Mit Fraud-Detection gegen Online-Bankräuber

Die zunehmende Professionalisierung der Hackerszene bereitet den Sicherheitsexperten zunehmend Kopfzerbrechen. Zu den jüngsten Trends zählen etwa eine ausgeklügelte Aufgabenteilung zwischen Malware-Auftraggeber, -Produzent und -Anwender sowie fiese Vertriebskanälen wie die "Drive-by Infection", bei der der unbedarfte Surfer eine für ihn vertrauenswürdige Seite ansteuert und dort mit einem Virus, Wurm oder Trojaner verseucht wird.

Die so platzierte Malware hat es dabei oft auf Online-Banking-Kunden abgesehen. Verbindet sich dieser mit seiner Bank und tätigt ein Geschäft, kann es passieren, dass sich der Hacker dazwischen schaltet und Unsummen auf ein Konto in Russland oder Übersee umleitet. Dabei seien Schweizer Bankkunden längst keine Ausnahme mehr, meint Ruedi Wipf, CEO von AdNovum, während einer Informationsveranstaltung zum Thema Online-Security. Das Zürcher Sofwarehaus ist vor allem in der Finanzindustrie tätig und implementiert dort unter anderem auch Sicherheitssysteme. "Bislang haben sich die Banken sehr kulant gezeigt und den Schaden für ihre Kunden beglichen", meint er. Wieviel die Finanzinstitute diese Kulanz bislang gekostet habe, weiss laut Wipf niemand genau zu beziffern. Es sei jedoch die Rede von einem zweistelligen Millionenbetrag in Franken.

Wie AdNovum-CTO Christof Dornbierer präzisiert, sei vor allem der PC des Online-Bankkunden das Ziel der Angriffe, weil dieser mittlerweile den wunden Punkt im System darstellt. Denn die Bank-internen Systeme und die Leitung zwischen User und Geldinstitut seien mittlerweile sehr gut gesichert. Auf Banken-Seite versuche man zwar durch diverse Massnahmen wie der Transaktionsbestätigung über einen zweiten Kanal oder über die Auslieferung eines "gehärteten" Browsers an die Anwender, den "Man in the Browser"-Attacken so gut wie möglich vorzubeugen. Doch ein Restrisiko bleibe auch dann. "Sicher wäre es nur, wenn die Banken dem Kunden einen abgesicherten PC für die Betätigung der Online-Geschäfte aushändigen würden", meint Dornbierer. Doch bis sich dies für die Banken lohne, müssten wohl andere Absicherungsmassnahmen evaluiert werden.

Eine dieser Sicherungsmöglichkeiten sieht Dornbierer im Einbeziehung von Fraud-Detection-Techniken. Diese verwenden etwa Kreditkarteninstitute bereits seit Jahren, um Anomalien festzustellen. Treten Unregelmässigkeiten bei der Benutzung des Plastikgeldes auf, schlagen sie Alarm. Ähnlich könnten auch Online-Banking-Systeme reagieren, wenn etwa eigenartige Transaktionen ausgeführt werden sollen. So könnte das System eine Bestätigung auf einem sicheren Kanal wie etwa per SMS verlangen, wenn plötzlich ein hoher Betrag vom Konto des Kunden an einen Empfänger bei einem Finanzinstitut in Brasilien überwiesen werden soll. Nach Angaben von AdNovom ist man derzeit dabei, genau solche Mechanismen in die eigenen Software-Produkte, wie etwa das Security-Framework Nevis, einzubauen.