Die «Qualität» der Attacken steigt permanent. Angreifer versuchen an Informationen über Kontostände oder aber direkt an die Vermögenswerte der Bankkunden zu gelangen. Und es kommen laufend neue Bedrohungen hinzu. Neben den bekannten Phishing-Versuchen gewinnen «Man in the Browser»- und «Man in the PC»-Attacken an Bedeutung, wobei der PC unter die Kontrolle der Cyber Mafia gerät. Mit «Social-Engineering-Attacken» wird der User vorsätzlich in die Irre geführt, er macht falsche Eingaben und bestätigt Vorgänge, die er nicht bestätigen sollte.

Normaler Zahlungsvorgang?

Hans B. sitzt am PC und startet über den Browser wie gewohnt das E-Banking mit seiner Hausbank. Eingabe von Benutzername und Passwort sind für ihn Routine. Nach der Eingabe seiner SecurID, abgelesen am RSA-Token, beginnt er mit der Eingabe seiner Zahlungen. Dieser Vorgang entspricht der heute üblichen Zwei-Faktor-Authentifizierung.

Hans B. gibt die Informationen vom Einzahlungsschein der Transportfirma Wiedmer in Grenchen ein, kontrolliert die Kontonummer (30-73418-9) und den Betrag (3875.35 Fr.), bestätigt die Angaben mit einem «click» und sendet die Informationen zur Bank. Anschliessend druckt er den Transaktionsbeleg aus und beendigt mittels Logout die Verbindung zur Bank. Ein ganz normaler Vorgang. Normal? Nach zwei Wochen erhält Hans B. eine Mahnung der Transportfirma Wiedmer. Er greift zum Telefon, lässt sich mit der Buchhaltung verbinden und erklärt, dass er die Rechnung über E-Banking vor zwei Wochen bezahlt habe. Die Nachforschung bei seiner Hausbank zeigt, dass zwar der Betrag abgebucht, aber auf eine ganz andere Kontonummer transferiert wurde. Was war passiert?

Anzeige

Der «Man in the Browser» hat zugeschlagen. Dieser Trojaner hatte sich über ein Werbebanner im Browser von Hans B. eingenistet. Heute sind unterschiedliche Verfahren in Diskussion, um Bedrohungen wie dem «Man in the Browser» oder dem «Man in the PC» entgegentreten zu können. Eine Lösung besteht in der Signierung von Zahlungen via SMS, wie dies beispielsweise bei der ZKB oder der Raiffeisen Bank eingesetzt wird. Wenn ein Benutzer eine Zahlung an einen neuen, unbekannten Begünstigten machen möchte, schickt ihm das E-Banking System in einem SMS die Details seiner Zahlung und bittet ihn, die Details zu kontrollieren und den Bestätigungs-Code im E-Banking einzugeben. Dahinter steckt die Überlegung, dass ein möglicher Angreifer nicht gleichzeitig den PC und das Handy des Benutzers manipulieren kann.

Ein weitergehender Schutz nicht nur der Zahlungen, sondern auch der gesamten Bankinformationen lässt sich mit speziell gehärteten Browsern erreichen. Dieser geschützte Browser läuft auf einem USB-Stick und bietet dem «Man in the Browser» keine Möglichkeiten mehr, sich unbemerkt einzuklinken. Der Browser erlaubt keine Extensionen und verhindert externe Zugriffe. Er bietet weiter eine enge Verknüpfung mit den internen und externen kryptografischen Subsystemen sowie einen zusätzlichen Binär-Schutzmechanismus. Ein weiteres Sicherheitsmerkmal ist die Möglichkeit, Teile der Software auf dem Stick durch zentral-signierte Updates zu ersetzen.

Mehr Sicherheit

Eine mögliche Antwort auf die zunehmenden Bedrohungen bietet der dafür entwickelte CLX.Stick, «Security by Crealogix» von Crealogix E-Banking Solutions, der alle oben erwähnten Sicherheitsmerkmale mit einfachster Benutzerführung verbindet. Er ist in der Lage, einerseits den Banken mehr Sicherheit zu geben, anderseits aber auch eine hohe Benutzerakzeptanz beim Kunden zu garantieren. Einfachheit und Benutzerfreundlichkeit sind die wichtigsten Voraussetzungen, damit ein neues Sicherheitssystem auch in der ganzen Breite akzeptiert wird. Die innovative Lösung mit dem CLX.Stick bietet dies in allen Belangen.