Praxis: HomebankingWie sicher ist Online-Banking?
Phishing-Attacken rasant gestiegen
Praxis: Homebanking
Zwei Drittel der Internetnutzer setzen laut der aktuellen W3B-Studie Online-Banking ein trotz der jüngsten Phishing-Attacken und Trojanern wie Bizex-E, der PINs und TANs ausspioniert. Die Zahl der von Phishing-Attacken weltweit betroffenen Web-Seiten ist laut Erhebung der Anti-Phishing Working Group von 161 im Oktober 2004 auf knapp 2900 im März 2005 gestiegen. Banken sprechen von aktuell über 300 000 Phishing-Mails pro Monat in Deutschland, gegenüber gerade einmal 300 im gesamten Jahr 2001.
Dabei ist Phishing das »Fischen« nach Passwörtern und Nutzerdaten mit gefälschten Mails und Web-Seiten relativ einfach und daher für Betrüger attraktiv. Bekannte Opfer solcher Angriffe wie Postbank und Deutsche Bank reden ungern über entstandene Schäden. Frank Hardt, Sicherheitsexperte beim Deutschen Sparkassen- und Giroverband, meint: »Uns sind einzelne wenige Fälle von Missbrauch geheimer Kundendaten bekannt. Den Kunden selbst sind dabei jedoch keine finanziellen Verluste entstanden.«
Ob es sich bei einer Internetadresse um eine echte URL der Bank handelt, kann auch der Laie ermitteln, da diese Adressen normiert aufgebaut sind, und zwar nach dem Muster prefix.domainname.extension, also etwa www.deutschebank.de. Der Domainname und die Extension geben somit Aufschluss über die Echtheit einer Banken-URL. So ist postbank.de.tg keineswegs eine Zweigstelle der Postbank, sondern ein Unterbereich der Domain www.de.tg.
Phishing und Pharming
Praxis: Homebanking
Ein wichtiger Tipp gegen gefälschte URLs in Phishing-Mails: Folgen Sie keinem Link, sondern rufen Sie die Homebanking-Seite manuell oder über ein Lesezeichen auf. Allein damit ist man jedoch nicht rundum sicher.
Bei der manuellen Eingabe setzt der nächste Betrüger-Trick an: Beim so genannten Pharming, das schon länger als Domain Spoofing bekannt ist, verändert ein Virus oder Trojaner die hosts-Datei von Windows so, dass der Anwender selbst bei der manuellen Eingabe einer URL in den Browser zu einer gefälschten Seite gelenkt wird. Unter Windows 95, 98 und Windows Me liegt die hosts-Datei im Windows-Ordner, bei allen neueren und Windows-NT-basierenden Systemen in dessen Unterverzeichnis system32\ drivers\etc. Auf Unix-Systemen findet sich die Datei unter dem Namen /etc/hosts.
Die Datei enthält eine Liste von IP-Adressen und symbolischen Namen. Bei der Auflösung einer URL hat diese Zuordnung in der Datei Vorrang vor einer Anfrage bei einem DNS-Server. Pharmer hinterlegen für die Banken-URL einfach die IP ihres gefälschten Web-Servers. So gelangt der Anwender nicht zu seiner Bank, sondern zu den Betrügern.
Weitere Pharming-Methode
Praxis: Homebanking
In der Regel sollte sich in der Datei neben Kommentarzeilen nur der Eintrag für localhost mit der IP-Adresse 127.0.0.1 finden. Es empfiehlt sich, die hosts-Datei mit einem Schreibschutz zu versehen und regelmäßig mit einem Anti-Spyware-Tool wie Spybot Search & Destroy (www.safer-networking.org/de) auf Veränderungen zu prüfen.
Eine andere Pharming-Methode nutzt das DNS-Caching in Netzwerken und auf Proxy-Servern: Zwischengespeicherte DNS-Einträge werden dort zum Beispiel mit Hilfe von Viren gefälscht. Laut dem Internet Storm Center, das ständig die aktuellen Viren- und Hacker-Aktivitäten überwacht, tritt dieses als DNS-Cache-Poisoning bekannte Verfahren in letzter Zeit gehäuft auf.
Regeln für Finanzgeschäfte
Praxis: Homebanking
Da beim Online-Banking kein direkter Kontakt zwischen dem Kunden und einem Bankangestellten besteht, muss vor allem die Authentizität von Sender und Empfänger garantiert werden. Nur so kann der Kunde sicher sein, seine Daten wirklich an das Kreditinstitut und nicht an einen Betrüger zu übermitteln. Umgekehrt ist die Bank daran interessiert, nur legitimierten Personen Zugriff auf ein Konto zu gewähren.
Bereits 1996 hat der Zentrale Kreditausschuss (ZKA) dazu das Home Banking Computer Interface (HBCI) als Standard für Online-Banking in Deutschland eingeführt. Mittlerweile ist HBCI im weit umfassenderen FinTS-Standard (Financial Transaction Services) integriert. Dieser definiert die beiden Sicherheitsverfahren HBCI und PIN/TAN, wobei Letzteres auf Druck der Banken als HBCI+ in den Standard eingeflossen ist. Sicherheitsexperten ist das ein Dorn im Auge.
Spionagerisiko PIN und TAN
Praxis: Homebanking
Das PIN/TAN-Verfahren funktioniert mit einem normalen Browser und baut bei Authentizität und Vertraulichkeit auf SSL (Secure Socket Layer). Eine verschlüsselte Internet-Verbindung über SSL signalisieren Mozilla und Firefox durch eine gelb hinterlegte URL-Zeile. Im Internet Explorer achten Sie auf die Anzeige der Sicherheitsstufe unten rechts in der Statuszeile: Ist hier ein kleines gelbes Schloss neben der Weltkugel zu sehen, surfen Sie verschlüsselt. In der Adresszeile steht jeweils statt dem unverschlüsselten http:// das Präfix https://.
Die Bank authentifiziert sich dabei Ihnen gegenüber durch ihr SSL-Zertifikat. Da Phisher und Pharmer den Anwender mittlerweile durch eigene SSL-Zertifikate täuschen, ist eine genaue Prüfung des Zertifikats wichtig. Im Internet Explorer klicken Sie dazu auf das SSL-Schloss in der Statuszeile. Mozilla und Firefox zeigen die URL des Zertifikats direkt in der Statuszeile neben dem Schloss-Symbol mit an. Ein Doppelklick öffnet die Details zu dem Zertifikat.
Der Bankkunde weist sich der Bank gegenüber durch Eingabe seiner PIN aus. Ist sein Computer mit einem Trojaner verseucht, kann diese allerdings leicht ausgespäht werden daher sollte immer eine aktuelle Anti-Viren-Software installiert sein. Banking auf fremden PCs, etwa in einem Internet-Café, sollte absolut tabu sein.
Spezielle Software für HBCI
Praxis: Homebanking
Statt auf Sicherheitsmechanismen der Browser setzt HBCI auf spezielle Software wie Star Money oder Quicken. Kunde und Bank authentifizieren sich jeweils über ihren privaten RSA-Schlüssel. Der Schlüssel des Anwenders liegt auf einer Chipkarte oder auf Diskette beziehungsweise USB-Stick. TANs sind dabei nicht mehr nötig. Während eine Sitzung aufgebaut wird, handelt HBCI einen Triple-DES-Schlüssel aus, mit dem die Transaktionsdaten dreifach verschlüsselt ausgetauscht werden.
Das HBCI-Verfahren ist deutlich sicherer und für den Kunden in der Regel auch komfortabler als die PIN/TAN-Variante. Der Nachteil: Man kann nicht von jedem beliebigen PC per Web-Oberfläche seine Bankgeschäfte erledigen. Aus Sicherheitsgründen ist dies aber ohnehin nicht empfehlenswert.
Viele Banken scheuen HBCI aus Kostengründen: Auch wenn der Kunde seinen Chipkarten-Leser und eventuell die Homebanking-Software selbst bezahlt, muss für ihn zunächst ein RSA-Schlüsselpaar erstellt und der private Schlüssel vertrauenswürdig ausgehändigt werden. Laut FinTS sollte hierzu eine Chipkarte dienen, auf welcher der private Schlüssel des Bankkunden gespeichert ist und die dem Kunden persönlich übergeben wird. Das hat den Nachteil, dass man einen Kartenleser zur Nutzung von HBCI am heimischen PC benötigt.
HBCI ohne Chipkarte
Praxis: Homebanking
HBCI funktioniert jedoch auch ohne Kartenleser und Chipkarte. So bieten einzelne Banken Ihren Kunden auch ein HBCI-Verfahren an, bei dem der private Schlüssel auf einer Diskette oder alternativ einem USB-Stick gespeichert wird. Oft wird d
ieser Service jedoch nur auf Nachfrage angeboten. Mit dem Schlüsselpaar führen Kunde und Bank zunächst eine Initialisierung der Online-Banking-Software durch.
Hierzu wird über das Internet eine Verbindung mit dem Banksystem aufgebaut und der öffentliche RSA-Schlüssel der Bank abgefragt. Dieser enthält eine Prüfsumme, den so genannten Hash-Wert. Dieser muss mit dem Hash-Wert, den man zusammen mit dem eigenen Schlüssel vor Ort in der Bank oder auf dem Postweg erhalten hat, verglichen werden. Stimmen die Werte überein, kann man sicher sein, mit dem richtigen Banksystem zu kommunizieren.
Im nächsten Schritt erfolgt dieselbe Prozedur umgekehrt. Die Online-Banking-Software überträgt den eigenen öffentlichen Schlüssel an die Bank. Damit die Bank die Authentizität dieses Schlüssels prüfen kann, generiert die Banking-Software einen Ini-Brief, den man ausgedruckt und unterschrieben an die Bank zurückfaxt oder -schickt.
Ist diese relativ aufwändige Prozedur einmal erfolgreich bewältigt, dienen die gespeicherten RSA-Schlüssel bei jeder Sitzung zur sicheren Authentifizierung des Kunden und der Bank. Phishing und Pharming fallen bei dieser Methode als Angriffspunkte völlig weg.
Digitale Unterschrift mit HBCI
Praxis: Homebanking
Das HBCI-Verfahren basiert auf der digitalen Signatur, die der Gesetzgeber schon seit 1998 als rechtsverbindliche Unterschrift anerkennt. Deshalb sieht die FinTS es sogar vor, per HBCI-Sicherheit zusätzliche Transaktionen zu erlauben, die an sich eine Unterschrift des Kunden vor Ort erfordern, etwa eine Kontoeröffnung. Einzige Voraussetzung: Das Sicherheitsmedium darf den privaten Schlüssel nur nach vorheriger Autorisierung durch den Anwender freigeben. Dies ist etwa bei Chipkarten durch Einsatz eines Kartenlesers denkbar, der wie beim Bezahlen mit der EC-Karte vom Anwender die Eingabe einer PIN erfordert. Erfolgt die Verschlüsselung von Botschaften zudem innerhalb der Chipkarte, muss der private Schlüssel auch nicht kurzzeitig in den Hauptspeicher eines PC kopiert werden, wo er wieder ausspioniert werden könnte.
In Zukunft könnten statt Chipkarten preiswertere USB-Sticks zum Einsatz kommen am besten solche, die den Zugriff nur freigeben, nachdem sich der Anwender über einen Fingerabdrucksensor autorisiert hat. Solche biometrischen Verfahren sind noch deutlich sicherer als eine PIN-Codierung der Chipkarte und erfüllen die Anforderungen im Signaturgesetz.
Hierzulande halten sich die Banken noch bedeckt, was die digitale Signatur und HBCI betrifft. Einzige Ausnahme: Die GAD, zentraler Dienstleister für über 490 Volks- und Raiffeisenbanken in Deutschland, testet aktuell eine neue Signaturkarte auf HBCI-Basis. Ob und wann die Volksbanken diese übernehmen, ist aber noch offen. EU-Länder wie Estland sind hier schon weiter: Dort bekommt jeder Bürger einen Personalausweis mit integriertem Chip, auf dem ein RSA-Schlüsselpaar gespeichert ist.
Geheimnummern per SMS
Praxis: Homebanking
Eine Alternative zum Postversand der TAN-Listen bietet die Postbank seit neuestem mit der mobilen TAN (mTAN) an. Während der Autorisierung einer Transaktion im Web-Formular fordert man eine TAN an, die wenige Sekunden später per SMS auf das Handy geschickt wird. Diese mTAN ist nur für die jeweilige Transaktion gültig und verfällt nach wenigen Minuten.
Zur Kontrolle werden in der SMS die Kontonummer des Empfängers und der Überweisungsbetrag mitgesendet: Dies verhindert Man-in-the-Middle-Attacken, bei denen zum Beispiel ein Trojaner auf dem PC die eingegebenen Daten durch die Kontonummer des Betrügers und einen hohen Geldbetrag ersetzt. Denn um von einem gehackten Zugang aus Geld zu überweisen, benötigt ein Phisher auch die passende SMS, er muss also zusätzlich das Handy des Opfers entwenden.
Leider hat auch die mTAN einen großen Haken: Bei der Registrierung wird nicht geprüft, wem das Handy gehört, für die Anmeldung genügt eine gültige TAN. Damit könnte jeder Phisher mit Prepaid-Karte seine eigene Handynummer registrieren und hätte ab dann leichtes Spiel.
Praktisch ist die mTAN vor allem für mobiles Homebanking, weil man keine TAN-Liste benötigt. Nach der Einführungsphase will die Postbank ihre Kunden mit 9 Cent pro SMS an den Kosten beteiligen.
Sicherheit ist relativ
Praxis: Homebanking
Generell gilt: Das PIN/TAN-Verfahren ist angreifbar. Verglichen mit etablierten Zahlungsmechanismen wie EC- und Kreditkarten sind die Missbrauchszahlen glaubt man den Aussagen der Banken aber noch relativ gering. Gegenargument zum sichereren HBCI sind die hohen Kosten für Chipkarte und Lesegerät. Unser Tipp: Erkundigen Sie sich bei Ihrer Bank nach Alternativen zum PIN/TAN-Verfahren und fragen Sie gezielt nach HBCI-Banking ohne Chipkarte. Viele Sparkassen sowie Volks- und Raiffeisenbanken sind hier Vorreiter.