Onlinebanking: Vergesst die PCs

Eine neue Generation von Produkten für sichere Onlinebankgeschäfte ist im Anmarsch, die etwas gemein haben: Die Urheber haben alle die Hoffnung aufgegeben, dass die PCs der Endanwender je so sicher sein werden, um bedenkenlos Geldbeträge herumschieben zu können. Vielmehr suchen sie nach einer gehärteten Software-Hardware-Kombination, die dann mit den Banksystemen kommuniziert. Der PC des Anwenders kann dann so virenverseucht, wurmstichig und gehackt sein, wie er will. Nun könnte man argumentieren, dass all die Antiviren-Firmen und Firewall-Hersteller versagt haben. Die Security-Firmen sehen sich allerdings einer Mammut- und Sysiphus-Aufgabe sondergleichen gegenüber. Denn die Viren, Würmer und Trojaner haben sich in letzter Zeit in einem atemberaubendem Tempo ausgebreitet. Zudem nimmt der Variantenreichtum der Schädlinge exponentiell zu. Heute entdecken die Virenjäger monatlich mehr Malware als noch vor Kurzem in einem ganzen Jahr.

Banken haben Angst

Der Schaden, der dabei entsteht, ist immens. Allerdings gibt es keine genauen Zahlen. Das Marktforschungsinstitut eTForecasts rechnet vor, dass allein in den USA durch Cybercrime bei den insgesamt 272 Millionen PC-Besitzern pro Jahr ein Schaden von 4,5 Milliarden Dollar entsteht. Für die Schweiz rechnet daher Robert Weiss von Robert Weiss Consulting in seinem Whitepaper «Cyber-Kriminalität ist heute zur Normalität geworden» mit einer Schadenssumme zwischen 130 und 200 Millionen Franken pro Jahr. Die wenigen, die möglicherweise genaue Zahlen kennen, werden sich hüten, über konkrete Schadensummen zu sprechen. Die Rede ist von den Banken. Sie zeigen sich zudem derzeit kulant und begleichen die Beträge, welche die Cybermafia aus den elektronischen Portemonnaies von Herrn und Frau Schweizer abzwackt. Denn nichts fürchten die Banken so sehr wie den Vertrauensverlust ihrer Kundschaft. Es ist eine Horrorvision, würden alle Kunden, die heute E-Banking betreiben, wieder in den Schalterhallen der Geldinstitute auftauchen. Bei der heutigen Personaldecke der Banken käme es zum Kollaps der Geldinstitute, würden die Kunden «vom elektronischen Zahlungsverkehr wieder auf das Einsenden von Einzahlungsscheinen per Post zurückkommen», meint Weiss. Denn die Summe, die da tagein, tagaus elektronisch abgewickelt wird, ist beträchtlich: Laut einer Studie des Eidgenössischen Departements für Umwelt, Verkehr, Energie und Kommunikation (Uvek) werden täglich gut 178 Milliarden Franken elektronisch transferiert.

Gehärtet in die Zukunft

Der PC ist also verseucht. Zudem passieren im Browser, dem eigentlichen Frontend heutiger E-Banking-Lösungen, eigenartige Dinge. Hier werden den Kunden von Hackern ganze Online-transaktionsmärchen vorgespielt. Was könnte also eine Lösung sein? Gleich zwei Verfahren, die in der Schweiz entwickelt und entweder soeben ausgeliefert wurden, respektive in den nächsten Monaten auf den Markt kommen, wollen das Onlinebanking absichern. Dabei handelt es sich zum einen um den CLX.Sentinel von Crealogix. Zum anderen um den ZTIC (Zone Trusted Information Channel), der am IBM-Forschungslabor in Rüschlikon entstanden ist. Beiden Hardware-Software-Lösungen ist es im Grunde genommen egal, wie sehr der PC schon in der Hand von Hackern ist. Sie liefern eine gehärtete Umgebung, über die der User E-Banking betreiben kann.

Wie abgeschottet der USB-Stick CLX.Sentinel ist, erklärt Thomas Avedik, CEO der Zürcher Firma Crealogix E-Banking. So werde die SSL-Verbindung (Secure Sockets Layer) auf dem Stick terminiert und nicht wie sonst üblich auf dem PC. Sodann wird die E-Banking-Seite mit einem Browser aufgerufen, der lediglich aus der Rendering-Engine von Mozilla besteht. «Um diese haben wir unsere Verteidigungslinien errichtet», meint Avedik. Dabei kommt Security-Software zum Einsatz, die laut Avedik vor diversen Angriffen schützt. So werden unter anderem Attacken wie Man in the Middle, Keylogging und Screencatching unterbunden.

Der autonome Sicherheitsanspruch von CLX.Sentinel geht so weit, dass ein eigener PDF-Viewer verwendet wird. «Leider ist es eine Tatsache, dass es verschiedene Schwachstellen im Adobe Acrobat Reader gibt», wirft Avedik ein. «Sobald ich PC-Ressourcen brauche, gehe ich ein Risiko ein.»

Neben den eigentlichen Sicherheits-Features, die unterdessen von zwei unabhängigen Institutionen bestätigt wurden, ging es bei der Entwicklung des CLX.Sentinel aber auch um Usability. «Wir dürfen uns nicht rein auf die Technik verlassen», gibt Avedik zu verstehen. «Der User akzeptiert die beste Security-Technik nicht, wenn das Verfahren zu kompliziert ist.» Man habe daher besonderes Augenmerk darauf gelegt, dass der Anwender mit seinem PC so arbeiten könne wie gehabt.

Als Negativbeispiel nennt Avedik gehärtete, bootbare E-Banking-CDs. Dabei müsse zum einen der Anwender seinen PC herunterfahren und mit der CD neu starten. Schon dies würden viele nicht akzeptieren. Dann stünden ihm während der eigentlichen Onlinebanking-Sitzung Dienste wie E-Mail nicht mehr zur Verfügung. Auch der Printer-Treiber werde beispielsweise nicht unterstützt und verunmögliche das Drucken. «So eine CD ist zwar technisch gesehen eine gute Sache, denn sie stellt fürs E-Banking einen sauberen PC zur Verfügung, aber in der Praxis macht der Anwender nicht mit», argumentiert Avedik.