Internetbenutzer haben sich schon an viele Nebenerscheinungen gewöhnt, Viren, Hackerangriffe und Spams gehören zu den grösseren Unschönheiten. Gegenmassnahmen wie etwa Antivirenschutz, Firewalls und Spamfilter kosten die Industrie weltweit jährlich einen hohen dreistelligen Milliardenbetrag. Kann man dies jedoch noch als ärgerliche Spielereien bezeichnen, so gehören bewusste Angriffe auf Banktransaktionen ganz klar zu den kriminellen Handlungen. Und die Methoden werden immer raffinierter und umlaufen oft gängige Sicherheitsvorkehrungen. Medien berichten nur sehr zurückhaltend von Attacken auf Bankkonten, die Finanzinstitute blocken bewusst mit offenen Informationen, aus Angst vor Reputationsverlust, aber in Sicherheitskreisen ist man sich den grossen Gefahren durchaus bewusst und sucht nach geeigneten Abwehrmechanismen.

Erste Erfahrungen

Erste Erfahrungen mit Angriffen auf Bankkonten sammelte man mit Phishing-Angriffen per E-Mail, wobei der Benutzer entweder zur Passworteingabe verleitet wird (Angriff auf ein One-Time-Password) oder aber auf eine raffiniert gefälschte Webseite («man in the middle») geleitet wird und dort seine Streichlistennummer eingibt (Angriff auf ein Shor-Time-Password). Beispiele dafür waren Attacken auf Yellownet-Kunden im letzten Jahr.
Der IST-Report von Symantec belegt, dass bei uns bereits jeder fünfte Rechner mit einem Bot-Virus (Trojaner und Backdoors für Computerfernsteuerung) belegt ist und 95% der Angriffe sich gegen Endanwender richten. Google geht davon aus, dass jede zehnte Internetseite mit einem bösartigen Code verseucht ist. Diese Drive-by-Downloads, welche als Browserinhalt Firewalls problemlos passieren, installieren sich selbstständig auf dem Rechner und beeinträchtigen dessen Funktionen. Da gleichzeitig die Methoden der Angreifer mit mehrstufigen Trojanern, Phishing-Toolkits oder präparierten Social-Networking-Seiten immer raffinierter werden, steigt das Gefahrenpotential rasant an.
Symantec hat weiter eine milliardenschwere Schattenwirtschaft hin-ter den Angreifern geortet. So
werden Zeroday-Schwachstellen (Angriffe bevor Gegenmassnahmen erstellt sind) und Angrifftools über IRC (Internet Relay Chat), Webseiten und Schwarzmarkt-Auktionen zu horrenden Preisen gehandelt.
Angriffe auf ein Shor-Time-Password über einen «man in the middle» (gefälschte Webseite zwischen Bank und Benutzer) lassen sich jedoch mittels den meisten heute verwendeten Massnahmen (Zufallszahlen automatisch generiert oder mit Sicherheitskarte kombiniert, d.h. externes Passwort) nicht eliminieren.
Auch bieten diese Verfahren gegen die neusten Angriffsmethoden nur einen beschränkten Schutz. Gefährliche Schadprogramme wie Malware oder Trojaner gelangen durch Mails oder Webseiten (Banner, Cookies usw.), vom Benutzer kaum erkennbar, auf den Rechner. Sie sind hochgradig gefährlich und warten auf den ferngesteuerten Einsatzbefehl. Einmal aktiviert, beginnen sie als «man in the browser» die Inhalte des Browsers auszuspähen und sind sogar in der Lage, die Inhalte zu verändern. So werden Zahlungsdetails auf der Benutzerseite zwar richtig angezeigt, aber verfälscht zur Bank übermittelt. Wird die Kontonummer des Begünstigten in den Transaktionen verändert, umläuft man so elegant alle Sicherheitsvorkehrungen.
Zur Vermischung der Spuren solcher kriminellen Handlung, spannt man oft ahnungslose Kunden mit Stelleninseraten und E-Mails dazu ein, gestohlene Gelder auf Provisionsbasis ins Ausland zu verschieben.

Wirkungsvoller Schutz

Die Folgekosten eines Internet-einbruchs sind höher als Kosten für Datenschutz, und Sicherheit ist ein Prozess und kein Produkt, dies sind zwei wichtige Erkenntnisse. Der Kundenschaden ist deshalb eine kleine Komponente in der Schadensbilanz einer Bank. Reputations- sowie Vertrauensverlust und Sicherheitsbedenken seitens der Kunden wiegen ungleich schwerer in den Überlegungen.
Banken treffen deshalb einmal Backdoor-Massnahmen wie Erkennung von Anomalien und Signierung (Transaktionsbestätigung über einen Zweitkanal wie Handy), welche die Hürden für die Angreifer deutlich höher setzen.Langfristig sind auch die Front-door-Massnahmen sehr wichtig. Lösungsansätze sind hier Read-Only-Browser.
Es gibt allerdings keine alles umfassende Einzelmassnahme und nur das «ease of use» gewährt die notwendige Akzeptanz, an-sonsten der Kunde die Massnahme ablehnt. Diesen Prinzipien folgend, bietet das E-Banking-Produkt von Crealogix, welches sowohl bei Retailbanken als auch bei Privatbanken im Einsatz ist, eine Auswahl von Sicherheitskomponenten an. Daraus lassen sich für jede Bank und sogar für unterschiedliche Kundensegmente unterschiedliche Kombinationen von Sicherheit, Kosten und «ease of use» realisieren.

Anzeige

------
Thomas Avedik, CEO, Crealogix E-Banking Solutions AG, Zürich.