privacy service   a-cert e-rating.at
e-commerce News | Bewertungsmethoden | Shop anmelden | Benutzer registrieren | Mitglied werden | Hilfe
2007/01/04 Onlinebanking - Sicherheitsfalle Telefonsupport?
Den "Elch"-Test nicht bestanden haben die meisten Onlinebanking-Anbieter - Telefonsupporter bei Sicherheitsempfehlungen von Microsoft überfordert - Kunde nach Support nicht mehr Herr seines Computers - Konflikt zwischen Marketingstrategien und IT-Sicherheit

Sicherheitsempfehlungen der Banken

Im Rahmen des umfassenden Tests der Onlinebankingangebote wurde auch die Umsetzbarkeit der Sicherheitsempfehlungen geprüft. Kurz nach Ausbreitung der Phishing-Attacken brachten die Banken, aber auch die Sparte Banken der Wirtschaftskammer Empfehlungen und Broschüren zum sicheren Onlinebanking heraus.

Kern der Empfehlungen waren im Wesentlichen:
- laufendes Aktualisieren des Betriebssystems,
- Installieren von Firewall, Antiviren- und Antispyware-Programmen
- PIN und TAN getrennt aufbewahren
- verdächtige Mails löschen
- die Sicherheitsempfehlungen der Betriebssystemanbieter beachten

Ausgangspunkt unseres "Elch"-Tests waren die Empfehlungen von Microsoft für die sichere Verwendung des Internet Explorers 6 (eingesetzt wurden die Versionen IE6 6.0.2800.1106 für Windows2000 und IE6 6.0.2900.2180 für XP).

Verwendet wurde dieser Browser, da er nach unabhängigen Analysen von etwa 86% der Internetuser benutzt wird.

Diese Empfehlung bedeutet ein Deaktiveren von AktiveX, Active Scripting, Java, Java-Applets, ebenso wird Datei- und Schriftartendownload ausgeschlossen. Ausgeschlossen wird auch das Umleiten von Seiten (Redirect) und die Verwendung von IFrames, der PopUp-Blocker wird aktiviert, Autovervollständigen wird ausgeschalten und Kennwörter werden nicht gespeichert. Weiters werden alle Cookies gesperrt.

Nur in drei Fällen konnte das Onlinebanking mit diesen laut Microsoft sicheren Einstellungen genutzt werden, in den anderen Fällen funktionierte entweder die Navigation nicht mehr oder es erschien überhaupt nur ein weißer Bildschirm.


Teilweise skurrile Ratschläge

Mit dieser standardisierten Ausgangssituation wurde der Onlinebanking-Support konfrontiert. Gleichzeitg wurde bekannt gegeben, dass man den IE6 mit dem aktuellen Update benutze. Weiters wurde bekannt gegeben, dass man sehr sicherheitsbewusst sei und immer allen Sicherheitsempfehlungen folge.

Überraschenderweise waren die wenigsten Supporter auf diese Situation vorbereitet. Zwar wurden in 11 Fällen Konfigurationshilfen bereitgestellt, diese waren aber durchwegs unvollständig oder fehlerhaft, in neun Fällen mussten sie als mangelhaft eingestuft werden. In den übrigen Fällen dominierten adhoc-Ratschläge.

Ein Teil der Empfehlungen muss als sicherheitstechnisch gefährlich angesehen werden, etwa:
- Schalten Sie ihre Firewall ab!
- Schalten Sie ihren Virenscanner ab, dieser sperrt die Bankseite!
- Tragen Sie unsere Bankseite als vertrauenswürdige Seite mit niedrigster Sicherheitsstufe ein! Uns können sie ja vertrauen.
- Ihre hosts-Datei ist fehlerhaft

Geradezu ins skurrile glitten manche Empfehlungen und Mutmassungen der Telefonsupporter ab:
- Ihr Provider hat unsere Bankseite gesperrt!
- Sie haben keine Internetverbindung!
- Sie haben kein Java installiert!
- Ihre Java-Version hat einen Bug!
- Ihr Browser ist defekt!
- Der Microsoft InternetExplorer hat einen Bug, man solle Firefox installieren.
- Seitenweiterleitung funktioniert nicht, weil auf unseren Bank-Seiten ein Providerwechsel stattfindet.

Meist verlangten die Supporter den Browser oder gleich das ganze Betriebssystem neu zu installieren und den Browser auf "mittlere Sicherheitsstufe" zu stellen.

Hans G. Zeger: "In Hinblick auf den Massenmarkt von 3 Millionen Onlinekonten, kann der Kunde erwarten zumindest für die gebräuchlisten Browser/Betriebssysteme fertige Konfigurationsdokumentationen zu erhalten."

Da es in vielen Supportfällen zu massiven Eingriffen in die Konfiguration des Kundencomputers kommt, kann nicht mehr davon gesprochen werden, dass der Kunde noch vollständig Herr seines Computers ist.

Als besonders problematisch müssen die mehrfachen Seitenumleitungen angesehen werden, die dazu führen, dass der Kunde nicht mehr erkennen kann, welche Webadresse tatsächlich die für sein Onlinebanking gültige Adresse ist. Auch die verwendeten Sicherheitszertifikate konnten nur in 7 der untersuchten Fälle der jeweiligen Vertragsbank zugeordnet werden.


Installation von Antiviren- und Antisypsoftware

Auch die allgemeinen Sicherheitshinweise müssen großteils als unzureichend und unsystematisch angesehen werden. In 16 Fällen wurde empfohlen ein Virenschutzprogramm zu installieren, in sieben Fällen eine Firewall, jedoch nur in 4 Fällen ein Anti-Spywareprogramm. In keinem Fall gab es jedoch konkrete Installationsanleitungen oder Empfehlungen für geeignete Produkte.

Selbst die simple Empfehlung PIN/TAN nicht auf dem Computer zu speichern findet sich nur in neun der 19 untersuchten Fälle. Es wird zwar in mehreren Fällen darauf hingewiesen, keine leicht zu erratende PINs zu verwenden (Geburtsdatum, Handynummer, "11111" usw.) jedoch nur in einem einzigen Fall wird die Eingabe sogenannter Trivial-PINs verhindert.


Warnung vor Phishing-Attacken

Durch die massive Medien-Präsenz des Phänomens Phishing finden sich bei immerhin 18 der untersuchten Banken Warnhinweise auf den Internetseiten. In vielen Fällen erfolgt dies als Teil des Login-Vorganges, in manchen Fällen sind die Hinweise eher versteckt Teil der allgemeinen Sicherheitshinweise.

In keinem Fall existiert jedoch eine klare Vereinbarung, unter welchen Umständen TANs verlangt werden und unter welchen nur die Eingabe des PIN erforderlich ist. Damit bleiben die Onlinebankingsysteme intransparent. Genau diese Unklarheit nutzen Angreifer aus, indem sie von den Kunden unter einem mehr oder minder plausiblen Vorwand TANs verlangen.


Konflikt zwischen Marketing und IT-Abteilung

Bei einer Reihe von Bankenlösungen wird der Konflikt zwischen Marketing-Anforderungen und Sicherheit deutlich. Die Onlinebanking-Seiten wirken durch den Einsatz von Frames, PopUps und verschiedenste Java-Skripts unübersichtlich und überladen. In 12 der 19 Fälle waren Teile der Webseiten abgeschnitten, durch Scroll-Balken regelrecht "zerschnitten" und Buttons nicht lesbar. Dies insbesondere, wenn nur ein kleiner Bildschirm verfügbar war oder wenn eine etwas größere Schrift eingestellt war.

Hans G. Zeger: "Statt eine klare Trennung von Werbung und Nutzung des Onlinebanking einzuhalten, missverstehen manche Banken das Onlinebanking als Werbeplattform zum Verkauf zusätzlicher Produkte. Übersehen wird dabei, dass der Kunde Anspruch hat, seine Banktransaktionen möglichst ungestört und ohne Ablenkungen erledigen zu können."


Viele Onlinebanking-Lösungen verbesserungswürdig

Die Beispiele von drei Banken zeigen, dass auch mit einfachen technischen Mitteln übersichtliches Onlinebanking programmiert werden kann. Damit werden Supportprobleme reduziert und der Kunden nicht gezwungen von den von ihm gewählten Browsereinstellungen abzuweichen.

Einfachere und klarere Seitengestaltung, genauere Hinweise zur Konfiguration des Browsers und zum Einsatz von Sicherheitssoftware, Hilfestellungen in der Verwaltung von PIN und TAN und klare Informationen, bei welchen Transaktionen welche Art von Daten bekannt zu geben ist, würden viele Angriffsmöglichkeiten für Phishingattacken ausschalten.


Onlinebanking-Studie

Details finden sich in der kürzlich präsentierten Onlinebanking-Studie (http://www.e-rating.at/php/cms_monitor.php?q=PUB-TEXT-E-RATIN...). Die Studie wurde durch eine Förderung des Bundesministeriums für soziale Sicherheit, Generationen und Konsumentenschutz ermöglicht.

mehr --> Umfassende Studie zum Thema Onlinebanking erschienen
mehr --> Die wichtigsten Online-Banking-Anbieter in Österreich
mehr --> Presseinformation anläßlich der Vorstellung der Studie am 12.12.2006
mehr --> Screenshots der geprüften Onlinebanking-Lösungen
mehr --> Die umfassende Onlinebanking-Studie
Archiv --> Warnung vor Phishing-Attacke - Österreichs Sparkassen im Visier
Archiv --> Phishing - Identitätsdiebstahl als neues Delikt einer anonymen...
Archiv --> Phishing erstmals im deutschsprachigen Raum


Die angezeigten Informationen sind nur zur persönlichen Nutzung bestimmt. Jede Weitergabe an Dritte ist unzulässig und ausdrücklich untersagt. Alle Angaben und Informationen ohne Gewähr. Trotz sorgfältiger Recherche besteht die Möglichkeit, daß einzelne Informationen veraltet, unklar oder unvollständig sind. Sollten Sie Kenntnis von derartigen Informationen erhalten, ersuchen wir Sie um Rückmeldung, damit wir die Daten raschest korrigieren können. e-commerce Ratingwerte geben die Einschätzung des e-rating-Teams zu der genannten Organisationen und Webshops wider. Diese Einschätzung muss nicht mit Einschätzungen anderer Rating-Organisationen oder mit der Selbsteinschätzung der bewerteten Organisation übereinstimmen. Es liegt in der Verantwortung jedes Benutzers des Informationssystems die Ratingwerte in geeigneter Weise zu interpretieren.

Bei Nutzungsproblemen wenden Sie sich bitte an unseren Support! per fax +43(0)1/5320974 oder per e-mail Online Hilfe
Content Management System developed & powered by e-commerce monitoring gmbh

© e-commerce monitoring GmbH 2002-2016 webmaster
Datenschutz, Privatsphäre, Privacy, Informationsrecht, Datensicherheit, Inhouse-Schulung, Datenschutzbeauftragter, DSB, Österreich, Austria, Wien, Internet, Telekommunikation, Personendaten, Auftraggeber, Dienstleister, datenschutz-seminar.at, privacy-day.at, privacyday.at, Cloud Computing, datenschutz-seminare@at, Vorratsdatenspeicherung, Vorratsspeicherung, datenschutz tag, hacking, hacker, Whistleblowing, RFID, social media, Web 2.0, Web2.0, informationelle Selbstbestimmung, datenschutz tagung, e-government, e-commerce, Identität, phishingdata protection, privacy, data security, data safety, Inhouse, data protection officer, Austria, Vienna, internet, telecommunication, personal data, data retention, privacy protection, privacy protect, Video Surveillance, CCTV