Schweizer E-Banking 28.07.2014, 12:32 Uhr

So (un-)sicher sind mTan, Smartphone, PC...

Ein Netz von Cyberkriminellen hat Schweizer Bankkunden angegriffen. Wie sicher ist E-Banking in der Schweiz? Wie kann man sich vor Betrügern schützen?
Vor einer Woche berichtete Computerworld von einem Phishing-Angriff auf Schweizer Bankkunden. Die Sicherheitsspezialistin Trend Micro hatte die Infrastruktur eines weltweiten Netzes von Cyberkriminellen aufgedeckt und in einem Forschungsreport ausführlich dokumentiert (Operation Emmental). Betroffen waren Banken-Domains in der Schweiz, Österreich, Schweden und Japan. Anders als in der Schweizer Tagespresse verschiedentlich beschrieben handelt es sich dabei nicht um einen Angriff auf die Infrastruktur der betroffenen Schweizer Banken. Die Schweizer Banken-IT ist sicher. Die Betrüger führten vielmehr eine Phishing-Attacke auf die Bankkonten einzelner Schweizer Bankkunden aus. Das macht die Sache nicht angenehmer, im Gegenteil. Die Cyberkriminellen haben PCs und Smartphones ihrer Opfer kompromittiert und konnten dann nach Belieben Geldbeträge abheben und Transaktionen tätigen. Das Beunruhigende: Ein solcher Phishing-Angriff kann jederzeit wieder passieren - auch in der Schweiz. Insbesondere die sogenannte Zwei-Faktor-Authentifizierung - die Bank schickt eine SMS aufs Handy/Smartphone - scheint nicht mehr sicher zu sein. Viele Schweizer Banken scheuen jedoch die Investition in aufwendigere Sicherheitsverfahren. Wie können Schweizer Bankkunden, die E-Banking benutzen, ihre Konten schützen? Computerworld sprach mit Udo Schneider, Security Evangelist der DACH-Region bei Trend Micro.
CW: Herr Schneider, ist mobiles E-Banking heute sicher? Ein von Trend Micro aufgedeckter Phishing-Angriff auf Schweizer Bankkunden scheint das Gegenteil zu beweisen.
Schneider: Theoretisch ausgedrückt sollte ein beim E-Banking eingesetztes Verfahren zwei Sicherheitsbedingungen erfüllen. (1) Es sollte ein Medienbruch existieren - und zwar zwischen dem Gerät, auf dem die Online-Transaktion vom Bankkunden in Auftrag gegeben wird und dem Gerät, das eine Bestätigungs-TAN oder einen anderen SIcherheitscode generiert. Und (2) sollten Bestätigungs- und Sicherheitscodes an die jeweilige Transaktion gebunden sein, und nicht im Dutzend verschickt und entwendet werden können.
Und was heisst das ganz praktisch formuliert?
Schneider: Die klassischen Papier-Tans fallen da schon einmal durch. Sie erfüllen die erste, aber nicht die zweite Sicherheitsbedingung. Mobile TANs (mTANs) erfüllen beide Bedingungen: Immerhin gilt eine mTAN nur für eine Transaktion und ist auch an diese gebunden. Immerhin kann man kontrollieren, ob die mTAN, die man mobil bekommt, mit den Transaktionsdaten am PC übereinstimmt. Die Sicherheit beim mTan-Verfahren beruht darauf, dass es einen Medienbruch zwischen PC und Mobile gibt und dass dem Mobile/der SMS vertraut werden kann.
Trotzdem ist es Betrügern gelungen, das mTan-Verfahren auszuhebeln...
Schneider: Leider ist es heute durchaus üblich, seine Bankgeschäfte durchgehend auf dem Smartphone oder Tablet abzuwickeln. Damit ist der Medienbruch hinfällig. Aber noch schlimmer: Die von uns aufgedeckte "Operation Emmental" untergräbt die Vertrauensstellung des Mobile. Die Betrüger konnten mit der dort installierte kriminellen App den SMS-Verkehr abfangen und die volle Kontrolle über die Bankkonten ihrer Opfer erlangen. Man kann seinem Smartphone also nicht mehr völlig vertrauen.
Nächste Seite: So schützt man sich vor Betrügern
Was sollten Schweizer Bankkunden, die trotzdem mobiles E-Banking nutzen wollen, tun? Die Schweizer Analyse-  und Meldestelle Informationssicherheit MELANI hat die Devise ausgegeben, bei der Installation von mobilen Apps mehr Sorgfalt walten zu lassen? Reicht diese Sicherheitsvorkehrung aus?
Schneider: Eine für Bankkunden recht einfache Möglichkeit, die Sicherheit zu erhöhen, besteht darin, sich die SMS auf ein altes Mobile - also kein Smartphone - schicken zu lassen. Allerdings muss man auch hier aufpassen, dass sich Betrüger nicht eine zweite SIM-Karte anfertigen lassen, mit der sie dann auch diese SMS abfangen können.
Gibt es heute überhaupt 100-prozentige Sicherheit beim E-Banking, oder lässt man davon doch am besten die Finger?
Schneider: Ein sicheres Verfahren sollte zunächst einmal die beiden oben genannten Anforderungen erfüllen. Damit sind wir bei Verfahren, bei denen die TAN auf einem externen Gerät erzeugt wird. Dabei generieren die meisten Geräte eine TAN, nachdem die Transaktionsdaten dort entweder eingegeben oder - zum Beispiel via QR-Code - von der Bank übermittelt wurden. Sofern man auf dem Gerät selbst die Transaktionsdaten vor der Erzeugung der TAN verifizieren kann, sind diese Verfahren ausreichend sicher.
Unter der Voraussetzung natürlich, dass das Gerät selbst nicht kompromittiert ist. Bei günstigeren Geräten mit PC-Anschluss besteht immer die Gefahr, dass der verbundene PC bereits kompromittiert ist  und dem Lesegerät bereits die falschen Daten zum Signieren übergibt. Fairerweise muss man jedoch sagen, dass es bislang noch kaum Angriffe aus der Praxis auf diese Kombination (PC plus Lesegerät plus Bankkarte) gibt.
Wie auch immer: Zum E-Banking scheint in jedem Fall ein gewisser Mut zum Risiko zu gehören, oder?
Schneider: Das zurzeit sicherste Verfahren sind externe Geräteleser, bei denen alle Eingaben und Ausgaben am Gerät selber stattfinden. Hierbei spielt dann weder ein kompromittierter PC noch ein kompromittiertes Mobile eine Rolle. Streng genommen gibt es auch hier Angriffe, aber eher sozialer, nicht-technischer Natur. Ein angeblicher Bankemitarbeiter ruft an (meistens bei Firmen) und möchte zusammen mit dem Kontoinhaber sicherstellen, dass das Gerät zum Beispiel SEPA-fähig ist. Dazu müssen am Gerät natürlich Ziffernkombinationen eingeben, der Kontrollcode geprüft werden...
Das klingt alles nicht sonderlich vertrauenserweckend.
Schneider: Ausser diesen Verfahren sind mir zurzeit keine anderen mit breiterer Verwendung bekannt. Aber schauen Sie, irgendwann wechselt Vorsicht auch zu Paranoia...


Das könnte Sie auch interessieren