|
|
|
|
| 2010/09/11 Phishing - so prüfen Sie die Sicherheitszertifikate der Banken ARGE DATEN startet Sicherheitsinitiative - die wichtigsten Prüfkriterien des Sicherheitszertifikats - regelmäßige Prüfung bietet praktisch völligen Phishing-Schutz - Online-Identitätsnachweis bei vielen Banken unzureichend - Benutzer werden durch mangelhafte Sicherheitszertifikate verwirrt ARGE DATEN startet Sicherheitsinitiative Hans G. Zeger: "Kunden der jeweiligen Bank sollten Login, Internetbanking oder die Bekanntgabe vertraulicher Informationen, wie PIN und TAN nur auf einer Seite machen, bei der dieser Fingerabdruck angezeigt wird. Dieser Fingerabdruck ist nicht fälschbar und garantiert die Echtheit einer Website." Was sind die wichtigsten Sicherheitsmerkmale des Zertifikats? - Name des Antragstellers: Firmenname der Bank, mit der ich Internetbanking mache - Fingerabdruck: 40-stelliger eindeutiger Code des Zertifikats - Servername: der Name im Zertifikat muss mit dem Name in der Browseradresse übereinstimmen Der Fingerabdruck ist die "Kurzfassung" des Zertifikats und dient zur leichteren Identifikation. Er wird so erzeugt, dass niemals zwei Zertifikate denselben Fingerabdruck haben können. Bei der "Fingerabdruck"-Prüfung sollte man bei der ersten Prüfung alle Stellen kontrollieren, später genügen meist schon die ersten 4-8 Stellen. Zur Prüfung des Fingerabdrucks wurde unter ftp://ftp.freenet.at/fin/zertifikatspruefung... eine Step-by-Step-Anleitung angefertigt. Die Dauer der Prüfung beträgt nur wenige Sekunden. Identitätsnachweis bei vielen Banken mangelhaft Hans G. Zeger: "Offenbar ist das Thema Identitätsnachweis im Internet für viele Banken ein ungeliebtes Kind. Nicht der ordentliche Betrieb des Banking-Angebots steht im Vordergrund, sondern möglichst billige Lösungen werden verwendet." Es muss kurzfristiges Ziel aller Internet-Banken sein, dass ein gültiges Zertifikat mit der korrekten Unternehmensbezeichnung vorgewiesen wird. Der derzeitige Zustand gleicht eher der Situation, dass ein Reisepass oder eine Sozialversicherungskarte von mehreren Personen gemeinsam genutzt und ausgetauscht wird. Für Konsumenten ist nicht erkennbar, ob es sich um ein Echt-Zertifikat oder doch bloß um ein nachgeahmtes Phishing-Zertifikat handelt. Damit wird eher Verwirrung, als Vertrauen gestiftet. Noch langer Weg zum sicheren Internetbanking - regelmäßiges Betriebssystem-Update - regelmäßiges Anti-Viren-Update - Betrieb und Betreuung einer Firewall Würde man diese Vorschläge lückenlos befolgen, dann müssten täglich(!) bis zu zwei Stunden in die Wartung des Betriebssystems investiert werden. Gegen neue und überraschende Angriffe wären diese Maßnahmen trotzdem wirkungslos. Es ist unzumutbar, dass Mängel des Betriebssystems und in der Organisation des Internet-Bankings ausschließlich auf den Konsumenten abgewälzt werden, "aufpassen" ist keine geeignete Sicherheitsstrategie im Internet. Neben den sofort wirksamen Maßnahmen, die ARGE DATEN berichtete mehrfach darüber (http://www.e-rating.at/php/cms_monitor.php?q=PUB-TEXT-E-RATING&s=1012...), ist die Informationstechnologie mittlerweile soweit fortgeschritten, dass die Banken eine sichere und bequeme Lösung anbieten könnten, die völlig unabhängig von der Sicherheit des Betriebssystems funktioniert. Exotenlösung "digitale Signatur" auf Bankomatkarte Hans G. Zeger: "Das Signaturkarten-System ist etwa genauso sinnvoll, wie die Anschnallpflicht im Auto, wenn die Gurten nicht sicher in der Karosserie verankert sind, sondern lose im Auto herumliegen. Ohne ein sicheres Betriebssystem bietet die Signaturkartenlösung keinen sicheren Halt." Auch das Preis-Leistungsverhältnis ist höchst unzureichend. Um denselben Preis von etwa 60 EUR im ersten Jahr könnten die Banken schon eine Bankinglösung anbieten, die auch dann funktioniert, wenn das verwendete Betriebssystem unsicher ist. mehr --> Phishing - Haftung und Informationspflichten unzureichend gere... mehr --> Die wichtigsten Online-Banking-Anbieter in Österreich mehr --> Information zur Zertifikatsprüfung Archiv --> Online-Sicherheit - Österreichs Webauftritte hinter dem Stand ... Archiv --> DIE 10 GEBOTE DES SICHEREN ONLINE-SHOPPINGS Archiv --> eCommerce wird noch langen Atem benötigen Archiv --> Abgestürzt - Digitale Signatur auf Bankomatkarte |
Die angezeigten Informationen sind nur zur persönlichen Nutzung bestimmt. Jede Weitergabe an Dritte ist unzulässig und ausdrücklich untersagt. Alle Angaben und Informationen ohne Gewähr. Trotz sorgfältiger Recherche besteht die Möglichkeit, daß einzelne Informationen veraltet, unklar oder unvollständig sind. Sollten Sie Kenntnis von derartigen Informationen erhalten, ersuchen wir Sie um Rückmeldung, damit wir die Daten raschest korrigieren können. e-commerce Ratingwerte geben die Einschätzung des e-rating-Teams zu der genannten Organisationen und Webshops wider. Diese Einschätzung muss nicht mit Einschätzungen anderer Rating-Organisationen oder mit der Selbsteinschätzung der bewerteten Organisation übereinstimmen. Es liegt in der Verantwortung jedes Benutzers des Informationssystems die Ratingwerte in geeigneter Weise zu interpretieren. Bei Nutzungsproblemen wenden Sie sich bitte an unseren Support! per fax ++43(0)1/4803209 oder per e-mail Online Hilfe Content Management System developed & powered by e-commerce monitoring gmbh |
| © e-commerce monitoring GmbH 2002-2010 | webmaster |