Security-Warnungen werden inflationär
Übertriebene Hysterie um die Sicherheit im Web

IT-Security: Horrorgeschichten nur für die Auflage?

Security-Warnungen werden inflationär

Wie würden Sie auf die Schlagzeile einer überregionalen Zeitung reagieren, die da geifert: Millionen Haushalte in Gefahr wegen Sicherheitsmängeln bei den Doppelfenstern?

Wahrscheinlich wären Sie ziemlich beunruhigt und scharf darauf, weiter zu lesen. Wenn die Geschichte dann aber “enthüllt”, dass Ihre Fenster Baseballschläger schwingenden Einbrechern nicht standhalten, kämen Sie sich wahrscheinlich ziemlich verladen vor.

Als Kunde von HSBC, einer der größten Finanzinstitutionen der Welt mit Sitz in London und über 10.000 Filialen in 76 Ländern, konnte ich nicht umhin, die Titelseite des Guardian zur Kenntnis zu nehmen, die kürzlich aufschrie: “Wegen Sicherheitslücken laufen drei Millionen HSBC-Online-Konten Gefahr, Opfer von Betrug zu werden”. Natürlich verbreitete sich die Geschichte wie ein Lauffeuer.

“Wissenschaftler” hätten angeblich eine “krasse Sicherheitslücke” im Internet-Banking System von HBSC “entdeckt”. Klingt ernst, oder?

Gar nicht so unsicher

Security-Warnungen werden inflationär

Wenn Sie ein typischer Heimcomputer-Nutzer wären mit wenig technischem Wissen, würde eine solche Story Ihre Ängste bezüglich der Internetsicherheit schüren – dass das Internet ein gefährlicher Ort ist, der vor Dieben, Pädophilen, Terroristen und Bösewichtern nur so strotzt.

Aber für jeden, der von IT-Sicherheit auch nur ein bisschen Ahnung hat, war diese Story das Online-Pendant zu der, wo es um Einbrecher ging, die mit Baseballschlägern Fensterscheiben zerschmeißen.

Das Online-Banking von HSBC funktioniert wie folgt: Um die Nutzer mit einer gültigen Login-Identität zu authentifizieren, müssen die Besucher drei ausgewählte Ziffern aus einer persönlichen Sicherheitsnummer – vom Kunden beim Einrichten des Kontos ausgewählt – eingeben. Zum Beispiel: Geben Sie die zweite, vierte und siebente Ziffer Ihrer Sicherheitsnummer ein. Also so etwas wie die intelligent gesteuerte PIN-Abfrage mit Zufallsgenerator der Bank.

Nur mit Keyloggern

Security-Warnungen werden inflationär

Diese schlauen Rechercheure haben nun herausgefunden, dass bei ausreichender Zeit eine Keylogging-Software, die per Virus auf dem PC installiert wurde, genügend Log-Ins erfassen kann, um die gesamte Sicherheitsnummer herauszufinden und damit Zugang zum Konto des Kunden zu bekommen.

Nicht gerade Sherlock-Holmes-würdig, nicht wahr?

Es wurden keinerlei Schutzmaßnahmen wie Antivirus- oder Antispyware-Software erwähnt, die die meisten Internet-Dienstleister und auch viele Banken zur Verfügung stellen. HSBC erklärt, dass ihnen keinerlei Erkenntnisse darüber vorliegen, dass diese Methode jemals angewendet wurde, um illegal an ein Kundenkonto zu kommen. Sogar der weltweit bekannte Sicherheitsexperte Bruce Schneier hat dem Guardian mitgeteilt, dass dies nur eine unwesentliche Schwachstelle sei – angesichts der Hunderten, denen jede Bank ausgeliefert ist.

Informieren statt aufschrecken

Security-Warnungen werden inflationär

Wir müssen uns all der Risiken bewusst sein, die die Nutzung des Internets mit sich bringt, genauso wie es der Fall ist, wenn wir nachts allein durch dunkle Gassen in zwielichtigen Gegenden wandeln. Aber Banken investieren viel in den Schutz ihrer Kunden, wobei Hardware zur Authentifizierung bald zum Standard gehören wird.

Die Verbrecher werden natürlich für jedes neue Sicherheitssystem ein Gegenmittel finden, aber es wird immer schwieriger für sie. Sollte man sich nicht lieber darauf konzentrieren, die Nutzer über die einfachen Möglichkeiten aufzuklären, wie die Gefahren zu minimieren sind anstatt sie zu verscheuchen? Oder aber sollten wir vielleicht alle kugelsichere Fenster einbauen lassen?