|
|
| Online-Banking |
Allgemeines
Von verschiedener Seite wird regelmäßig vor Online-Banking gewarnt, wodurch wohl eine Menge Leute verunsichert werden. Es ist zwar sehr zu begrüßen, daß durch das öffentliche Aufzeigen der Sicherheitsrisiken, die die Bank und nicht der Kunde zu verantworten hat, versucht wird, die Banken zu Verbesserungen und einer Veränderung der Haftungsklauseln zugunsten der Kunden zwingen. Auf der anderen Seite sind dadurch aber viele Kunden so verunsichert, daß sie auf Online-Banking aufgrund der Berichterstattung ganz verzichten.
Dies ist jedoch fatal, wenn Sie als Ersatz auf z.B. Telefonbanking ausweichen, da dieses ganz erheblich unsicherer ist als jedes Online-Banking. Denn Transaktionen beauftragen kann jeder, der das Telefonbanking-Paßwort kennt. Durch PIN und TAN ist der Sicherheitslevel beim Online-Banking dagegen ganz erheblich höher.
Grundsätzliches (PIN/TAN-Verfahren)
Das Online-Banking hat einen großen Vorteil für die Bankinstitute: Es ist bis auf die Rechneradministration kein teures Personal erforderlich. Aus Kostengesichtspunkten ist Online-Banking für die Bankinstitute daher sehr interessant, weil eine Online-Transaktion so gut wie nichts kostet. Wenn Sie als Kunde im Offline-Banking einen Bankangestellten auch nur 5 Minuten beschäftigen, kostet dies die Bank 5/60 der Stundenkosten für diesen Arbeitsplatz (also Gehalt plus alle Nebenkosten und Umlagen). Bei Stundenkosten von angenommen 60 Euro sind das immerhin 5 Euro, die für beispielsweise das Ausfüllen eines Überweisungsformulars anfallen, weil der Kunde mit der Rechnung in der Hand in die Bank spaziert kommt. Diesem Kunden in Rechnung gestellt werden aber nur die ganz normalen Überweisungsgebühren, so daß dieser Vorgang bei weitem nicht kostendeckend ist.
Für den Kunden hat Online-Banking sowohl Vor- als auch Nachteile: Nachteilig ist, daß ggf. Online-Gebühren anfallen und das Risiko meistens beim Kunden liegt, aber als Vorteil hat die Bank sozusagen 24 Stunden am Tag geöffnet, und man kann sich den Weg in die Bank sparen, weil die Bank nach Hause kommt. Oft werden die Onlinegebühren durch günstigere Überweisungs- und/oder Grundgebühren bis zum totalen Wegfall von Bankgebühren sowie nennenswerte Guthabenzinsen beim Girokonto kompensiert. Je nach Gebührenstruktur und AGB des jeweiligen Bankinstituts können unter dem Strich deutliche Vorteile als auch deutliche Nachteile herauskommen. Es ist daher sinnvoll, die Angebote verschiedener Banken zu vergleichen.
Normalerweise füllen Sie beim Offline-Banking ein Überweisungsformular aus oder lassen es von einem Bankangestellten ausfüllen. Das Formular wird dann von der Bank später mittels eines Scanners digitalisiert, mit einem Rechner ausgewertet, und das Geld dann vom Rechner über das Bankennetz überwiesen. Bei Einleseproblemen infolge beispielsweise unleserlicher Schrift muß ein Mensch helfen. Die Unterschrift wird entweder gar nicht oder erst ab einem relativ hohen Betrag überprüft, d.h. Unbefugte könnten schon heute einfach in Ihrem Namen von Ihrem Konto Geld auf fremde Konten überweisen, sofern Sie Ihre Bank und Kontonummer kennen.
Beim Online-Banking spart man sich das Ausfüllen und Einscannen des Überweisungsformulars. Über das Internet tippt man sozusagen die Überweisungsdaten "direkt" in den Bankenrechner. Normalerweise besitzt die Bank einen Rechner, der am Internet hängt, der die Kommunikation mit dem Kunden durchführt und die Daten dann an den Bankenrechner weitergibt. Auf diesem Internetrechner der Bank melden Sie sich mit Kontonummer bzw. Kundennummer und PIN (Personal Identification Number) über eine gesicherte Verbindung (SSL) an. Zur Erhöhung der Sicherheit wird dann üblicherweise ein Javaprogramm von diesem Rechner geladen. Dieses Javaprogramm bildet die Bedienoberfläche, die in einem Fenster angezeigt wird, und verschlüsselt Ihre Eingaben zusätzlich, so daß es nach menschlichem Ermessen absolut unmöglich ist, die Verbindung zwischen Ihnen und der Bank online abzuhören. Sie können sich nun Kontostand und andere Daten ansehen, aber keine Transaktion tätigen. Nach Ausfüllen eines Online-Überweisungsformulars müssen Sie zusätzlich eine TAN (Transaction Number) eingeben, die nur einmal verwendet werden kann. Aus diesem Grund kann ein Angreifer mit einer abgehörten TAN nichts anfangen. Von Ihrer Bank erhalten Sie bei Kontoeröffnung eine Liste mit vielen TANs, so daß Ihnen für jede Transaktion eine neue zur Verfügung steht. Bei guten Banken erhalten Sie als Rückmeldung auf eine gültige TAN eine Kontrollnummer, die BEN. Sie ist eine zusätzliche Sicherungsmaßnahme und sollte nicht unberücksichtigt bleiben.
Sicherheit
Viel diskutiert wird die Sicherheit von Online-Konten. Vor dem Hintergrund, daß jemand sich lediglich ein Überweisungsformular Ihrer Bank nehmen und dieses mit Ihrer Kontonummer und Ihrem Namen versehen und mit Mickey Maus unterschreiben muß, um sich von Ihrem Offline-Konto bedienen zu können, sollte man beim Online-Banking keine Bewertungsmaßstäbe anlegen, die man bei konventionellen Bankgeschäftigen ebenfalls nicht erfüllt. Denn bei den Überweisungsformularen sind für den Mißbrauch grundsätzlich die Tore weit geöffnet, weil die Bankinstitute die Unterschrift erst ab einem relativ hohen Betrag vor Überweisung prüfen. Trotzdem sollte man die tatsächlich vorhandenen Gefahren nicht verharmlosen. Vor allem sollte man wissen, welche das sind, um nicht unwissentlich die Problematik durch ungeschicktes persönliches Handeln unnötig zu verschärfen.
Die Verbindung zwischen Bankenrechner und Kunde gilt bis auf eine Ausnahme (siehe nächsten Abschnitt) als sicher. Denn die Verbindung wird erstens über SSL verschlüsselt und dann oft noch einmal zusätzlich über ein Javascript. Es ist zwar nicht ausgeschlossen, daß jemand den Datenverkehr aufzeichnet und mit viel Rechenleistung in großer Zeit knackt, aber damit hat er wenig gewonnen. Er kann zwar dadurch theoretisch Ihre PIN in Erfahrung bringen und dadurch Ihren Kontostand abfragen, aber er kann keine Überweisungen vornehmen, da die abgehörte und entschlüsselte TAN nicht ein zweites Mal verwendet werden kann.
Das größte Sicherheitsrisiko sind die Rechner der Kunden, während die Bankenrechner dank der eingesetzten Sicherheitslösungen als sehr sicher gelten. Wenn es einem Angreifer durch Ausnutzen der Gutgläubigkeit ("social engineering") oder von Sicherheitslücken gelingt, auf dem Rechner eines Bankkunden eine Schadsoftware, ein sogenanntes trojanisches Pferd, zu installieren, kann er mit dieser Schadsoftware alle Tastatureingaben und Bildschirmanzeigen mitprotokollieren und über Internet dem Angreifer übermitteln, so daß die sichere Verbindung zwischen Ihrem Rechner und dem Rechner der Bank ausgehebelt wäre. Wenn es ihm zusätzlich gelingt, sich zwischen ihren Rechner und den Rechner der Bank zu hängen, könnte er in dem Moment, indem Sie einen Überweisungsauftrag mittels TAN bestätigen, die Weitergabe dieser Daten zur Bank unterbrechen. Er hätte dann eine gültige TAN abgefangen, mit der er sich Geld von Ihrem Konto auf seines überweisen könnte. Dies ist aber gar nicht so einfach, da er sich hierzu beispielsweise in Ihre Telefonleitung einklinken (d.h. auftrennen und dazwischenschalten), Zugang zum Einwählrechner Ihres Internetproviders haben oder Ihr Betriebssystem geeignet manipulieren muß. Der Aufwand hierfür ist erheblich, während es wie gesagt ganz einfach ist, einen Überweisungsvordruck mit Ihrer Kontonummer auszufüllen. Der große und wichtige Unterschied für Sie als Kunden ist, daß Sie notfalls beweisen können, daß die Unterschrift auf dem Formular nicht Ihre ist, während Sie dies bei einer Online-Transaktion nicht können.
Das Ausnutzen von Sicherheitslücken ist kompliziert und zudem sehr mühsam, weshalb Angreifer viel lieber per Phishing versuchen, sich Zugang zu Ihrem Konto zu verschaffen. Phishing ist ein Kunstwort, das aus den Wörtern Password und Fishing gebildet wurde und bedeutet, daß der Angreifer nach Paßwörtern fischt. Gängige Praxis beim Phishen ist es, daß der Angreifer Ihnen eine eMail mit gefälschter Absendekennung schickt und sich dabei als Bank ausgibt, um Sie unter einem Vorwand auf eine der Bank täuschend echt nachempfundene WebSite zu locken, damit Sie dort PIN und TANs eingeben. Obwohl bisherige Phishing-eMails auch für Laien recht leicht erkennbar waren, waren offenbar einige Leute dumm genug, auf diesen billigen Trick hereinzufallen. Um dem zu begegnen, haben die Banken inzwischen mehrheitlich ihre TANs auf iTAN (indexed TAN) oder seltener auf mTAN (mobile TAN, d.h. auf das Mobiltelefon übermittelte TANs) umgestellt.
Beim normalen TAN-Verfahren können Sie eine beliebige, noch nicht verwendete TAN verwenden, weshalb es genügte, daß der Phisher neben den Anmeldedaten mindestens eine gültige TAN in die Hände bekam. Beim iTAN-Verfahren sind die TANs hingegen durchnumeriert, wobei die Bank eine ganz bestimmte TAN anfordert. Mit einer einzelnen iTAN kann der Phisher in der Regel nichts anfangen, weil die Wahrscheinlichkeit gering ist, daß die Bank genau diese eine TAN abfragt. Das Risiko wird dadurch geringer als beim normalen TAN-Verfahren aber nicht Null. Beim mTAN-Verfahren sendet die Bank bei jeder Transaktion per SMS eine TAN auf Ihr Mobiltelefon, welches Sie vorher der Bank für dieses Verfahren angeben müssen. Die übermittelte TAN, die nur eine geringe zeitliche Gültigkeit besitzt, müssen Sie dann zum Abschluß der Transaktion eintippen. Das mTAN-Verfahren ist recht sicher, weil es sehr unwahrscheinlich ist, daß ein Phisher Ihres Mobiltelefons habhaft wird. Nachteilig sind die Kosten für die SMS, die die Bank Ihnen in Rechnung stellt.
Auf Benutzerseite können Sie Phishing leicht vermeiden, indem Sie erstens Ihren gesunden Menschenverstand einschalten (in diversen Foren wird oft empfohlen, die Sicherheitssoftware Brain 1.0 zu installieren) und zweitens die URL Ihrer Bank immer und ausnahmslos selbst einzutippen, weil der Linktext in einer eMail nicht mit dem wahren Ziel übereinstimmen muß. Zudem ist Ihrer Bank oft Ihre eMail-Adresse nicht bekannt, weshalb sie Sie überhaupt nicht per eMail kontaktieren kann. Wichtige Änderungen werden ohnehin immer per Briefpost angekündigt, da eMails keine Rechtsverbindlichkeit besitzen.
Aber wie auch immer man sich Zugang zu Ihrem Konto verschafft: Der Angreifer bekommt kein Bargeld in die Hand, sondern kann nur Geld auf ein anderes Konto überweisen. Damit ist er aber eindeutig identifizierbar, selbst wenn er das Geld mehrfach von einem zum anderen Konto überweist. Zumindest innerhalb der EU und in vielen anderen Ländern mit Auslieferungsabkommen ist der Täter vor der Polizei nicht sicher. Die bösen Buben versuchen daher, unter einem Vorwand sogenannte "Finanzvermittler" anzuwerben, die gestohlenes Geld auf ihrem Konto entgegennehmen und anonym (z.B. per Western Union) weiterleiten. Sofern Ihr Konto geplündert wurde, gibt es trotzdem jemanden, an den Sie sich halten können - nämlich diesen "Finanzvermittler", der voll und ganz schadenersatzpflichtig ist. So blöd, auf dem eigenen Konto eingegangenes Geld abzuheben und mittels eines anonymen Verfahrens weiterzuschicken, sind glücklicherweise nur wenige Menschen; zudem können die eigentlichen Täter einen solchen "Finanzvermittler" nur wenige Tage lang nutzen, weil die Banken und Polizeibehörden in den wenigen bekannt gewordenen Fällen sehr schnell reagierten.
Vorsichtsmaßnahmen
Um auf Ihrer Seite die Risiken möglichst gering zu halten, sollten Sie Ihren Rechner immer auf dem höchsten Sicherheitsstandard halten und zudem umsichtig vorgehen. Insbesondere sollten Sie folgende Punkte beherzigen:
Neuen Browser verwenden
Um es einem Angreifer möglichst schwer zu machen, sollten Sie stets Ihren Browser auf dem neuesten Stand der Sicherheitstechnik halten. In jedem Fall sollte Ihr Browser eine SSL-Verschlüsselung mit 128 Bit unterstützen. Ältere Browser kommen lediglich auf 40 oder 56 Bit und sind damit überholt. Falls Sie den Microsoft Internet-Explorer verwenden, können Sie sich die Verschlüsselungsstärke neben anderen Informationen durch Klick auf das Menü "?" (ganz rechts in der Menüleiste) und dann "Info" anzeigen lassen. Weiterhin werden regelmäßig nach Bekanntwerden von Sicherheitslücken des Browsers Updates herausgegeben, die Sie sich besorgen und installieren sollten, um möglichen Angreifern keine unnötigen Angriffsflächen zu bieten.
Bank-URL selbst eintippen
Um sicherzugehen, daß Sie tatsächlich auf der WebSite Ihrer Bank landen, ist es ein absolutes Muß, daß Sie entweder die URL ("Adresse") Ihrer Bank manuell eintippen oder aber ein von Ihnen abgespeichertes Lesezeichen (beim IE unter "Favoriten" zu finden) zu verwenden. In allen anderen Fällen, insbesondere bei Links in eMails oder irgendwelchen WebSites, laufen Sie sehr große Gefahr, daß Sie nicht wirklich auf der WebSite Ihrer Bank landen sondern auf einer nachgeahmten. Im einfachsten Fall werden Domainnamen verwendet, die derjenigen einer Bank täuschend ähnlich sieht. Wenn Sie beispielsweise in einem fiktiven Beispiel glauben, mit www.dresdener-bank.de zur Dresdner Bank zu gelangen, sollten Sie sich die Schreibweise der URL noch einmal genau ansehen. Eine andere Methode ist das Ausnutzen bestimmter Sicherheitslöcher, sodaß Ihnen die URL eines Links falsch angezeigt wird. Ziel ist es dabei, die Anmeldedaten Ihres Bankkontos sowie eine oder mehrere gültige TANs in Erfahrung zu bringen, um damit in aller Ruhe Ihr Konto leerräumen zu können.
Wichtig ist auch, daß Sie Fehlermeldungen Ihres Browsers beim Aufbau einer gesicherten Verbindung (https://) ernst nehmen. Insbesondere wenn er ein Problem mit dem Sicherheitszertifikat Ihrer vermeintlichen Bank meldet, sollten Sie die Meldung keineswegs kurzentschlossen wegklicken sondern genauestens lesen. Denn wenn es einem Angreifer gelingt, Ihrem Browser und damit Ihnen ein gefälschtes Zertifikat unterzujubeln, hat er gewonnen. In letzter Zeit ist es in Mode gekommen, sogenannte Phishing-eMails zu versenden. Diese eMails sind so gestaltet, daß das Design einer bestimmten Bank entspricht. Gleichzeitig ist die Absendekennung gefälscht (was sehr einfach ist; dazu sind sogar mit PCs vertraute kleine Kinder in der Lage!), sodaß der Eindruck erweckt wird, daß diese eMail von Ihrer Bank stammt. Durch geeignete Maßnahmen wird dabei verschleiert, daß der in der eMail enthaltene Link nicht zu Ihrer Bank führt sondern zu einer nachgeahmten Seite, deren einziger Zweck darin besteht, Ihre Anmeldedaten sowie eine oder mehrere TANs auszuspionieren. Durch irgendeinen Vorwand werden Sie aufgefordert, sich einzuloggen und irgendeine Transaktion, Bestätigung oder sonst irgendwas mit einer TAN zu bestätigen. Allen Betrugsversuchen können Sie einfach dadurch entgehen, indem Sie die URL manuell eintippen und keinesfalls irgendwelche Links verwenden, um zu Ihrer Bank zu gelangen.
Nur sichere Rechner verwenden
Als potentiell unsicher muß man alle Rechner klassifizieren, die von weiteren Personen genutzt werden, auch wenn es sich um Familienangehörige handelt. Denn jeder Nutzer kann sich eine Schadsoftware einfangen. Würden Sie für einen unbedarften Rechneranwender in Ihrer Familie wie z.B. Ihre kleinen Kinder die Hände ins Feuer legen, daß genau dies nicht passiert ist? Mit einem "Trojaner" (historisch korrekt müßte es "trojanische Pferde" heißen) könnte man wie oben gesagt die gesicherte Verbindung zwischen Ihnen und Ihrer Bank vollständig unterlaufen. Das negative Extrem sind öffentliche Rechner z.B. in einem Internet-Cafe, weil man niemanden übertölpeln muß, um "Trojaner" auf diesen installieren zu können, sondern dies eigenhändig vornehmen kann. Da Internet-Cafes üblicherweise über einen Zentralrechner als Router verfügen, besteht die Gefahr, daß der System-Administrator (oft nur eine für begrenzte Zeit angestellte Hilfskraft) selbst ein böses Spiel treibt. Technisch gesehen wäre dies sehr einfach, weil er systembedingt bereits zwischen Ihnen und Ihrer Bank eingeklinkt ist. Auch WLANs sind nicht ohne Risko, da hier prinzipiell die Möglichkeit besteht, daß sich ein Hacker mit seinem Auto vor Ihr Haus stellt und sich als Ihre Basisstation ausgibt.
Wichtig ist auch, daß Sie Ihren Rechner regelmäßig mit einem externen, z.B. auf einer bootfähigen CD untergebrachten Viren- und Trojanerscanner überprüfen. Um nicht den Bock zum Gärtner zu machen, sollten Sie hierzu nur bekannte Produkte verwenden, da ein als Virenscanner angebotenes Programm eines einzelnen Programmierers durchaus ein "Trojaner" sein könnte.
Wenn es nicht vermeidbar ist, daß weitere Personen Ihren Rechner benutzen, bietet es sich an, ausschließlich fürs Online-Banking einen gebrauchten alten Rechner zu kaufen, falls Sie nicht ohnehin über eine alte Gurke verfügen. Ein Rechner mit z.B. 100 MHz Taktfrequenz und 2-GB-Festplatte reicht hierfür mehr als aus und kostet oft weniger als 20 Euro, weil er nur noch als Elektroschrott angesehen wird. Alternativ kann man sich auf einem garantiert unverseuchten Rechner (z.B. direkt nach Installation eines Betriebssystems) eine Boot-CD erstellen, die man mit einem von CD ausführbaren Betriebssystem (Windows PE, Linux o.ä.) incl. Browser versieht. Wenn man für das Online-Banking den Rechner ausschließlich mit dieser CD bootet, haben Sie zumindest die Gewähr, daß nicht schon das Betriebssystem durch "Trojaner" verseucht ist.
Keine TANs auf dem Rechner speichern
Es sollte selbstverständlich sein, daß Sie Ihre TANs und BENs nur an einem gesicherten Ort aufbewahren und keinesfalls in Ihren Rechner eintippen und dort abspeichern, auch wenn die Datei paßwortgeschützt ist. Denn schon beim Eintippen könnte ein "Trojaner" diese Daten ausspähen und an den Angreifer übermitteln.
|
|
|
|
Status- Besucher
- Heute:
- 2
- Gestern:
- 9
- Gesamt:
- 2.304
-
Benutzer & Gäste
4 Benutzer registriert, davon online: 10 Gäste
|
