Websicherheit.org

Hab’s gerade auf Zeit-Online gelesen.

Hacker spähen verstärkt Daten von Bankkunden aus. Die Ermittler sprechen von einem “Angriff in unvorstellbarem Ausmaß”. Auch Geldwäscher sind im Netz aktiver denn je. [...]

Quelle: http://www.zeit.de/digital/datenschutz/2010-09/online-banking-angriffe

Meine Meinung:
Meine Herren… was für eine Panik mache.
Klar haben es kriminelle auf die Geheimzahlen abgesehen, mit denen die Kunden ihre Überweisungen durchführen. Ohne geht es nicht.
Wer Online-Banking betreibt, und immer noch nicht weiß, das hier einige Regeln zu beachten sind, dem ist nicht zu helfen. Leider wird es immer einen gewissen Anteil der Unwissenden geben. Solange, bis die auf die Nase gefallen sind. Entweder nutzt man HBCI (befreit aber auch nicht vom Denken), oder man nutzt eine angepasste Linux Live-CD (bietet gegenüber Windows etwas mehr Sicherheit, das war es aber auch schon) oder man macht es auf die 100% sichere Methode… keine Online-Banking.

Den Hauptanteil des Artikels nimmt das Thema Geldwäsche in Anspruch.
Klar, das solche Angebote bevorzugt im Internet platziert werden.
Das hat jetzt aber weniger was mit PC-Sicherheit zu tun. Virenscanner, Firewall, sicheres Betriebssystem bewahren nicht vor der Gefahr, das man einem Geldwäscher aufgesessen ist.
Ein solches Job-Angebot könnte man auch in einer Zeitungs-Annonce einfädeln.
Und für die Durchführung braucht man nicht zwingend einen Computer (ok, es erleichtert die Sache ungemein).

Im letztem Absatz des Artikels ist zu lesen:

[...] BaFin-Präsident Sanio bemängelte zudem die im internationalen Vergleich eher niedrigen Bußgelder in Deutschland. Die Beträge seien “fast schon ein Witz”, sagte Sanio. Sie bewegten sich im “unteren fünfstelligen Bereich”. Er betonte aber zugleich, dass der Gesetzgeber bestimmte Obergrenzen aufgrund des Verfassungsrechts nicht überschreiten könne.[...]

Vielleicht sollten sich die die Gesetzgeber mal darüber Gedanken machen, dass die, die bei Geldwäsche geschnappt werden, meist die “kleinen” Leute sind, die wegen den zusätzlichen Verdienst und den verschleierten Hintergrund der Transaktion den einen oder anderen Euro dazu verdienen wollten.
Und warum springen so viele darauf an? Weil die Chancen auf dem Arbeitsmarkt und das Lohn-Niveau so desolat ist, das man nicht lange überlegt, wenn ein Zusatzverdienst angeboten wird.
Wenn der Gesetzgeber daran was ändern würde, dann wären auch die Geringverdiener nicht die Mittäter der Geldwäscher.

Das Bundesamts für Sicherheit in der Informationstechnik (BSI) warnt in diesem Artikel, das eine neue Variante eines Trojaner verstärkt die TANs Online-Banking-Nutzern und Kreditkarteninformationen ausspäht.
Der Trojaner geht hier sehr gerissen vor.
Wenn sich das Schadprogramm auf dem System einnisten konnte, und der Anwender die URL seiner Bank aufruft dann wird zwar die korrekte Adresse der bankseite aufgerufen – Der Trojaner manipuliert jedoch den Inhalt dieser Webseite.
Laut dem BSI kann unter anderen folgender Text erscheinen:

“Die XY Portal passt sich den hohen Kundenansprüchen an. Wir bleiben immer auf dem neusten Stand mit Sicherheitsvorschriften um unseren Kunden mehr Sicherheiten zu bieten. Unser Sicherheitsabteilung erfand ein neues Sicherheitssystem, die Angriffe von Dritten verhindert um Betrugsfälle. Diese Sicherheitssystem muss von allen Online- Banking-Kunden genutzt werden.
Wir empfehlen Ihre Daten zu Angleichung anzugeben. Sollte die Anmeldung in 48 Stunden nicht erfolgen, so wird Ihre Karte vorübergehend gesperrt, bis zu Ende der Anmeldevorgang.“

Das BSI empfiehlt bei solchen Meldungen erhöhte Aufmerksamkeit an den Tag zu legen, das hier der Rechner bereits kompromittiert sein kann.
Dies kann man mit der Verwendung einer Live-CD einfachst überprüfen.
Erscheinen solche Meldungen nicht (wie oben aufgezeigt) dann ist das ein valider Hinweis, dass der Rechner mit dem Schadcode befallen ist.

Bei Zbot oder Zeus handelt es sich um ein Toolkit, welches einen Rechner in ein Botnet integriert und entweder Spam oder Malware an andere potentielle Opfer versendet oder gar Zugangsdaten für Online-Banking auszuspionieren.
CA Security meldet in diesem Artikel, dass die Version 3 von Zeus in der Lage ist, sich durch eingeschränkte Zugriffsrechte besser vor einer Entdeckung zu schützen.

Die neuesten Zeus-Bot-Konfiguration enthält gezielt eine Liste der Finanzinstitute aus Spanien, Deutschland, Großbritannien und USA.
Für Deutschland insbesondere:

• https://www.commerzbanking.de/*/cowis.js*
• https://meine.deutsche-bank.de/*
• https://finanzportal.fiducia.de/*/portal*
• https://internetbanking.gad.de/ptlweb/WebPortal*

Daher rücken deutsche Banken deutlich in den Fokus der Botnet Betreiber und somit die Bankinformationen potentieller Opfer.
Deutschland befindet sich hier auf Platz 4 nach Spanien, England und den USA (siehe Schautafel hier) .

Bei PC-Welt.de ist mir ein Artikel aufgefallen, welcher sich thematisch mit sicherem Online-Banking befasst.
In diesem 3 seitigen Artikel werden mit insgesamt 10 goldene Regeln dem Anwender Tipps an die Hand gegeben, welche das Online-Banking am heimischen PC absichern sollen.
Im großen und ganzen entsprechen die Tipps anderen empfohlenen Richtlinien, welche ein sicheres Online-Banking versprechen.
Im großen und ganzen eben… denn ich bin der Meinung, das ein ganz wichtiger Tipp nicht erwähnt wurde:
Das Verwenden einer Live-CD.
Derer gibt es einige. Entweder spezielle Live-CD’s welche sich auf das Thema Online-Banking konzentriert haben wie z.B. CHIP-Banking-Tool (62) oder c’t Bankix (70). Gerade letztere hatte ein Update erfahren und in der aktuellen c’t 15/2010 wurde dem ein gesonderter Artikel gewidmet.
Wobei bei jedem Browser basierenden Online-Banking jede andere Live-CD hier ebenfalls seinen Zweck erfüllt.

Installierter und aktualisierter Virenscanner (oder Firewall) hin oder her, wenn man die die richtige Malware eingefangen hat, dann hat diese den Virenscanner oder die Firewall kompromittiert – Heißt, außer Funktion gesetzt und der erwartete Schutz ist nicht gegeben.
Wenn PC-Welt.de unbedingt auf die Zahl “10″ bei dem goldenen Regeln Wert legt, dann hätte die überbewertete Firewall der Live-CD weichen müssen, da diese in Sachen Online-Banking wesentlich mehr Schutz bietet, als jede installierte Sicherheitssoftware auf dem Rechner.
Auch, wenn die Vorbereitung und Bedienung einer Live-CD dem Anwender mehr Mühe bereitet.

• Datenschutz: Deutscher leitet Bußgeldverfahren gegen Facebook ein
• Experte warnt vor gezielten BGP-Angriffen
• Skypes Verschlüsselungsverfahren teilweise aufgedeckt
• Vertrauen in Online-Banking gesunken
• The Pirate Bay: 4 Millionen Nutzerdatensätze abgegriffen
• Justizministerin will gegen Online-Abzocke vorgehen

• Geolocatoren werden zum Datenschutzproblem
• Sparkassen tragen den Magnetstreifen zu Grabe
• Phishing unter dem Namen von Wikipedia

Das ARD-Magazin Plusminus wird heute Abend um 21:50 Uhr Beweise vorlegen, das man bei dem Abheben mit EC- und Kreditkarten mehr als 3 mal die falsche PIN eingeben kann, und so das Durchprobieren die richtige PIN um ein wesentliches einfacher wird.
Eine Vorschau auf das Thema gibt es hier in der ARD Mediathek.

Update:
Der Link zur Vorschau funktioniert nicht mehr. Wer diese Sendung verpasst hat, der kann sich den Beitrag hier in der Mediathek anschauen.
Weitere Informationen zum Beitrag auf dieser Seite.

Hoax-Info berichtet hier, das verstärkt Kettenbrief-artige Warnungen im Umlauf sind, welche von “Ein-Cent-Überweisungen” warnen.
Weitere Info gibt es hier bei Heise.de zu lesen.

Wie auch immer, solche Kettenbriefe sollten auf keinen Fall weiter geleitet werden.
Die Tatsache, das jemand Geld ungefragt vom Konto abbucht bedeutet nicht, das man es nicht wieder zurück buchen kann.
Details dazu hatte ich Anfang diesen Jahres hier nieder geschrieben.

ChipTAN comfort ist ein neues Verfahren, welches mit Hilfe eines vertrauenswürdigen Geräts Transaktionen im Online-Banking sicher autorisieren soll. Es soll speziell auch gegen Man-in-the-Middle-Angriffe schützen.
In der Praxis gefährden solche Angriffe aktuell Bankkunden, welche das iTAN-Verfahren nutzen. RedTeam Pentesting hat das chipTAN comfort-Verfahren untersucht und konnte zeigen, dass auch beim Einsatz dieses Verfahrens Man-in-the-Middle-Angriffe die Sicherheit
des Online-Bankings gefährden.

Weitere Details auf der Webseite von RedTeam Pentesting.

Nachtrag:
Eben ist mir ein Beitrag auf Planetopia aufgefallen, der genau diese Thematik behandelt.
Das Video auf der Seite sollte man sich auf jeden Fall anschauen.

Über Home-Banking oder Online-Banking hatte ich in der Vergangenheit wenig geschrieben.
Interessanterweise wurde ich vor einigen Tagen von Joachim Lüpges angeschrieben, der auf mein Blog aufmerksam geworden ist. Herr Lüpges hatte mich gebeten, einen Artikel über das Programm VPN-Banking 1.4 zu schreiben, welches er auf der Webseite https://www.vpn-banking.com vertreibt.

Was dieser VPN-Browser zu leisten vermag, ist auf der obigen Webseite erklärt, bzw. hier im Artikel auf typemania.de:

VPN Banking 1.4 lässt Trojaner URLZone beim Online-Banking keine Chance!
URLZone nennt sich ein besonders trickreicher Trojaner, der direkt beim Online-Banking zuschlägt und den Anwendern unbemerkt in die Taschen greift. Der Trojaner der nächsten Generation überweist nur kleine Beträge an die Cybermafia und präsentiert dem Anwender fingierte Belastungsanzeigen. Gegen diese und alle anderen Gefahren beim Online Banking hilft VPN Banking 1.4. Dieser Web-Browser erlaubt eine Internet-Verbindung nur zu freigeschalteten Bankseiten. [...]

Jetzt verhält es sich ja so, das man ein sicheres Home-Banking auch mit kostenlosen Lösungen betreiben kann.
Hier gibt es auf Linux basierende Live-CD’s, mit denen man die Bankgeschäfte von zuhause sicher realisieren kann.
Zum Beispiel:

• c't Helper (38)
• Eraser (38)

Vorteil dieser Lösung ist, das diese Tools kostenlos zu haben sind, und das die Programme auf der Live-CD lediglich im Arbeitsspeicher ausgeführt werden. Ein Zugriff auf die Festplatte wird nicht genommen, was somit sicherstellt, das Home-Banking auch von einem Rechner aus betrieben werden kann, der möglicherweise mehrfach kompromittiert ist.
Der Nachteil ist, das man für eine Home-Banking Sitzung die CD einlegen muss, und den PC neu starten muss. Darüber hinaus kommen nicht alle Windows-Nutzer mit Linux klar und sind mit solchen Live-CD’s überfordert.

Hier mag VPN Banking 1.4 eine Alternative sein. Auch wenn diese Software kostenpflichtig ist, man hat die Möglichkeit diese 14 Tage lang kostenlos zu testen und auf “Herz und Nieren” zu prüfen.