Sicherheit beim Online Banking

Wir setzen im Online Banking auf die modernsten Standards der genossenschaftlichen Banken. Dies ist für uns selbstverständlich. Warum machen wir also „Online Banking-Sicherheit“ zu einem Gesprächsthema?

 

Welche Beteiligte es im Internet gibt:

  • Bank und IT-Dienstleister
  • Provider wie z.B. Telekom
  • Kundensysteme: Router, Modem, Computer, Software, Handy

Unsere Banksysteme werden selbstverständlich bestmöglich abgesichert.

Die Technik der Provider und der Netze entziehen sich weitestgehend dem Einfluss von außen. Deshalb werden sämtliche Daten im geschützten Banksystem und in Eurem Rechner so verschlüsselt, dass sie gefahrlos den Weg durch das Internet nehmen können.

Was wird angegriffen?

Sämtliche uns bekannte Angriffe zielen auf die Kundensysteme. Spätestens hier müssen alle verschlüsselten Daten wieder in lesbare Texte gewandelt werden. Im Vergleich zum sehr aufwändig geschützten Bankrechner ist also der Angriff auf Eurem Rechner wesentlich aussichtsreicher und viel einfacher. Zusätzlich ist die Wahrscheinlichkeit, „irgendetwas“ zu erbeuten sehr groß.

Ein erfolgreicher Einbruch bringt dem Betrüger heute Zugriff auf unterschiedlichste „interessante“ Daten und damit Möglichkeiten, Geld zu verdienen. Selbst simple Adressdaten, wie z.B. eine E-Mail-Adresse, werden millionenfach im Internet gehandelt. Das erklärt auch, warum Viren-Angriffe heute meist nach dem Gießkannenprinzip stattfinden: „Etwas wird schon abfallen.“

Wir haben die Erfahrung gemacht, dass in den seltensten Fällen versucht wird, über das Online Banking Geld von Konten zu entwenden. Häufiger sind z.B. Versuche, per Abfrageformular an die Kreditkartendaten zu kommen. Bitte beantwortet niemals solche Formulare zu Euren Kreditkartendaten, selbst wenn diese scheinbar aus dem Online Banking stammen.

Für uns ist das eigentliche akute Problem die Störung des Online Bankings für Kunden, auf deren Rechnern sich unentdeckte Viren befinden. Durch unsere modernen Sicherungsmaßnahmen ist die Erfolgsaussicht für die Virenprogrammierer gering – da aber Kundencomputer ungezielt angegriffen werden, führt z.B. eine Vireninfektion zu massiven Störungen und behindert den reibungslosen Dialog mit unseren Kunden.

Und natürlich: Diese Versuche und Störungen verunsichern auch die Menschen und beschädigen damit möglicherweise sogar das Vertrauen in unsere Sicherungssysteme.

Gefahr erkannt – Gefahr gebannt

Die Sicherheit des Online Banking steht und fällt mit der Beherrschung und bewussten Nutzung der Technik. Wenn die potentiellen Schwachstellen allen Nutzern bekannt sind, steigt der Aufwand für die Betrüger so weit, dass sich Angriffe einfach nicht mehr lohnen. Das gilt in besonders hohem Maße für unsere angebotenen Online Banking-Verfahren.

Hier möchten wir also ansetzen und in unserem Blog das komplexe Thema Computer und Online Banking-Sicherheit regelmäßig zu beleuchten.

 

Unsere nächsten Themen:

Viren und Malware finden

FinTS/HBCI

Sichere Onlinebanking Methoden

Geldwäsche

 

Raimund Sichmann, Spezialist Online Banking

  1. Melchior blausand (@blausand)

    Ihr seid noch die Antwort auf Dominiks Frage schuldig:
    Übrigens: Wo kann ich die öffentlichen PGP-Schlüssel der E-Mail-Adressen Ihrer Kundenservice-Mitarbeiter finden, um (wirklich) vertraulich mit Mitarbeitern von Euch kommunizieren zu können?

    • Bettina Schmoll

      Hallo Melchior,
      wir haben uns für den elektronischen Postkorb als sicheres Kommunikationsverfahren mit unseren Kundinnen und Kunden entschieden und bitten dich, diesen zu nutzen.
      Die Frage zu (Perfect) Forward Secrecy habe ich an unseren Experten weitergegeben. Eine Antwort geben wir noch, bitte hab noch etwas Geduld.
      Viele Grüße
      Bettina Schmoll
      Online Redaktion

  2. Thomas Hluchnik

    Es ist nicht ganz richtig, daß Angriffe ausschließlich auf Kundensysteme gehen. Es gibt eine verbreitete Angriffsmethode, die sich DNS-Spoofing nennt und die man mit einem simplen Trick vermeiden kann für sein Internet-Banking.

    Man muss verstehen, daß Computer in Zahlen rechnen und dass auch das Internet auf Zahlen basiert. Wenn Sie einen bestimmten Service im Internet erreichen wollen, muß Ihr Computer die Netzwerk-Adresse von diesem Computer (nennt man Host, nicht Server) kennen. Stellen Sie sich vor, sie wollen ARD ansurfen und müssten in Ihrem Browser 85.183.195.123 eingeben und sich merken, daß ARD = 85.183.195.123 ist. Um diesen Horror zu vermeiden, wurde eine im Internet verteilte Auskunftei eingerichtet, an die man Fragen stellen kann wie „www.ard.de“ und die entsprechende Netzwerk-Adresse erhält. Dieser Service ist als DNS bekannt. Die Abfrage an einen DNS-Server ist unter WIndows und Linux identisch und geht so:

    nslookup http://www.ard.de

    und bekommt als Antwort:

    Server: 192.168.21.101
    Address: 192.168.21.101#53

    Non-authoritative answer:
    http://www.ard.de canonical name = http://www.ard.de.edgesuite.net.
    http://www.ard.de.edgesuite.net canonical name = a1805.g.akamai.net.
    Name: a1805.g.akamai.net
    Address: 85.183.195.128
    Name: a1805.g.akamai.net
    Address: 85.183.195.123

    Das muss man nicht im Detail verstehen, aber das Prinzip sollte man kennen. Alle Internet-PCs sind so eingerichtet, daß sie automatisch und ohne Ihrem Zutun jedesmal einen DNS-Server nach der Netzwerk-Adresse fragen, wenn Sie irgendeinen Internet-Namen wie z.B. http://www.gls.de in Ihrem Computer verwenden.

    Raffinierte Angreifer können gefälschte Informationen in DNS-Server einspeisen und Sie erhalten bei Anfrage nach „www.gls.de“ eine ganz andere Netzwerk-Adresse. Da können Sie Ihren PC noch so gut absichern, es wird Ihnen nicht helfen. Sie landen auf einer gefälschen Webseite, die nur so tut, als wäre sie die GLS-Seite.

    Abhilfe ist ganz simpel:

    Hinweis der Online Redaktion:
    Den nachfolgenden Teil des Kommentars mit einer Anleitung haben wir ausgeblendet, um zu vermeiden, dass technisch nicht so sehr versierte Menschen hier möglicherweise aktiv werden und es durch den Eingriff zu Fehlern und Problemen bei/mit ihren Computern kommt.

    Noch ein Rat unseres Sicherheitsexperten für Onlinebanking:
    Weitgehend auf der sicheren Seite seid Ihr im Onlinebanking, wenn Ihr den Fingerprint der Verschlüsselung prüft. Das gängigste und derzeit sicherste Verfahren zur eindeutigen Authentizitätsbestimmung ist SHA-1. Der Fingerprint nach SHA-1 für das InternetBanking-Zertifikat (https://internetbanking.gad.de/) lautet : 98 ef 71 a8 15 59 8a 8e 05 68 5c e6 8f 40 e6 73 d5 96 5c 31 Ihr findet ihn, wenn Ihr im Onlinebanking im Browser den Schlüssel anklickt und Euch das Zertifikat zeigen lasst.
    Die wichtigste Kontrolle und ein guter Schutz bei versuchten Browsermanipulationen ist und bleibt aber der Vergleich der Empfänger-Daten des TAN-Auftrages (in der SMS oder im Display des TAN-Lesers) und Aufmerksamkeit. Folgt also keiner Aufforderung zu einem TAN-Test oder zur Rücküberweisung wegen einer angeblichen „irrtümlichen Gutschrift“. Hier handelt es sich um gängige Trojaner.

  3. Hallo,

    es wäre nett und sinnvoll, wenn beim Online-Banking serverseitig versucht wird, die SSL-Verschlüsselung mit (Perfect) Forward Secrecy [1] aufzubauen. Technisch scheint das ja der Server anzubieten [2].

    Übrigens: Wo kann ich die öffentlichen PGP-Schlüssel der E-Mail-Adressen Ihrer Kundenservice-Mitarbeiter finden, um (wirklich) vertraulich mit Mitarbeitern von Euch kommunizieren zu können?

    Vielen Dank für eure Antworten.

    MfG, Dominik

    [1] http://www.zeit.de/digital/datenschutz/2013-09/perfect-forward-secrecy/komplettansicht
    [2] https://www.ssllabs.com/ssltest/analyze.html?d=https%3A%2F%2Finternetbanking.gad.de

    • Thomas Hluchnik

      Ist mir auch aufgefallen und lässt sich beheben, indem man in seinem Browser alle Verschlüsselungsverfahren ausschaltet, die nicht „DH“ oder „ECDH“ enthalten. Ist aber für Durchschnitts-Anwender eine Zumutung. Besser wäre es, wenn der GAD-Webserver von vornherein zuerst DH/ECDH anbieten würde und RC4 ganz ans Ende stellte. Aber man sollte sich nicht zu viel versprechen, denn damit wehrt man keine Angriffe ab, sondern verhindert nur, daß jemand den Netzwerk-Verkehr mitschnippelt und später auf seiner Hochleistungs-Rechnerfarm knackt.

    • GLS Online-Redaktion

      Hallo Thomas,
      unser Rechenzentrum arbeitet bereits an einer Umstellung. Bei der neuen Lösung wird der Web-Server dem Browser ein anderes Angebot an Verschlüsselungen machen, so dass der Browser die empfohlene Verschlüsselungsart auswählt.
      Viele Grüße
      Für die Online-Redaktion
      Bettina Schmoll

  4. Hallo,

    Vorschlag für ein „nächstes Thema“: Onlinebanking und Sicherheit unter Linux ;-)

    Sonnigen Gruß,

    Ronny

    • GLS Online-Redaktion

      Hallo Ronny,
      danke für den Vorschlag. Wir geben ihn gerne an unsere Online Banking Spezialisten weiter.
      Viele Grüße
      Bettina Schmoll
      für die Online Redaktion

    • Christian

      danke Ronny – das war auch gerade meine Frage.

      Bei einer Infoveranstaltung zum Ausspionieren an Geldautomaten meinte einmal ein Polizist, mit Linux hätte man praktisch keine Probleme.
      Aber würde das auch im Streitfall weiterhelfen, muss man dennoch (wie) aussorgen?

    • GLS Online-Redaktion

      Hallo Christian,
      man sollte keinem System blind vertrauen.
      Linux hat generell sehr starke Freigabe-Restriktionen und ist damit recht sicher. Es gibt aber auch Schadsoftware für Linux.
      Durch die hohen Nutzerzahlen ist Windows allerdings deutlich anfälliger.
      Gegen Betrugsmails a la „Nennen Sie mir Ihre Mastercard Daten“ und Arglosigkeit bei der Nutzung des Internets hilft aber kein System.
      Bei der Nutzung des Onine-Banking sollte man prinzipiell seinen eigenen Computer durch eine Firewall und ein aktuelles Anti-Viren-Programm sichern.

      Herzliche Grüße
      Bettina Schmoll
      Für die Online-Redaktion

  5. Pingback: Computerviren: Sicherheit im Online-Banking | GLS Bank-Blog: Geld ist für die Menschen da!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.