privacy service   a-cert e-rating.at
e-commerce News | Bewertungsmethoden | Shop anmelden | Benutzer registrieren | Mitglied werden | Hilfe
2016/07/25 Phishing - so prüfen Sie die Sicherheitszertifikate der Banken
ARGE DATEN startet Sicherheitsinitiative - die wichtigsten Prüfkriterien des Sicherheitszertifikats - regelmäßige Prüfung bietet praktisch völligen Phishing-Schutz - Online-Identitätsnachweis bei vielen Banken unzureichend - Benutzer werden durch mangelhafte Sicherheitszertifikate verwirrt

ARGE DATEN startet Sicherheitsinitiative

Da praktisch keine Bank ausreichend über die Identifikationsmerkmale ihrer Sicherheitszertifikate informiert, startet die ARGE DATEN eine Initiative. Unter http://www.e-rating.at/php/cms_monitor.php?q=NETBANKING werden die wichtigsten Banken mit Internet-Banking gelistet. Die Liste enthält auch den "Fingerabdruck" (neudeutsch: "Fingerprint") des derzeit gültigen Sicherheitszertifikats.

Hans G. Zeger: "Kunden der jeweiligen Bank sollten Login, Internetbanking oder die Bekanntgabe vertraulicher Informationen, wie PIN und TAN nur auf einer Seite machen, bei der dieser Fingerabdruck angezeigt wird. Dieser Fingerabdruck ist nicht fälschbar und garantiert die Echtheit einer Website."


Was sind die wichtigsten Sicherheitsmerkmale des Zertifikats?

- Gültigkeitsdatum: das Zertifikat darf nicht abgelaufen sein
- Name des Antragstellers: Firmenname der Bank, mit der ich Internetbanking mache
- Fingerabdruck: 40-stelliger eindeutiger Code des Zertifikats
- Servername: der Name im Zertifikat muss mit dem Name in der Browseradresse übereinstimmen

Der Fingerabdruck ist die "Kurzfassung" des Zertifikats und dient zur leichteren Identifikation. Er wird so erzeugt, dass niemals zwei Zertifikate denselben Fingerabdruck haben können. Bei der "Fingerabdruck"-Prüfung sollte man bei der ersten Prüfung alle Stellen kontrollieren, später genügen meist schon die ersten 4-8 Stellen.

Zur Prüfung des Fingerabdrucks wurde unter http://ftp.freenet.at/fin/zertifikatspruefung.pdf eine Step-by-Step-Anleitung angefertigt. Die Dauer der Prüfung beträgt nur wenige Sekunden.


Identitätsnachweis bei vielen Banken mangelhaft

Obwohl bei allen Banken das Internetbanking über eine - vorgeschriebene - verschlüsselte Datenverbindung stattfindet, ist der Identitätsnachweis des Sicherheitszertifikats bei vielen Banken ungenügend. Oft enthalten die Zertifikate nicht die Firmendaten der Bank, bei der das Internetbanking gemacht wird, sondern mehr oder minder bekannte Service-Firmen, auch Unternehmensdaten von Fremdbanken oder veraltete Firmenbezeichnungen finden sich immer wieder.

Hans G. Zeger: "Offenbar ist das Thema Identitätsnachweis im Internet für viele Banken ein ungeliebtes Kind. Nicht der ordentliche Betrieb des Banking-Angebots steht im Vordergrund, sondern möglichst billige Lösungen werden verwendet."

Es muss kurzfristiges Ziel aller Internet-Banken sein, dass ein gültiges Zertifikat mit der korrekten Unternehmensbezeichnung vorgewiesen wird.

Der derzeitige Zustand gleicht eher der Situation, dass ein Reisepass oder eine Sozialversicherungskarte von mehreren Personen gemeinsam genutzt und ausgetauscht wird. Für Konsumenten ist nicht erkennbar, ob es sich um ein Echt-Zertifikat oder doch bloß um ein nachgeahmtes Phishing-Zertifikat handelt. Damit wird eher Verwirrung, als Vertrauen gestiftet.


Noch langer Weg zum sicheren Internetbanking

Faktum ist, dass die derzeit von den österreichischen Banken verwendeten Internetbanking-Lösungen längst nicht mehr Stand der Technik sind. Die Schwachstellen sind längst nicht mehr das PIN-/TAN-Verfahren, sondern die von den Konsumenten meistens verwendeten Microsoft-Betriebssysteme, die viel zu anfällig für Würmer, Viren und Trojaner sind. Microsoft gibt zwar Konsumenten eine "Drei-Schritt-Anleitung" zum sicheren Betriebssystem:
- regelmäßiges Betriebssystem-Update
- regelmäßiges Anti-Viren-Update
- Betrieb und Betreuung einer Firewall
Würde man diese Vorschläge lückenlos befolgen, dann müssten täglich(!) bis zu zwei Stunden in die Wartung des Betriebssystems investiert werden. Gegen neue und überraschende Angriffe wären diese Maßnahmen trotzdem wirkungslos.

Es ist unzumutbar, dass Mängel des Betriebssystems und in der Organisation des Internet-Bankings ausschließlich auf den Konsumenten abgewälzt werden, "aufpassen" ist keine geeignete Sicherheitsstrategie im Internet.

Neben den sofort wirksamen Maßnahmen, die ARGE DATEN berichtete mehrfach darüber (http://www.e-rating.at/php/cms_monitor.php?q=PUB-TEXT-E-RATIN...), ist die Informationstechnologie mittlerweile soweit fortgeschritten, dass die Banken eine sichere und bequeme Lösung anbieten könnten, die völlig unabhängig von der Sicherheit des Betriebssystems funktioniert.


Exotenlösung "digitale Signatur" auf Bankomatkarte

Keinen Ausweg aus der Phishing- und Internetbanking-Krise bieten die Signaturlösungen auf der Bankomatkarte. Erstens sind die Beschaffungs- und Installationsabläufe viel zu kompliziert und fehleranfällig, zweitens würde das System gegen die neu auftretenden Phishing-Trojaner wirkungslos bleiben. Der Benutzer wäre weiters immer an bestimmte Geräte, bei denen der Kartenleser installiert ist, gebunden.

Hans G. Zeger: "Das Signaturkarten-System ist etwa genauso sinnvoll, wie die Anschnallpflicht im Auto, wenn die Gurten nicht sicher in der Karosserie verankert sind, sondern lose im Auto herumliegen. Ohne ein sicheres Betriebssystem bietet die Signaturkartenlösung keinen sicheren Halt."

Auch das Preis-Leistungsverhältnis ist höchst unzureichend. Um denselben Preis von etwa 60 EUR im ersten Jahr könnten die Banken schon eine Bankinglösung anbieten, die auch dann funktioniert, wenn das verwendete Betriebssystem unsicher ist.

mehr --> Phishing - Haftung und Informationspflichten unzureichend gere...
mehr --> Die wichtigsten Online-Banking-Anbieter in Österreich
mehr --> Information zur Zertifikatsprüfung
Archiv --> Online-Sicherheit - Österreichs Webauftritte hinter dem Stand ...
Archiv --> DIE 10 GEBOTE DES SICHEREN ONLINE-SHOPPINGS
Archiv --> eCommerce wird noch langen Atem benötigen
Archiv --> Abgestürzt - Digitale Signatur auf Bankomatkarte


Die angezeigten Informationen sind nur zur persönlichen Nutzung bestimmt. Jede Weitergabe an Dritte ist unzulässig und ausdrücklich untersagt. Alle Angaben und Informationen ohne Gewähr. Trotz sorgfältiger Recherche besteht die Möglichkeit, daß einzelne Informationen veraltet, unklar oder unvollständig sind. Sollten Sie Kenntnis von derartigen Informationen erhalten, ersuchen wir Sie um Rückmeldung, damit wir die Daten raschest korrigieren können. e-commerce Ratingwerte geben die Einschätzung des e-rating-Teams zu der genannten Organisationen und Webshops wider. Diese Einschätzung muss nicht mit Einschätzungen anderer Rating-Organisationen oder mit der Selbsteinschätzung der bewerteten Organisation übereinstimmen. Es liegt in der Verantwortung jedes Benutzers des Informationssystems die Ratingwerte in geeigneter Weise zu interpretieren.

Bei Nutzungsproblemen wenden Sie sich bitte an unseren Support! per fax +43(0)1/5320974 oder per e-mail Online Hilfe
Content Management System developed & powered by e-commerce monitoring gmbh

© e-commerce monitoring GmbH 2002-2016 webmaster
Datenschutz, Privatsphäre, Privacy, Informationsrecht, Datensicherheit, Inhouse-Schulung, Datenschutzbeauftragter, DSB, Österreich, Austria, Wien, Internet, Telekommunikation, Personendaten, Auftraggeber, Dienstleister, datenschutz-seminar.at, privacy-day.at, privacyday.at, Cloud Computing, datenschutz-seminare@at, Vorratsdatenspeicherung, Vorratsspeicherung, datenschutz tag, hacking, hacker, Whistleblowing, RFID, social media, Web 2.0, Web2.0, informationelle Selbstbestimmung, datenschutz tagung, e-government, e-commerce, Identität, phishingdata protection, privacy, data security, data safety, Inhouse, data protection officer, Austria, Vienna, internet, telecommunication, personal data, data retention, privacy protection, privacy protect, Video Surveillance, CCTV