Sicher bezahlen dank USB-Stick
Artikel erschienen in Swiss IT Magazine 2008/05
Die Sorgen um die Sicherheit des E-Banking sind in den letzten Monaten gestiegen. Zwar konnte die Schweizer Melde- und Analysestelle für Informationssicherung (MELANI) in ihrem letzten Halbjahresbericht Ende Oktober vermelden, dass «klassische» Phishing-Angriffe auf Schweizer Finanzdienste stark abgenommen haben. Bei dieser Art der Angriffe wird der Kunde per Mail aufgefordert, Zugangsdaten für das E-Banking-System einzugeben. Allerdings wird im Bericht auch gleich angefügt, dass dafür erfolgreiche Angriffe mit Malware deutlich zugenommen haben.
Konkret gibt es ganz verschiedene Arten von Attacken durch Malware. Vor allem eine machte aber in letzter Zeit Schlagzeilen, weil sie nur sehr schwer nachzuweisen ist und vor allem aufs Online-Banking abzielt: die «Man-in-the-Middle-Attacke», quasi die Zukunft des Phishing. Durch den Besuch einer infizierten Website kann sich der Benutzer einen Trojaner auf seinen PC oder Mac holen, ohne dass er beispielsweise etwas anklickt oder ohne dass er ein Attachment öffnet. «Um den PC zu infizieren reicht es schon aus, zur falschen Zeit am falschen Ort zu sein», sagt Thomas Avedik, CEO der Schweizer Crealogix E-Banking Solutions AG und ein Experte in Sachen Online-Banking.
Aktiv in Erscheinung tritt der Man-in-the-Middle erst, sobald eine E-Banking- oder eine andere interessante Seite aufgerufen wird. Dann klinkt er sich ein. Dann spielen sich zwei mögliche, bisher bei der MELANI bekannte Szenarien ab: Entweder wird der User auf eine gefälschte Bankenseite umgeleitet oder der Angreifer manipuliert die im Browser angezeigten Daten.
Im ersten Fall bildet der Mann-im-Browser die echte E-Banking-Website der betreffenden Bank quasi nach. Dort gibt der ahnungslose User dann Benutzernamen und Passwort sowie danach das zweite Authentisierungsmerkmal (z.B. eine Streichlistennummer) ein. Beides gelangt so direkt zum Angreifer, der danach dem User eine Fehlermeldung einblenden lässt und sich gleichzeitig mit den erhaltenen Zugangsdaten in Echtzeit bei der richtigen Bankenseite anmeldet und dort sein Unwesen treibt.
Wenn die Malware erst einmal auf den Rechner gelangt ist, dann schützen herkömmliche E-Banking-Systeme, wie erwähnt, also nicht sehr gut vor Man-in-the-Middle-Angriffen. «Viele Banken reagieren deshalb auf diese neue und gefährliche Bedrohung und sind aktuell daran, zumindest den Online-Zahlungsverkehr mit Transaktionssignierungen und Anomaly-Erkennung sicherer zu machen», sagt Thomas Avedik. Mit solchen Massnahmen kann zumindest die Plünderung des Kontos erschwert werden. Aber: Der Schutz der persönlichen Informationen (zum Beispiel die Höhe des Kontostandes) ist damit noch nicht gewährleistet.
Natürlich gibt es aber bereits auch neue, sicherere Lösungen fürs E-Banking, die den aktuellen Bedrohungen Rechnung tragen. Eine davon hat die Migros Bank Mitte Januar dieses Jahres vorgestellt. Als erste Schweizer Bank wird man Mitte Jahr sämtlichen Benutzern des M-BancNet einen USB-Stick zusenden, der das bisherige zweistufige Login-Verfahren ablöst.
Das neue System trägt den Namen M-IDentity und besteht aus einem USB-Stick sowie einer Chipkarte im SIM-Karten-Format mit PIN-Code. Der USB-Stick, der von der deutschen Firma Kobil Systems stammt, enthält einen eigens entwickelten Webbrowser. Dieser startet beim Einstecken des Sticks in den USB-Slot des Rechners automatisch und navigiert den User direkt auf die voreingestellte E-Banking-Plattform. Alles läuft also direkt auf dem Stick ab, ohne dass man auf irgendwelche, eventuell infizierte Ressourcen des Rechners zugreifen muss.
Zusätzliche Sicherheit bietet die Chipkarte, auf der sich ein kundenspezifisches PKI-Zertifikat befindet. Erst wenn sie eingelegt wird, ist der USB-Stick funktionsfähig. Um den Zutritt ins M-BancNet zu erhalten, muss sich der Benutzer zudem über einen nur ihm bekannten PIN-Code ausweisen.
Die «USB-Stick-Browser-Lösung» wird heute in Anbetracht der aktuellen Bedrohungslage von vielen Experten als ein erfolgsversprechendes E-Banking-System angesehen. Diese Lösung wird von Kobil in Deutschland seit 2005 eingesetzt. Erster grosser Kunde ist seit 2007 die Commerzbank, die die neue Technologie für ihre Firmenkunden anwendet. Die Erfahrungen sind dabei durchwegs positiv. Zudem laufen, laut Ömer Izci, Marketing-Manager bei Kobil, mit der Migros Bank zusammen bereits Pilot-Tests mit positiver Resonanz.
Da bei der Migros Bank die Kunden Privatpersonen sein werden und nicht wie bisher beispielsweise bei der Commerzbank Firmenkunden, zählt für das neue System neben einer höchstmöglichen Sicherheit und überschaubaren Kosten (M-IDentity wird kostenlos sein) natürlich die Benutzerfreundlichkeit etwas mehr. Bei der Migros Bank ist man laut Pressesprecher Albert Steck davon überzeugt, dass M-IDentity einfach zu bedienen sein wird. Dafür spricht auch, dass der USB-Stick mit allen wichtigen Betriebssystemen wie Windows, Linux oder MacOS X benutzt werden kann.
Beim Schweizer E-Banking-Spezialisten Crealogix sind aktuell ähnliche innovative Lösungen in Entwicklung respektive bereits in der Zertifizierungsphase. Ein solches Produkt ist der USB Smart-Token.
Das Herzstück der E-Banking-USB-Sticks ist deren Browser, der sich in einer Read-Only-Area befindet. Er ist es, der eigentlich neben der physikalischen Trennung vom Rechner vor dem Man-in-the-Middle schützt. Zum Einsatz kommen hier spezielle Browser. Die Migros Bank, beziehungsweise Kobil, nutzt mit ihrem System einen eigens konzipierten Browser. Aus Sicherheitsgründen möchten sie nicht mehr dazu verraten.
Etwas auskunftsfreudiger ist man da bei Crealogix: Hier handelt es sich beim Browser um eine spezifische Weiterentwicklung auf Basis der Mozilla Core Engine. Zu seinen speziellen Sicherheitsfunktionen gehört, dass er keine Extensions erlaubt (keine BHOs, kein Active-X, kein Java, keine Plug-ins), keine externen Zugriffsmöglichkeiten bietet, eine enge Verknüpfung mit dem kryptografischen Subsystem hat und dass keine Compiler-Symbole verfügbar sind, um eine Attacke zu führen. Zudem verfügt er zusätzlich über einen Binär-Schutzmechanismus, eine verschlüsselte Ausführungsdatei.
Noch ist von anderen Schweizer Banken nicht bekannt, wann und ob sie ihr E-Banking auch updaten. Auf Anfrage hiess es beispielsweise bei der UBS nur, dass man sicherheitstechnische Optimierungsmöglichkeiten beim Zugang zum E-Banking-Portal laufend prüfe. Über konkrete Pläne oder Einführungen gab es keine Infos. Interessanterweise kommt bei der UBS bereits seit einiger Zeit Kobils USB-Stick mIDentity zum Einsatz. Allerdings nicht als E-Banking-Tool, sondern als sicherer, mobiler Datensafe.
«Klar ist, dass eine USB-Stick-Lösung teurer ist als die bestehenden Authentisierungslösungen», sagt Thomas Avedik. Denn zu den einmaligen Kosten (USB-Stick, Software auf dem Stick, Roll-out-Kosten etc.) kommen laut ihm auch noch Kosten für den verlässlichen Support und das regelmässige Updaten der USB-Sticks.
Weitere und andere Entwicklungen im Bereich des E-Banking gibt es natürlich auch: Gearbeitet und ausprobiert werden von Banken zurzeit zum Beispiel ausgefeiltere Verschlüsselungsmechanismen und Flash-Player-basierende Mechanismen. Das Ziel all dieser Bestrebungen ist es, einen ebenso einfachen wie sicheren Zugang zum E-Banking realisieren zu können.
Die meisten E-Banking-Kunden in der Schweiz sind aktuell punkto Zugang also nicht gross vor Man-in-the-Middle-Attacken geschützt. Sie sollten daher unbedingt die erhaltenen Verhaltensregeln der Banken oder die der MELANI (siehe Kasten oben) beachten. Wichtig ist, dass Unregelmässigkeiten umgehend aufhorchen und zum Handeln veranlassen.
1) Schützen Sie Ihren Computer: Mit einer aktuellen Antiviren-Software, einer Firewall sowie regelmässigen Software-Updates können Sie einen wichtigen Grundstein für einen sicheren Computer und damit für ein sicheres E-Banking legen.
2) Pflegen Sie einen wachsamen Umgang während der E-Banking-Sitzung: Wenden Sie sich bei Unregelmässigkeiten und ungewohnten Vorgängen bei Ihrer E-Banking-Sitzung sofort an Ihre Bank. Dazu zählt beispielsweise eine ungewohnte Fehlermeldung, das Erscheinen von Pop-up-Fenstern und dergleichen.
3) Befolgen Sie gewisse Verhaltensregeln: Neben technischen Massnahmen, die wesentlich zum Schutz Ihres Computers beitragen, sind gewisse Verhaltensregeln zwingend erforderlich. Misstrauen Sie E-Mails von Absendern, die Sie nicht kennen. Seien Sie vorsichtig beim Öffnen von E-Mail-Anhängen oder beim Anklicken von Links. Misstrauen Sie einem E-Mail lieber einmal zu viel als einmal zu wenig.