Trügerische SSL-Sicherheit

Als Netscape vor genau zehn Jahren das SSL-Protokoll (Secure Sockets Layer) austüftelte, galt die damit verschlüsselte Verbindung als hieb- und stichfester Schutz vor Hackern. Seither fühlen sich Surfer, wenn sie am Bildschirm das SSL-Icon erblicken, vor Datenklau sicher. Zu Unrecht, wie Fachleute eindringlich warnen, darunter der renommierte amerikanische Security-Experte Bruce Schneier. Ausgerechnet beim hoch sensiblen Online-Banking sickerten in jüngster Zeit wiederholt Vorfälle von immer raffinierterem Phishing durch. Von den traditionell zugeknöpften Bankinstituten ist hierzu keine offizielle Stellungnahme zu bekommen. Schneier dagegen klärt auf: Neuerdings sei eine wachsende Zahl so genannte «Man in the end point»-Attacken zu verzeichnen. Die funktionieren so: Der Hacker lässt die SSL-Verbindung zwischen Onlinebanking-Kunden und Backoffice bei der Bank unangetastet, schleust aber einen Trojaner auf den User-PC ein. Der Bankkunde sieht die gewohnten Log-in-Seiten und das SSL-Symbol und wiegt sich in Sicherheit. Derweil fängt der Trojaner bereits fleissig Log-in-Daten ab und manipuliert Transaktionen, noch bevor sie der User auf ihren Weg durchs Internet losschickt. Vor solchen Angriffsmethoden schützen selbst doppelte Authentifizierungs- und Log-in-Screens, wie sie viele Finanzinstitute anbieten, nicht. Andere Banken wollen die Authentisierung bombensicher machen, indem sie ihren Kunden Log-in-Codes zur Ausführung und Bestätigung gewisser Finanztransaktionen über alternative Kanäle zusenden, zum Beispiel über Voice-Messages auf einem Handy oder Text-Messages auf einem Handheld. Schneier hält diese Alternative für in der Praxis untauglich: «Man braucht ein zweites Gerät - was, wenn das im entscheidenden Moment nicht verfügbar ist?» Noch wichtiger ist sein zweiter, grundsätzlicher Einwand: Der Kunde bestätigt über das zweite Gerät nämlich nur die Transaktion, von der er glaubt, dass er sie soeben getätigt hat. In Wirklichkeit hat er jedoch keine Chance, zu bemerken, ob die Transaktion noch vor dem Versenden manipuliert wurde. Und aus Banksicht trifft ein vermeintlich abgesegneter Auftrag des Kunden ein. Um eventuelle Diskrepanzen zu entlarven, müsste der Bankkunde relevante inhaltliche Details der Transaktion, wie Datum oder Geldbetrag, erneut vorgelegt bekommen und bestätigen. Einige wenige Bankhäuser praktizieren diese doppelte Absicherung tatsächlich, sie wickeln sie beispielsweise über Mail ab. «Dieses Prozedere macht Sinn. Doch leider ist das den meisten Leuten viel zu umständlich», so Schneiers ernüchternder Kommentar. Bleibt also nur, die Backend-Systeme intelligenter zu machen. Denkbar wäre, individuelle Limiten für Geldtransaktionen zu setzen, ab denen automatisch eine Rückbestätigung des Kunden eingeholt werden muss. Jedem, der seine Bankgeschäfte online abwickelt, ist dringend zu empfehlen, seine Kontoauszüge akribisch zu kontrollieren.