privacy service   a-cert e-rating.at
e-commerce News | Bewertungsmethoden | Shop anmelden | Benutzer registrieren | Mitglied werden | Hilfe
2006/01/19 Phishing - Haftung und Informationspflichten unzureichend geregelt
Warum manche Banken besonders anfällig sind - was Benutzer beachten sollten - wann die Haftung einer Bank gegeben sein könnte - Konsumentenschutzpolitik offenbar säumig - in Zukunft auch verstärkt andere eCommerce-Anbieter betroffen

Der jüngste Phishing-Fall in Kärnten mit einem vermutlichen Schaden von 7.500 EUR zeigt überdeutlich die Brisanz des Themas. Während mengenmäßig die Phishing-Attacken gegenüber Wurm- und Trapdoorattacken verschwindend gering sind, maximal 2% der unerwünschten Mails sind Phishing-Mails, ist ihr Schadenspotential unvergleichlich hoch.

Treffen doch die Phishingtexte den zentralen Nerv der Informationsgesellschaft. In scheinbar unterstützenden und beratenden Mails wird die Verunsicherung der Internetnutzer gezielt angesprochen. So tarnen sich Phishing-Mails regelmäßig als Security-Updates, als Sicherheitscheck und als Maßnahme gegen organisierte Kriminalität und Geldwäsche. Die verunsicherten Konsumenten, durch das tägliche politische Dauerfeuer der Verunsicherung und Terrorangst regelrecht weichgeklopft, nimmt Sicherheitswarnungen und -hilfen dankbar auf


Wie leicht tappt man in die Phishing-Falle?

Opfer einer Phishingattacke zu werden ist relativ leicht. Die Angreifer verwenden meist ähnlich klingende Webadressen und ahmen das Layout der Bankseite nach. Und wer wird schon Verdacht schöpfen, wenn er unter http://www.volksbankensecurity.com eine Sicherheitswarnung des Volksbank-Onlinebanking-Service erhalten würde? Insbesonders, da ja die Webadresse der Onlinebankingseite der Volksbanken den wenigsten Kunden bekannt sein dürfte, sie heißt nämlich https://www.banking.co.at.

Besonders raffinierte Angreifer könnten auch versuchen durch einen Wurm das lokale Nameservice (die hosts-Datei) eines Konsumenten zu manipulieren. Damit würde erreicht, dass der Kunde sogar die richtige Onlinebanking-Seite im Browser eingibt, aber auf eine falsche Seite (eventuell sogar mit falschem Sicherheits-Zertifikat) umgeleitet wird.

Verwendet ein Konsument ein html-fähiges Mailprogramm (wie etwa MS Outlook), dann wird die Attacke noch leichter. Die fehlerhafte Webadresse des Angreifers wird hinter einem unverdächtigen Link-Namen verrsteckt.


Warum manche Banken besonders anfällig sind?

Eine lange Kette von Fehlern im Onlinebanking-Auftritt machen bestimmte Banken besonders anfällig für Phishing-Attacken.

- manche Banken verstecken die Onlinebanking-Adresse auf ihrer allgemeinen Werbeseite, die Kunden wissen eigentlich nicht, mit welchem Server sie bei Telebanking kommunizieren,
- der Webauftritt besteht aus mehreren Frames (derartige Auftritte lassen sich leichter manipulieren), gleiches gilt für Plugins oder sonstige komplexe Animationen,
- die Bank ändert laufend das Aussehen der Telebanking-Seite, der Kunde kann nicht mehr erkennen, was das Originaldesign ist,
- die Bank - eine Todsünde - kommuniziert per Mail mit den Telebanking-Kunden, der Kunde wird dadurch gewöhnt auf Bank-Mails zu reagieren,
- je komplizierter eine Loginseite aufgebaut ist, desto leichter lässt sie sich fälschen,
- das verwendete Sicherheitszertifikat ist fehlerhaft ausgestellt oder ist für den Bankkunden nicht abrufbar,
- das Sicherheitszertifikat ist nicht für die Bank ausgestellt, die das Telebanking betreibt,
- es wird nicht erklärt, wie der Kunde das Sicherheitszertifikat interpretieren soll.

Hinzu kommt noch Unternehmensgröße und Internationalisierung. Länderübergreifend tätige Banken mit vielen Kunden sind für Phisher schlicht interessanter, als kleine, regionale Banken. Die Wahrscheinlichkeit "dumme" Opfer zu finden ist einfach größer.


Was Benutzer beachten sollten

Mit einigen relativ einfachen Maßnahmen können Onlinebanking-Nutzer ihre Risken weitestgehend ausschalten.

- Auf Bankenmails sollte niemals direkt reagiert werden. Entweder löschen oder die Bank telefonisch kontaktieren.
- Für Onlinebanking sollte immer das eigene Gerät verwendet werden, keine Fremdgeräte.
- Im Mailprogramm die html-Funktion ausschalten. Die erhaltenen Mails sind dann zwar nicht so "schön", aber dafür sieht man, welche Information man tatsächlich erhalten hat.
- In regelmäßigen Abständen das Sicherheitszertifikat der Onlinebankingseite prüfen. Wenn unklar ist, wie die Prüfung stattfinden soll, den Onlinebanking-Support kontaktieren. Wenn die Prüfung nicht möglich ist, die Bank wechseln.
- In regelmäßigen Abständen Wurm- und Virenprüfung am Rechner machen, nach Trapdoor- und Spywareprogrammen suchen und Browsersoftware aktualisieren.
- Auch wenn man längere Zeit keine Überweisungen getätigt hat, den Kontostand und die letzten Überweisungen auf Plausibilität prüfen.
- Und zuletzt PIN und TAN vertraulich aufbewahren, denn gephisht wird nicht nur per Mail. Das versteht sich aber von selbst.


Wann die Haftung der Bank gegeben sein könnte

Derzeit haben die Banken in ihren Onlinebanking-Bestimmungen die Verantwortung für missbräuchliche Verwendung von Zugangscodes weitestgehend auf den Konsumenten abgewälzt, der jedoch nicht jene Kontrollinstrumente hat, wie sie den Banken zur Verfügung stehen.

Trotzdem sind eine Reihe von Szenarien denkbar, bei denen eine Haftung der Bank gegeben sein könnte:

- Unzureichende Information über eine aktuelle Phishing-Welle
Wenn es eine Bank verabsäumt ihre Onlinebanking-Kunden zeitgerecht auf ein aktuelles Phishingrundschreiben und wie dieses zu behandeln ist, hinzuweisen.

- Unzureichende Reaktion auf eine aktuelle Phishing-Welle
Wenn es eine Bank verabsäumt eine in einem Phishing-Mail genannte Website (oder Telefonnummer, eMailadresse, ...) sperren zu lassen oder zumindest alle denkbaren Schritte zur Sperre unternommen zu haben.

- Auffälligkeiten in den Kontobewegungen
Wenn Überweisungen, insbesondere Auslandsüberweisungen gemacht werden, die weit über die durschschnittlichen Überweisungen hinausgehen oder wenn plötzlich Konten als Empfänger angegeben werden, die bisher nie verwendet wurden.

- Auffälligkeiten beim Überweisungsort
Wenn üblicherweise das Onlinebanking immer von derselben IP-Adresse bzw. vom selben Rechner stattfindet, dann sollten abweichende Logins zu einer bankinternen Warnung führen.

-Auffälligkeiten bei den Login-Vorgängen
Wenn vermehrt Anmeldefehler oder missglückte Überweisungsversuche stattfinden.


Welche Vorkehrungen Banken treffen könnten

Vorausgeschickt wird, dass die hier vorgeschlagenen Maßnahmen nur mit äußerst geringen Zusatzaufwendungen der Banken möglich wären.

- Sequenzierung der TAN-Codes, iTAN-Verfahren, gTAN-Verfahren
Die TAN-Codes sollten geordnet ausgegeben und genutzt werden. Wird ein nachgeordneter TAN-Code verwendet, dann verlieren alle davor liegenden TANs ihre Gültigkeit. Damit wird verhindert, dass ein Angreifer eine TAN-Eingabe verlangt, zurückmeldet "der TAN ist nicht gültig" und der Benutzer zum nächsten TAN greift. Angeblich nicht gültige TANs werden vom Angreifer gesammelt und für illegale Überweisungen verwendet. Besser sind jedoch iTAN-Vahren, bei denen die Bank mit einer Nummer vorgibt, welcher TAN einzugeben ist oder gTAN-Verfahren, bei denen durch eine spezielle Hardware TANs generiert werden, die nur 60 Sekunden lang gültig sind.

- Bereitstellung eines Benutzerprofils
Der Benutzer hat die Möglichkeit Onlinebankingüberweisungen in der Höhe, aber auch vom Standort (Computeradresse), von dem aus er Onlinebanking machen kann, einzuschränken.

- Mehrstufige Transaktionen
Die Benutzer sollten die Möglichkeit haben bestimmte Üebrweisungen mehrstufig bzw. durchzuführen. Das bedeutet, dass bei einer Üebrweisung ab einer gewissen Höhe der Benutzer ein zweites Mal aufgefordert wird einen zusätzlichen Code zur Freigabe der Überweisung einzugeben. Neben der Begrenzung der Schadenshöhe wird wirkungsvoll das Ausstauschen von Kontonummern am Computer des Benutzers durch Trojaner verhindert.

- Anzeige der letzten 10 Login-Versuche
Bei jedem Onlinebanking-Login werden die letzten 10 Versuche inkl. IP-Adresse, Datum und Uhrzeit angezeigt. Damit können oft schon im Vorfeld Manipulationsversuche an einem Konto erkannt werden.

- Information über das Banken-Sicherheits-Zertifikat
Für die verschlüsselte Datenübertragung ist ein sogenanntes SSL-Zertifikat notwendig. Dieses lässt sich zwar auch fälschen, nicht fälschbar ist jedoch der sogenannte Fingerprint, der in jedem Zertifikat mitgeliefert wird. Dieser Fingerprint, die eindeutige Zertifikatskennung sollte daher von den Banken auf jedem Onlinebanking-Schreiben, etwa bei der TAN-Code-Liste vermerkt werden und den Kunden sollte erklärt werden, wie sie diesen Fingerprint prüfen können. Vier Elemente sollten laufend geprüft werden: Gültigkeitsdauer des Zertifikats, Name des Onlinebanking-Servers, korrekter Name des Onlinebanking-Unternehmens und Fingerprint. Die wichtigsten Prüfschritte hat die ARGE DATEN unter http://ftp.freenet.at/fin/zertifikatspruefung.pdf zusammen gefasst. Die Fingerprints der wichtigsten Banken finden Sie unter http://www.e-rating.at/php/cms_monitor.php?q=ONLINEBANKING

- Verwendung von at-Domains für Onlinebanking
Problematisch ist auch die Verwendung von com-Domains im Onlinebanking. Bei diesen Domains lassen sich leichter gefälschte Namen weltweit registrieren. Im Scahdensfall kann es dann relativ lange dauern, bis dieser Domain wieder gesperrt wird. Bei at-Domains wäre dieser wichtige Sperrzeitraum zur Verhinderung der Ausbreitung von Phishing-Attacken wesentlich kürzer.

- Login-Information
Im Zuge des Loginvorgangs kann der Bankenrechner feststellen, ob etwa veraltete oder unsichere Browsersoftware verwendet wird. Dies könnte den Konsumenten mitgeteilt werden (inkl. Update-Empfehlung).

- Remote Sicherheitsprüfung
Auch erweiterte Reomote-Sicherheitsprüfungen des Konsumenten-Computers könnten die Banken anbieten und durchführen. Damit könnten frühzeitig Sicherheitslücken bei den Konsumentengeräten entdeckt werden. Diese Geräte sind - zumindest für die Zeit des Telebankings - auf jeden Fall als ausgelagerte Einrichtungen der Banken anzusehen.


Konsumentenschutzpolitik offenbar säumig

Der einzelne Konsument kann der psychologischen Falle der Phishingmails praktisch nicht entrinnen. Geht er auf die Sicherheitsanweisungen der Phishing-Mails ein, riskiert er viel Geld zu verlieren. Ignoriert er Sicherheitswarnungen, dann muss er sich unter Umständen den Vorwurf gefallen lassen, einen wichtigen Sicherheitshinweis ignoriert zu haben, ein Sicherheitsupdate nicht gemacht zu haben und somit erst recht fahrlässsig gehandelt zu haben.

Sowohl aus technischer, als auch aus rechtlicher Sicht ist hier eine Neupositionierung der Konsumentenrechte notwendig.

Im technischen Bereich muss endlich der Anspruch des Konsumenten auf funktionierende und in ihren Funktionen auch ausreichend dokumentierte Software durchgesetzt werden. Erst wenn professionelle Betriebssysteme und Software am Markt sind, die auch tatsächlich sicher sind, nicht nur das "Aufpassen" des Benutzers gepredigt wird und mit zahllosen Patches (Flicken) und Updates ein undurchschaubares und unzuverlässiges IT-Bastelwerk verursacht wird, kann es zu einem Ende von Phishing, Trapdoors und Würmern kommen. Doch wer will das schon? Verdienen heute viele Unternehmen an der Verunsicherung und Schäden der Konsumenten.

Auf rechtlicher Ebene ist die Verantwortung jener Stellen, die Informationsdienste bereitstellen klarer herauszustreichen. Wer einen Onlinedienst, wie Telebanking betreibt, soll für die gesamte Abwicklung verantwortlich sein. Bedient er sich dazu der Endeinrichtungen der Konsumenten, sprich deren Computer, dann soll er auch verpflichtet werden, geeignete Instrumente zur Absicherung der Geräte bereitzustellen. Erweiterte Informations- und Aufklärungspflichten könnten hier ihren Beitrag leisten. Verpflichtungen die im Konsumentenschutzgesetz endlich niederzuschreiben wären.


Auch andere eCommerce-Angebote gefährdet

Neben den Banken sind derzeit die Aktionshäuser von Phishing-Attacken betroffen. In Zukunft wird dies vermehrt auch auf sonstige eCommerce-Anbieter betreffen, seien dies Online-Händler, Musik-Download-Anbieter oder Betreiber kommerzieller Online-Archive.

mehr --> http://www.kleinezeitung.at/nachrichten/regionen/kaernten/oberkaernten/artikel/_...
mehr --> Information zur Zertifikatsprüfung
Archiv --> Anleitung zur Zertifikatsprüfung auf Online-Banking-Seiten
Archiv --> Phishing - Identitätsdiebstahl als neues Delikt einer anonymen...
Archiv --> Adhoc-Warnung vor neuer Phishing-Attacke


Die angezeigten Informationen sind nur zur persönlichen Nutzung bestimmt. Jede Weitergabe an Dritte ist unzulässig und ausdrücklich untersagt. Alle Angaben und Informationen ohne Gewähr. Trotz sorgfältiger Recherche besteht die Möglichkeit, daß einzelne Informationen veraltet, unklar oder unvollständig sind. Sollten Sie Kenntnis von derartigen Informationen erhalten, ersuchen wir Sie um Rückmeldung, damit wir die Daten raschest korrigieren können. e-commerce Ratingwerte geben die Einschätzung des e-rating-Teams zu der genannten Organisationen und Webshops wider. Diese Einschätzung muss nicht mit Einschätzungen anderer Rating-Organisationen oder mit der Selbsteinschätzung der bewerteten Organisation übereinstimmen. Es liegt in der Verantwortung jedes Benutzers des Informationssystems die Ratingwerte in geeigneter Weise zu interpretieren.

Bei Nutzungsproblemen wenden Sie sich bitte an unseren Support! per fax +43(0)1/5320974 oder per e-mail Online Hilfe
Content Management System developed & powered by e-commerce monitoring gmbh

© e-commerce monitoring GmbH 2002-2016 webmaster
Datenschutz, Privatsphäre, Privacy, Informationsrecht, Datensicherheit, Inhouse-Schulung, Datenschutzbeauftragter, DSB, Österreich, Austria, Wien, Internet, Telekommunikation, Personendaten, Auftraggeber, Dienstleister, datenschutz-seminar.at, privacy-day.at, privacyday.at, Cloud Computing, datenschutz-seminare@at, Vorratsdatenspeicherung, Vorratsspeicherung, datenschutz tag, hacking, hacker, Whistleblowing, RFID, social media, Web 2.0, Web2.0, informationelle Selbstbestimmung, datenschutz tagung, e-government, e-commerce, Identität, phishingdata protection, privacy, data security, data safety, Inhouse, data protection officer, Austria, Vienna, internet, telecommunication, personal data, data retention, privacy protection, privacy protect, Video Surveillance, CCTV