© adam36 - Fotolia.com
Grundlagen

Sicheres Online-Banking

Ein Kommentar

Diese Woche möchte ich mich in meinem IT Security Blog, inspiriert durch eine Freundin, dem Thema sicherem Online-Banking zuwenden. Konkret wurde ich gefragt, ob der sogenannte "Inkognito-Modus", den manche Browser implementiert haben, zusätzliche Sicherheit beim Online-Banking bietet.

Ähnlich wie im Beitrag "Grundlagen der E-Mail Verschlüsselung" möchte ich anfangs die Angriffsmöglichkeiten und Risiken näher erläutern und anschließend einige Möglichkeiten nennen, Online-Banking sicherer und somit sorgloser genießen zu können.

Angriffsmöglichkeiten und Risiken beim Online-Banking

Die meisten werden Online-Banking in der Form kennen, dass sie sich über eine Webseite Ihrer Bank auf ihrem Konto einloggen und dort Transaktionen vornehmen können. Weitere Formen sind beispielsweise Online-Banking über eine App oder direkt aus einem Finanzprogramm heraus. All diesen Verfahren liegt zu Grunde, dass der Bankkunde über einen Client (also dem Browser, der App oder dem Finanzprogramm) mit einem Server (ein Computer, der einer Bank gehört) über das Internet kommuniziert.

bank verbindung

Wie aus der Graphik ersichtlich, sind Angriffe an drei verschiedenen "Orten" möglich:

  • Auf dem Server der Bank,
  • im Internet, auf dem Weg vom Client zum Server und
  • auf dem Client, also dem PC des Kunden.

Die Details hinter der Wolke "Internet" habe ich im Artikel E-Mail Verschlüsselung: Die Grundlagen näher beschrieben. In der Realität liegen die Probleme in erster Linie beim Computer des Kunden oder, deutlich seltener, auf dem Weg vom Client zum Server. Auf die Sicherheit des Bankservers muss man sich als Kunde verlassen können, darauf haben Nutzer keinen Einfluss.

Um die Gefahren besser erkennen zu können, möchte ich den Weg einer typischen Transaktion im Folgenden aufzeigen:

  1. Öffnen der Webseite der Bank
  2. Login mit Usernamen / Kontonummer und Passwort / Pin
  3. Seite für Überweisungen öffnen, Zahlungsempfänger, Verwendungszweck und Betrag angeben, TAN eingeben (oder ein gleichwertiges Verfahren nutzen)
  4. Überweisung versenden
  5. Abmeldung von der Webseite der Bank

Einige Schritte im Detail:

Öffnen der Online-Banking Webseite der Bank

Sie öffnen Ihren Browser und geben die Internetadresse ihrer Bank ein. Doch bereits an diesem Punkt liegen zahlreiche Gefahren: Können Sie sich sicher sein, dass die Ihnen präsentierte Webseite wirklich die Webseite ihrer Bank darstellt? Betrüger verwenden oftmals präparierte Seiten (Phishing), die den Original-Webseiten stark ähneln.

Einige Tipps, die das Risiko eines Missbrauchs beim Online-Banking vermindern können:

  • Überprüfung der Server-Zertifikate. Sollten sie plötzlich keines/ ein anderes Zertifikat angezeigt bekommen, könnte dies ein Indiz für einen Missbrauchsversuch sein. Die meisten Banken haben eine "EV-"validierte Seite, erkennbar am grünen Schloss vor der Adressleiste:
    sicheres online-banking EV SSL
  • Geben Sie die Internetadresse immer von Hand ein, öffnen Sie die Webseite Ihrer Bank nicht über Links aus E-Mails oder von anderen Webseiten.
  • Prüfen Sie die korrekte Schreibweise der Adresse, achten Sie insbesondere auf Buchstabendreher (z.B. sprakasse.de, sparkase.de) oder falsche Domainnamen (z.B. sparkasse.de.com, sparkasse-online.de).
  • Betreiben Sie kein Online-Banking von Ihrem Handy aus - Auch aktuelle Handys sind noch immer zu anfällig für Sicherheitsprobleme.

Einige Angriffspunkt beim Öffnen der Webseite:

  • Spoofing und Man-in-the-Middle Angriffe - Ein Angreifer könnte ihren Netzwerkverkehr über seinen eigenen PC leiten und den Traffic mit Tools wie SSL-Strip "entschlüsseln".
  • Gefälschte DNS Server, die beispielsweise über DHCP übergeben worden sind.
  • Lokale Malware - durch Schadsoftware verursache Änderungen lassen sich auch für fortgeschrittene Nutzer schwer erkennen. Möglich wäre beispielsweise die Installation einer gefälschten Stammzertifizierungsstelle, um SSL Warnungen zu unterdrücken.
  • Cross-Site-Scripting

Online-Banking Login mit Usernamen / Kontonummer und Passwort / Pin

Durch den Login wird auf dem Server eine Sitzung erzeugt, der Client speichert in diesem Fall einige Informationen zur Sitzung in einem Cookie. Ein Cookie ist eine kleine Textdatei die, in diesem Kontext, Informationen zur Authentifizierung des Kunden speichert.

  • Geben Sie Ihre Anmeldedaten ausschließlich auf der Webseite Ihrer Bank an. Teilen Sie Ihre Anmeldedaten niemals per E-Mail oder Telefon mit.

Einige Angriffspunkt bei der Eingabe der Kundendaten:

  • Es besteht die Möglichkeit, dass ein lokaler Keylogger die Eingaben protokolliert.
  • Man-In-The-Middle Angriff mit gefälschten SSL Zertifikaten.
  • Phishing / Social Engineering im Allgemeinen

Seite für Überweisungen öffnen, Zahlungsempfänger, Verwendungszweck und Betrag angeben, TAN eingeben (oder ein gleichwertiges Verfahren nutzen)

Auch an dieser Stelle können Gefahren auftreten, vor einigen Jahren wurde beispielsweise bei heise Security ein Fall aufgezeigt: chipTAN-Verfahren der Sparkassen ausgetrickst.

Sicheres Online-Banking: Zusammenfassung

Die Angriffsmöglichkeiten sind vielfältig, Online-Banking-Nutzer werden nie zu 100% ausschließen können, Opfer eines automatisierten oder gezielten Angriffs zu werden. Wer jedoch die oberen Tipps und die grundsätzlichen Ratschläge zum Thema IT-Sicherheit (keine Dateien / Datenträger aus unvertrauenswürdigen Quellen öffnen, aktueller Updatestand, Deaktivierung unnötiger Plugins, etc...) berücksichtigt, kann sein Riskio stark minimieren.

Zurück zur Ausgangsfrage: Erhöht die Nutzung des Inkognito-Modus meine Sicherheit beim Online-Banking? Kurzantwort: Nein. Der sogenannte Inkognito-Modus sorgt ausschließlich dafür, dass Informationen über besuchte Webseiten, Cookies oder zwischengespeicherte Ressourcen lokal, auf ihrem PC, gelöscht werden, wenn sie Ihren Browser schließen oder den Inkognito-Modus beenden. Dieser Modus erhöht nicht die Sicherheit, er ermöglicht auch kein anonymes Surfen.

Sinnvoll ist der "Inkognito-Modus" beispielsweise bei einem PC, der von mehreren Nutzern genutzt wird und Nutzer A nicht möchte, das Nutzer B weiß, welche Seiten er zuvor besucht hat.

Die Schwachstellen im Online-Banking liegen jedoch an anderer Stelle. Gezielte Angriffe, kombiniert mit Social Engineering, werden mit hoher Wahrscheinlichkeit immer zum Erfolg führen. Hat der Angreifer genügend Zeit (und ggf. Geld), sind Angriffe schnell auf einem Niveau, das die wenigsten Nutzer erkennen und abwehren können.

Bildnachweis:

  • Beitragsbild: © adam36 - Fotolia.com

Ein Gedanke zu „Sicheres Online-Banking“

  1. Ein sehr informativer Artikel, mit sehr guten Tipps, auf die man beim Online Banking achten sollte, um sicher seine Bankgeschäfte erledigen zu können. Vielen Dank dafür.

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert