konto abzuräumen.
FAZIT. Sicherer und bedienungsfreundlicher als ITAN.
82 C 16/2006
Pin/Tan. Der Kunde autorisiert sich mit einer stets
gleichen fünfstelligen Identifikationsnummer (PIN) und
­einer variablen Transaktionsnummer (TAN) auf der Web-site
der Bank. Die TAN wählt er
aus einer Liste von meist 100
Nummern. Nachteil: Späht ein
Betrüger PIN und TAN aus,
kann er problemlos Geld
­abheben.
FAZIT. Leicht angreifbar
durch Phishing oder Trojaner.
H
einz Beeck nimmt die Sicherheit seiner Kunden ernst. Der Leiter Online-Banking der Deutschen Bank investierte „einen hohen siebenstelligen Betrag“, damit seine Kunden ihre Geschäfte
ohne Angst vor Betrügern am heimischen
PC erledigen können. Und dies nicht ohne Grund, denn Beecks Institut war im
vergangenen Jahr Zielscheibe mehrerer
Attacken. Zum Beispiel gab ein gutgläubiger Berliner Kunde im September 2005
mTan. Die Bank schickt die TAN auf eine vorgebliche Mail-Anfrage der
per SMS auf das Handy des
Bank – Phishing – die Zugangscodes seiKunden. Die Nummer ist wie
nes Girokontos auf einer gefälschten Inbeim ETAN-Verfahren (siehe
ternetseite preis. Die Betrüger plünLinks unten) nur kurze Zeit
derten sein Konto fast bis zum Dispo-Ligültig. Zusammen mit der TAN
mit. Schaden: 2600 Euro.
werden weitere TransaktionsUnsicheres Internet-Banking? Inakdetails versandt, Manipulati- zeptabel für den Branchenprimus. Beeck
onsversuche sind damit
führte im Februar das neue Autorisie­erkennbar.
rungsverfahren iTan ein. Ein Dutzend
FAZIT. Das sicherste TANMitarbeiter aus verschiedenen Ab­tei­lun­
­Verfahren.
gen hält aktuell Ausschau nach neuen
Betrugsgefahren und wacht über die Sicherheit der Konten. Kunden werden mit
HBCI. Der Kunde meldet sich
Informationen
über neue Maschen der
per Chip-karte über ein exterInternet-Gangster
geradezu bombarnes Lesegerät an. Die Karte
diert.
„Seitdem
gab
es keinen einzigen
ist mit einer PIN geschützt,
er­folg­rei­chen
Betrugsversuch“,
so Beeck.
die er über eine Tastatur auf
Dass
der
Tatendrang
des
Bank-Manader Hardware eingibt. So köngers Wirkung zeigt und Beeck die hohen
nen die Daten kaum ausgeInvestitionen offenbar nicht zum Fenster
späht werden. Preis des Karhinaus geworfen hat, belegt ein Test des
tenlesers: rund 100 Euro.
renommierten
Fraunhofer Instituts für
FAZIT. Maximale Sicherheit,
Sichere
Informationstechnologie.
Im
aber teuer und aufwändig.
Auftrag von Capital untersuchte ein
Team von vier Wissenschaftlern Technik
und Informationsqualität der InternetBanking-Seiten von 20 Instituten (siehe:
„Online-Sicherheit“). Neben dem Testsieger Deutsche Bank erzielten nur PostIllustration: Capital
bank, Berliner Volksbank und Commerzbank 22 oder mehr der möglichen
31 Punkte und damit nach dem zuvor
festgelegten Schulnotensystem ein „Gut“.
Insgesamt ist das Testergebnis aber eher
ernüchternd: 40 Prozent der un­ter­such­
ten Unternehmen erreichten nicht mal
die Hälfte der möglichen Punktzahl, drei
Institute weniger als ein Drittel. Nach der
Capital/Fraunhofer-Skala ist das ein
glattes „Mangelhaft“.
Auch der Kommentar von Testleiter
Sven Türpe fällt ernüchternd aus. „Viele
Institute lassen ihre Kunden mit den Gefahren allein“, resümiert der FraunhoferExperte, „die Kostenersparnis, die Geldhäuser dank Online-Banking erzielen,
wird nicht vorrangig in neueste Technik
investiert.“ Nach einer Einschätzung der
Beratung Steria Mummert verursachen
Kunden, die ihre Bankgeschäfte via PC
abwickeln, 75 Prozent weniger Kosten als
klassische Filialgänger.
Massenphänomen. Dabei sind zuverlässige Abwehrsysteme gegen Phisher
und Hacker wichtiger denn je. Mehr als
20 Millionen Bankkunden erledigen bereits ihre Geldgeschäfte am PC. Das ist
bequem – wird aber auch immer riskanter. Die Gesamtzahl der Straftaten
über alle Bereiche hinweg, so die Kriminalstatistik, ist im letzten Jahr gesunken.
Im selben Zeitraum stieg aber die Internet- und Computerkriminalität um
zwölf Prozent. Rund 2000 Anzeigen betrafen allein Angriffe auf Online-Banker
– mit durchschnittlichen Schadensummen von 2000 bis 3000 Euro. Das Problem: Die Ganoven werden immer dreister. Sie bilden Logos und Optik echter
Bank-Mails und Web-Sites täu- ∂
16/2006 C 83
Budget & Vorsorge
[email protected]
Online-Banking
schend echt nach. „Selbst erfahrene Privatanwender können auf derartige Fälschungen hereinfallen“, konstatiert Udo
Helmbrecht, Präsident des Bundesamtes
für Sicherheit in der Informationstechnik. Nach einer Umfrage der Marktforscher von TNS Infratest bezweifeln 80
Prozent der Verbraucher, dass sie eine
getürkte E-Mail erkennen würden.
Schickten die Betrüger ihre Lockbriefe
bisher nach dem Gießkannenprinzip an
alle erreichbaren elektronischen Postfächer, so gehen sie jetzt gezielter vor. Sie
testen per E-Mail die Wahrscheinlichkeit,
dass Internet-Nutzer auf Phishing-Ver-
Verlierer. Die
Volkswagen Bank
erreichte nur 6,5
von 31 möglichen
Punkten. Sichere
Zugangsverfahren
fehlen ebenso wie
ein ausführliches
Informationsangebot über die Risiken.
Online-Sicherheit: 20 Banken im Vergleich
Welche Institute bieten Online-Nutzern die sicherste Technik und die besten Informationen? Eine exklusive Analyse
des Fraunhofer Instituts offenbart große Unterschiede. Nur vier Banken bewerteten die Wissenschaftler mit „gut“.
Trojaner, Phishing, Farming, Man-in-the-Middle-Attack – die Krea- Banken, wenn Kunden bei Überweisungen ein Limit festlegen köntivität der Internet-Betrüger beim Ausspähen von Geldtransfers
nen, bis zu vier Punkte, wenn die Online-Banking-Adresse und das
scheint grenzenlos. Welche Bank die beste Abwehrstrategie bietet,
SSL-Zertifikat den Namen der Bank enthalten und so leicht zu
untersuchte im Auftrag von Capital ein Team von vier Wissenschaft- identifizieren sind. Jeweils zwei Punkte vergibt Fraunhofer, wenn
lern des Fraunhofer Instituts im Wesentlichen nach fünf Kriterien.
die Bank ihre E-Mails signiert oder der Kunde keine Mail-Adresse
Testkriterien. Maximal 31 Punkte konnten die Institute erreichen. für die Anmeldung angeben muss. Vollständige und leicht auffindBesonders wichtig ist der Passwortschutz: Das Angebot von mTan
bare Sicherheitshinweise auf der Web-Site der Bank verringern das
bringt acht Punkte, gefolgt von eTan (sechs) und iTan (vier). HBCIRisiko für Nutzer und werden mit maximal neun Punkten belohnt.
Technik gibt vier Sonderpunkte. Maximal zwei Punkte erhalten
Teilnahme am Bezahlsystem Giropay gibt zwei Punkte Abzug.
Institut
Passwortschutz
Deutsche Bank
Postbank
Commerzbank
Berliner Volksbank
Sparkasse Kiel
Dresdner Bank
GE Money Bank
1822 direkt
Sparkasse Köln-Bonn
Stadtsparkasse München
ING-Diba
Comdirect
Sparda-Bank Südwest
Netbank
Sparkasse Nürnberg
Hypovereinsbank
Citibank
Cortal Consors
SEB
Volkswagen Bank
iTan, HBCI
iTan, mTan
iTan, HBCI
iTan, HBCI
iTan, HBCI
iTan
eTan, HBCI
iTan, HBCI
iTan
Pin/Tan, HBCI
iTan
iTan
iTan
iTan
Pin/Tan, HBCI
Pin/Tan, HBCI
Pin/Tan
Pin/Tan
Pin/Tan, HBCI
Tan Generator
84 C 16/2006
SSL-Zertifikat
mit Banknamen
Ja
Ja
Ja
Ja
Ja
Ja
Ja
Ja
Ja
Ja
Ja
Ja
Ja
Nein
Nein
Ja
Ja
Ja
Ja
Ja
E-MailSignatur
Nein
Ja
Nein
Nein
Nein
Nein
Nein
Nein
Nein
Nein
Nein
Nein
Nein
Ja
Nein
Nein
Nein
Nein
Nein
Nein
Informationsangebot
Sehr gut
Gut
Sehr gut
Befriedigend
Sehr gut
Gut
Befriedigend
Sehr gut
Sehr gut
Sehr gut
Gut
Ausreichend
Befriedigend
Ausreichend
Sehr gut
Ausreichend
Befriedigend
Mangelhaft
Ausreichend
Mangelhaft
Überweisungslimit möglich
Ja
Ja
Ja
Ja
Ja
Ja
Ja2
Ja
Ja
Ja
Nein
Nein
Ja2
Ja2
Ja
Nein
Ja2
Ja
Ja2
Nein
Gesamtwertung
(max. 31 Punkte)
25,0
24,01
23,0
22,0
21,01
20,0
20,0
18,51
18,51
18,51
18,0
16,0
15,5
14,5
12,51
12,0
11,5
9,5
9,5
6,5
Gesamtwertung in Schulnoten:
31 – 27 Punkte: Sehr gut.
26 – 22: Gut.
21 – 17: Befriedigend.
16 – 12: Ausreichend.
11 – 0: Mangelhaft.
1) Punktabzug wegen Teilnahme
an Giropay. 2) Betrag nicht frei
wählbar.
Quelle: Fraunhofer Institut für
Sichere Informationstechnologie
(SIT). Stand: 5. Juli 2006.
suche anspringen. Sodann werden die
naiv erscheinenden Anwender gezielt
kontaktiert. In den USA versuchen Datendiebe neuerdings, Verbrauchern ihre
Zugangscodes am Telefon zu entlocken.
Selbst wer auf solche Tricks nicht hereinfällt, ist vor Nachstellungen nicht gefeit. Kriminelle infizieren die Rechner
ihrer Opfer mit Spionageprogrammen,
so genannten Trojanern. Die spähen Pin
und Tan auf der Festplatte aus, etwa indem sie die Tastaturanschläge mitschreiben, und senden die Daten an die Ganoven zurück. „Die Trojaner-Software wird
immer raffinierter“, sagt Beeck von der
Deutschen Bank. Ein Kunde der SpardaBank Berlin wurde zum Beispiel im Februar dieses Jahres Opfer eines solchen
Angriffs – obwohl er seinen Rechner mit
neuester Virenschutz- und FirewallSoftware nach Empfehlung des Bundesamtes für Sicherheit in der Informationstechnik ausgerüstet hatte. Der Schaden betrug fast 3000 Euro. Wer die Summe ersetzt, ist noch nicht geklärt.
So viel kriminelle Energie macht selbst
eine neue Sicherheitstechnik wie iTan
anfällig für Betrug. Mit diesem Verfahren ersetzen viele Geldinstitute derzeit
das traditionelle Pin/Tan-System. Prinzip: Der Kunde autorisiert sich nicht
mehr mit einer frei wählbaren Nummer
aus der Liste seiner Tan. Welchen der nun
durchnummerierten Codes er eingeben
muss, gibt ihm die Bank auf der Web-Seite vor. Damit ist das System zwar gegen
Phishing immun, gegen Trojaner bleibt
es aber weit gehend schutzlos.
Die Existenz solcher Sicherheitslecks
belegte jüngst die Bochumer Arbeitsgruppe Identitätsschutz im Internet. Die
Wissenschaftler aus dem Ruhrgebiet
hackten einen Datentransfer zwischen
einem Kunden und seiner Bank. Nach
Belieben konnten die IT-Experten die
Kommunikation manipulieren. Professor Georg Borges, einer der Gründer der
Gruppe: „Wer iTan einsetzt, sollte stets
anhand des SSL-Zertifikats prüfen, ob er
tatsächlich auf der Internet-Seite der
Bank landet.“ Dies aber verlangt dem
Nutzer Geduld und Übung ab. Er muss
sich durch drei Bildschirmfenster mit
Computerkauderwelsch kämpfen.
Foto: Sven Paustian für Capital
Testsieger. Heinz Beeck, Leiter Online-Banking der
Deutschen Bank, investierte in den vergangenen zwölf
Monaten einen siebenstelligen Betrag in die Sicherheit.
Derlei Umstände müssen nicht alle
Bankkunden erdulden. Wie der Fraunhofer-Test zeigt, nutzen etliche Institute
Verfahren, die bisher kein Betrüger knacken konnte. Den höchsten Sicherheitsstandard bietet HBCI: Der Nutzer installiert ein Lesegerät zwischen Tastatur und
PC und autorisiert sich mit Hilfe einer
Chipkarte beim Bankcomputer. Die Verbindung läuft nicht übers Internet und ist
deshalb immun gegen jeglichen Angriff.
Kostenfaktor. Doch auch HBCI hat
­einen Haken. „In der Regel sind Hardware und Software kostenpflichtig und
nicht immer kompatibel mit den Gerätschaften des Kunden. Die Kartenleser
schränken darüber hinaus die Mobilität
ein“, konstatiert die Volkswagen Bank.
Der Verlierer im Fraunhofer-Test verzichtet wie elf andere Institute auf diese
Technik. Die HBCI-Hardware kostet
rund 100 Euro und ist nicht immer einfach zu installieren. Das Fraunhofer Ins-
titut trägt dem Rechnung. „Eine gute
Bewertung war in dem Test auch ohne
HBCI erreichbar“, erklärt Türpe.
Eine Alternative bietet Testzweiter
Postbank. Die Bonner setzen auf mTan.
Bei diesem Verfahren schickt die Bank
dem Kunden seinen Transaktionscode
per SMS aufs Handy. Der Code gilt nur
Sekunden – zu wenig Zeit für Kriminelle,
die Konten abzuräumen. Eine ähnlich
sichere Variante bietet GE Moneybank
mit eTan: Hier erzeugt ein taschenrechnergroßes Gerät mit Rückkopplung zur
Bank die Codes. „Das System funktioniert“, sagt Internet-Leiter Marco Brandt,
„es gab bisher keinen Betrugsfall.“
Trotz solch vorbildlicher Angebote
bietet keine der getesteten Banken die
Ideallösung: eine freie Wahl zwischen
den drei sichersten Verfahren HBCI,
mTan und eTan. „Deshalb können wir
für keines der Institute die Note „sehr
gut“ vergeben“, erklärt Türpe.
∂
16/2006 C 85
Budget & Vorsorge
[email protected]
Online-Banking
Und nicht nur beim Online-Banking
lauern Gefahren. Besonders kritisch sieht
Türpe die Teilnahme der Postbank und
Sparkassen an einer neuen Bezahlmöglichkeit, die eigentlich das Shoppen im
Internet leichter machen soll: Giropay.
User, die über dieses System ihre Rechnungen für Internet-Käufe begleichen
möchten, wechseln automatisch von der
Web-Seite des Online-Händlers auf die
ihrer Bank. Die Befürchtung der Darmstädter Experten: Betrüger könnten sie
dabei leicht auf eine ganz andere Homepage leiten. „Eine großzügige Einladung
zum Fälschen von Internet-Seiten und
damit zur Betrügerei unwissender Kunden“, kommentiert Türpe. „Kein spezifisches Problem von Giropay, sondern ein
allgemeines Risiko im E-Commerce“, entgegnet Geschäftsführer Werner Wessinghage. Generell müssten Online-Banker
den PC schützen, ehe sie ins Netz gehen.
Risikoabwägung. Und wenn Kunden
allen Vorkehrungen zum Trotz in eine der
zahlreichen Fallen tappen? Welche Partei
für den entstandenen Schaden haftet, ist
höchstrichterlich nicht entschieden. Bei
Summen bis 1000 Euro zeigen sich viele
Institute kulant. „Eine Art Schweigegeld,
damit Online-Banking nicht in Verruf
gerät“, sagt Arne Trautmann, Rechtsanwalt in der Münchner Kanzlei Schlawien
Naab. Bei höheren Beträgen kreiden viele
Banken betroffenen Kunden mangelnde
Sorgfalt an, der Gegenbeweis ist kaum zu
führen. So konnte ein Diplomingenieur
aus Süddeutschland seine Bank erst nach
zähen Verhandlungen dazu bewegen, die
Hälfte seines Schadens zu bezahlen. Betrüger hatten mit Hilfe eines Trojaners
rund 5000 Euro von seinem Konto über
einen Strohmann ins Ausland transferiert. Vor Gericht zog der Geprellte allerdings nicht: „Als erster einen Prozess
durchzuziehen, war mir zu heikel.“
Wer weder Risiken eingehen noch auf
die Kulanz seiner Bank vertrauen will, hat
nur eine Option: Er bemüht sich in die
Filiale. Auch dort lassen sich Geschäfte
elektronisch erledigen. Die Kundenterminals funktionieren rund um die Uhr –
und gelten als 100-prozentig sicher. Ω
Daniela Eckstein, Jens Hagen
86 C 16/2006
Private Abwehrstrategie
Wer seine Bankgeschäfte vom Computer aus erledigt, sollte den
Rechner mit Sicherheitstechnik versehen und einige Regeln befolgen.
Am besten nutzt der Kunde ein möglichst sicheres Online-Banking-System,
etwa das HBCI-Verfahren mit ChipKarten-Leser. Stellt die Bank dies nicht
zur Verfügung, muss der Nutzer besondere Sorgfalt walten lassen.
ƒ Computer aufrüsten. Auf jeden
Rechner mit Internet-Anschluss gehört
ein aktueller Spamblocker, eine Firewall und – besonders wichtig – ein aktuelles Virenschutzprogramm. Die
Schutz-Software spürt gefährliche Programme wie Trojaner, die Pin und Tan
ausspionieren könnten, auf und macht
sie unschädlich. Spamblocker halten
die meisten unerwünschten E-Mails
fern und verhindern damit, dass Phishing-Versuche oder Computerviren
den Nutzer überhaupt erreichen. Firewalls verhindern, dass Fremde auf den
PC zugreifen.
ƒ Systeme pflegen. Nur aktuelle
Schutz-Software hilft. Das gilt auch für
Betriebssystem und Internet-Browser.
Der Nutzer sollte sich daher regelmäßig neue Versionen von den Web-Sites
der Hersteller laden. Mit Updates
schließen die Anbieter deren Sicherheitslücken. Microsoft-Ergänzungen
finden sich unter windowsupdate.
microsoft.com. Wie gut das Mail-Programm und der Browser eines Rechners geschützt sind, lässt sich unter
www.heise.de/security/dienste testen.
ƒ Kontrollen einbauen. Kunden können bei Überweisungen ein Limit ein-
setzen, wenn ihre Bank diesen Service
anbietet. Das begrenzt im Betrugsfall
den Schaden. Nutzer sollten den Kontostand außerdem mehrmals pro Woche kontrollieren. Je schneller eine
Falschabbuchung gemeldet wird, desto leichter lässt sich Geld zurückholen.
Wichtig ist, dass Online-Banker Kontoauszüge in Papierform aufbewahren.
Sie sind ein wichtiges Beweismittel.
ƒ Kritisch prüfen. Mails von der Bank
sind genau und kritisch zu lesen. Fordern sie zur Eingabe von Pin oder Tan
auf, handelt sich meist um einen Phishing-Versuch. Nutzer sollten niemals
Links anklicken, die scheinbar zur WebSite der Bank führen, sondern die Internet-Adresse stets selbst in den WebBrowser eintippen. Nutzt die Bank die
digitale Signatur für ihre E-Mails, wird
dies mit einem eigenen Symbol angezeigt. Während der Kunde eingeloggt
ist, müssen im Browser zudem das
Schloss-Symbol für eine sichere Datenübertragung und die korrekte Internet-Adresse der Bank sichtbar sein.
ƒ Regeln befolgen. Online-Banking
auf fremden PC ist riskant. Auf ihnen
könnten Spionage-Software oder
mangelhafte Abwehrprogramme installiert sein. Auch beim eigenen PC
gilt: Nach Abschluss des Bankings
müssen Kunden sich ordungsgemäß
abmelden (Logout) und sie sollten
möglichst den Speicher des Browsers
(Cache) löschen.
Ganovenstück. Ende
Juni verschickten Betrüger Phishing-Mails,
die auf diese gefälschte
Postbank-Seite lockten.
Wer dort seine Daten
eintippte, konnte zum
Opfer von Betrügern
werden.
16/2006 C 87