e-rating.at - Österreichischs grösstes e-commerce-Portal

e-commerce News |

Bewertungsmethoden |

Shop anmelden |

Benutzer registrieren |

Mitglied werden |

Hilfe

2006/12/13 Onlinebanking - technische Alternativen zu wenig beachtet
Phishing-Attacken werden effizienter - Dritte Phishinggeneration in Vorbereitung - Mittel sind Social Hacking und Trojaner - PIN/TAN-Verfahren das beliebteste Verfahren - einige Banken bieten Alternativen an - diese werden kaum nachgefragt - nur zwei Banken haben sich für eine echte Innovation entschlossen - in Zukunft sind auch Realtime-Angriffe zu erwarten

Phänomen Phishing

Phishing, die Jagd nach Zugangsdaten zu Bankkonten und das Plündern der Konten, wird immer effizienter. Noch vor 16 Monaten war Phishing in Österreich ein Fremdwort, zu Beginn überschwemmten viele Millionen Mails in gebrochenem Deutsch die Internetnutzer. Durch Links wie nelbanking.com oder bawog.com versuchten Phisher an die Konten heranzukommen.

Heute existiert eine neue Phishing-Generation. Trojaner und "Social Hacking" sind die bevorzugten Angriffstechniken. Die entsprechenden Mails sind nunmehr praktisch in fehlerlosem deutsch gehalten und werden zielgerichtet an Personen mit bestimmten Kontoverbindungen verschickt.

Beim Trojaner-Phishing gelingt es dem Angreifer den Computer des Onlinebanking-Benutzers so zu manipulieren, dass er entweder unbemerkt auf die Phisher-Website umgeleitet wird und dort seine Bankdaten bekannt gibt oder dass der Trojaner überhaupt die Kontrolle des Onlinebankingprozesses übernimmt und Kundeneingaben so manipuliert, dass statt den gewünschten Überweisungen, die Überweisungen des Phishers durchgeführt werden.

Beim "Social Hacking" gelingt es dem Phisher durch Zusatzinformationen soviel Vertrauen beim Kunden zu erwecken, dass dieser meint mit seinem Bankbetreuer zu kommunizieren. Dies geschieht im Übrigen meist durch die Warnung vor Sicherheitslücken und Phishingattacken.

PIN/TAN-Verfahren das beliebteste Verfahren

Die Banken haben in den letzten Monaten auf die neuen Bedrohungen reagiert und meist ihre bestehenden PIN/TAN-Verfahren adaptiert. Im Rahmen einer Studie zum Onlinebanking wurden die Verfahren von 19 Instituten untersucht (10 verschiedene technische Lösungen). Die untersuchten Lösungen decken mehr als 99% des österreichischen Marktes ab.

Drei kleinere Institute verwenden noch das veraltete einfache TAN-Verfahren (rund 3% Marktanteil), bei dem TANs in beliebiger Reihenfolge verwendet werden können. Dieses System ist durch Phishing-Attacken leicht angreifbar.

Fünf der untersuchten Institute verwenden das sequenzierte TAN-Verfahren, d.h. TANs müssen in einer bestimmten Reihenfolge verwendet werden. Ein System das nur geringfügig besseren Schutz gegen Phishing bietet. Sieben Institute (Marktanteil mehr als 50%) verwenden das sogenannte iTAN-Verfahren. Bei Transaktionen wird der Kunde interaktiv aufgefordert einen bestimmten TAN einzutragen. Auch dieses Verfahren konnte durch Phishing-Attacken geknackt werden, indem einem Kunden 20(!) TANs entlockt wurden und ein Schaden von mehr als 9.000 EUR entstand. Zwei untersuchte Institute (Marktanteil rund 28%) verwenden eine Kombination aus sequentiellen TANs und interaktiven TANs.

Innovation Token-Code-Verfahren

Nur zwei österreichische Institute (weniger als 1% Marktanteil) bieten mit dem Token-Code-Verfahren das derzeit am einfachsten zu handhabende und sicherste Zugangsverfahren an. Bei diesen zwei Instituten kann nur dieses System genutzt werden.

Sonstige Onlinebanking-Alternativen

Abgesehen vom Token-Code-Verfahren bieten immerhin 13 der untersuchten Banken Alternativen zu den alten TAN-Verfahren an.

Alternative I: Mobile-Code-Verfahren

Einige Banken bieten die Generierung von TANs durch ein SMS an. Vor jeder Transaktion fordert der Kunde per Handy einen TAN an, dieser wird per SMS zugestellt und ist nur kurze Zeit gültig.
Marktanteil/Nutzung: weniger als 0,5%

Alternative II: Digitale Signatur

Neun der untersuchten Institute bieten Onlinebanking mittels digitaler Signatur auf Bankomatkarte an. Obwohl dieses System seit rund zwei Jahren massiv beworben wird, wird es kaum genutzt. Anwender berichten, dass es in Installation und Nutzung zu umständlich und auch undurchsichtig ist. Auch die relativ hohen Zusatzkosten schrecken ab.
Marktanteil/Nutzung: weniger als 0,5%

Alternative III: Biometrisches Verfahren

Eine Bank bietet die Transaktionsdurchführung mittels eines Fingerabdruckverfahrens an. Das System hat eine ähnliche Funktionalität wie die digitale Signatur, die Identifizierung erfolgt über eine Datenbank des Fingerabdruckbetreibers. Auch hier entstehen Zusatzkosten. Zusatzinstallationen sind erforderlich, womit auch die mobile Nutzung stark eingeschränkt ist.
Marktanteil/Nutzung: weniger als 0,1%

Alternative IV: eigene Bankensoftware

Viele Banken bieten Onlinebanking nicht nur über den Internetbrowser an, sondern auch mittels MBS-Software (MultiBankenStandard) an. Dieses von größeren Firmen gern genutzte System wird jedoch nicht an Privatkunden abgegeben.

In Zukunft Realtime-Angriffe

Alle bisherigen Phishing-Attacken stellen punktuelle Angriffe auf den Rechner des Kunden oder auf einzelne Informationen über den Kunden dar. Diese Angriffe können durch Signatur oder effiziente PIN/TAN-Verfahren wirksam abgewehrt werden. Mittlerweile sind jedoch Szenarien denkbar, die es einem Angreifer erlauben den Computer des Kunden permanent zu kontrollieren und dadurch betrügerische Transaktionen durchzuführen.

Weitere innovative Ansätze blieben bisher unbeachtet

Diverse IT-Sicherheits-Unternehmen bieten neben den beschriebenen Produkten weitere Lösungen an, darunter Challenge-Response-Verfahren und VirtualMaschine-Lösungen, die jedoch von österreichischen Banken derzeit nicht genutzt werden.

Beim "Challenge-Response-Verfahren" werden graphische Zeichen so am Bildschirm abgebildet, dass sie nur mittels Zusatzwissen interpretiert werden können. Im einfachsten Fall werden etwa verschiedenfarbige Zahlen dargestellt und der Kunde muss die Zahlen einer bestimmten Farbe als Transaktionscode eingeben. Die deutsche Dresdner Bank bietet Ihren Kunden ein vergleichbares System an.

Bei den VirtualMaschine-Lösungen ist auf einem USB-Stick eine gesamte Betriebssystemumgebung inklusive Internet-Browser installiert und der Kunde verwendet diese, besonders geschützte Umgebung für das Onlinebanking. Trojaner oder Viren auf seinem eigenen Computer können diese sichere Umgebung nicht angreifen.

Resümee

Alle technischen Alternativen zum TAN-Verfahren werden zusammen derzeit von nicht mehr als 1% (!!) der Onlinebanking-Kunden genutzt. Ein Umstieg auf das Token-Code-Verfahren wäre kurzfristig möglich und die sicherste und einfachste technische Maßnahme gegen Phishingattacken. Im Gegensatz zu biometrischen Verfahren oder der digitalen Signatur, wären keine Zusatzinstallationen erforderlich und das System würde an für Kunden vertraute Abläufe anknüpfen.

Hans G. Zeger: "Betrachtet man die enormen Summen, die bisher vergeblich in das Bankomat-Signatur-Projekt geflossen sind, hätte man um diesen Betrag schon die Onlinebanking-Nutzer auf das Token-Code-Verfahren umstellen können."

Onlinebanking-Studie

Details finden sich in der kürzlich präsentierten Onlinebanking-Studie (http://www.e-rating.at/php/cms_monitor.php?q=PUB-TEXT-E-RATING&s=5259...). Die Studie wurde durch eine Förderung des Bundesministeriums für soziale Sicherheit, Generationen und Konsumentenschutz ermöglicht.

mehr --> Umfassende Studie zum Thema Onlinebanking erschienen
mehr --> Die wichtigsten Online-Banking-Anbieter in Österreich
mehr --> Presseinformation anläßlich der Vorstellung der Studie am 12.12.2006
mehr --> Die umfassende Onlinebanking-Studie
Archiv --> Raffinierter Trojaner gefährdet Österreichs Onlinebanking-Kunden
Archiv --> Phishing - iTAN-Lösung leicht geknackt
Archiv --> Abgestürzt - Digitale Signatur auf Bankomatkarte
andere --> Challenge-Code-Verfahren der Dresdner Bank
andere --> Bankomat / Digitale Signatur - Europay
andere --> Token Code Verfahren - SafeWord
andere --> Token Code Verfahren - RSA SecurID
andere --> VirtualMaschine - Lösung mIDentity Mobile Banking
andere --> Graphisches Challenge-Response-Verfahren SecLookOn
andere --> Biometrieverfahren eKey

Die angezeigten Informationen sind nur zur persönlichen Nutzung bestimmt. Jede Weitergabe an Dritte ist unzulässig und ausdrücklich untersagt. Alle Angaben und Informationen ohne Gewähr. Trotz sorgfältiger Recherche besteht die Möglichkeit, daß einzelne Informationen veraltet, unklar oder unvollständig sind. Sollten Sie Kenntnis von derartigen Informationen erhalten, ersuchen wir Sie um Rückmeldung, damit wir die Daten raschest korrigieren können. e-commerce Ratingwerte geben die Einschätzung des e-rating-Teams zu der genannten Organisationen und Webshops wider. Diese Einschätzung muss nicht mit Einschätzungen anderer Rating-Organisationen oder mit der Selbsteinschätzung der bewerteten Organisation übereinstimmen. Es liegt in der Verantwortung jedes Benutzers des Informationssystems die Ratingwerte in geeigneter Weise zu interpretieren.

Bei Nutzungsproblemen wenden Sie sich bitte an unseren Support! per fax ++43(0)1/4803209 oder per e-mail Online Hilfe
Content Management System developed & powered by e-commerce monitoring gmbh

webmaster