Hi,
ich weiß, dass ich selten hier bin. Aber im Moment nimmt mich der Beruf etwas stark in die Pflicht.
Ich beschäftige mich beruflich mit IT-Sicherheit. Dazu nur einige Anmerkungen:
Homebanking ist bequem. Keine Frage. Ich mach es selber auch. Ich habe allerdings von meiner Sparkasse das Programm Starmoney bekommen und ich führe die Authentisierung und die Autorisierung mittels HBCI durch, und zwar in der Variante mit einer Chipkarte. Dies ist eines der sichersten Verfahren. Allerdings könnte ein Trojaner auf meinem Rechner rein theoretisch noch Schaden anrichten. Aber es machen so wenig, dass ich mal nicht davon ausgehe, dass es sich lohnt einen Trojaner speziell für diesen Fall zu schreiben. Vorteil dieser Programme ist, dass die einem viel Arbeit abnehmen. Wenn z. B. Überweisungen häufig an die gleichen Adressen fällig werden, werden die Einträge wie Konto-Nr., BLZ usw. schon vorbelegt.
Dann gibt es noch die Möglichkeit, Homebanking mittels Browser und Benutzername, Passwort und TAN zu machen. Nun, hier sitzt das größte Sicherheitsrisiko etwa 30 cm vor dem Bildschirm.
Das fängt schon an bei der Verbindungsaufnahme: Lest euch mal die allgemeinen Geschäftsbedingungen durch. Da steht etwas davon, dass bei jeder Verbindungsaufnahme der Fingerprint des verwendeten SSL-Zertifikats mit den Referenzfingerprints zu vergleichen ist. Ich wage mal zu behaupten, dass 95 % der Nutzer nicht einmal wissen, wie das geht. Folge: Ich könnte als Angreifer euch eine falsche Seite unterschieben, ohne dass ihr das merkt. Selbst wenn der Browser Fehlermeldungen wegen ungültigem Zertifikat von sich gibt, werden die weggeklickt. Und schon habe ich als Angreifer eine gültige Tan, den Benutzernamen und das Passwort. Und schon kann ich auf das Konto zugreifen. Im Missbrauchsfall dürfte das nicht einmal ein Versicherungsschaden sein, da ich von grober Fahrlässigkeit ausgehe.
Dazu kommt, dass eine ganze Menge Benutzer so blöde sind, ihre Tans aufgrund einer Mail auf irgendeiner Seite einzugeben. Diese Mails sehen inzwischen wirklich sehr, sehr echt aus. Folge: Der Angreifer bekommt Zugriff auf das Konto und kann Transaktionen auslösen.
Besser sind da schon die Systeme, die elektronische TANs generieren. Die kann man wenigstens nicht mehr massenweise irgendwo eingeben. Allerdings vor der Attacke mit der falschen Web-Seite schützen auch diese Systeme nicht so richtig.
Viel besser, aber wohl noch wenig verbreitet, sind Systeme, die eine TAN in Abhängigkeit von Informationen aus der Transaktion generieren. Das sieht dann in der Praxis so aus: Man geht per Browser auf die Seite der Bank. Loggt sich zum Homebanking ein. Gibt die Daten für eine Überweisung ein. Von der Bank hat man ein Gerät bekommen, das einem Taschenrechner nicht ganz unähnlich ist. Dort gibt man die Kontonummer und den Betrag ein (undzwar entnimmt man die der Rechnung, die einem vorliegt). Daraus und aus einer gespeicherten Zufallszahl errechnet das Gerät die individuelle Transaktionsnummer. Die wird auf der Webseite eingegeben. Dieses System ist idiotensicher. Der Angreifer könnte nun versuchen, die Kontodaten oder den Betrag zu ändern. Nur hilfts nichts. Denn die TAN passt nicht dazu.
Jetzt kann man natürlich fragen, warum diese Systeme wenig Verbreitung finden. Nun, in erster Linie liegt das am Kunden. Der will kein zusätzliches Gerät. TAN-Listen sind ja so schön praktisch. Und teilweise kosten die Geräte auch noch Geld. Nein, das wird für überflüssig gehalten. Und wenn es mal zum Schaden kommt - nun, dann kann man als Kunde ja immer noch jammern. Wenn alle Kunden von ihren Banken solche sicheren Systeme verlangen würden, dann wäre die Verbreitung deutlich größer.
Gruß
Thobie
