Aufgeschreckt durch Horrormeldungen, dass jetzt Angriffe auf die Nutzer von Online-Banking erfolgreich gestartet wurden, wiegeln Banken ab. "Trojaner klauen Bank-Kunden PINs und TANs" meldet der auf Security spezialisierte Heise-Verlag mit den Magazinen c‘t und iX. Hier wird von erfolgreichen Betrugsversuchen durch "Phishing" (Passwort-Fishing), also Abfischen von PINs und TANs gesprochen, um diese anschließend für Überweisungen auf ein eigenes Konto zu benutzen. Das Magazin Internet World berichtete von einem zunächst erfolgreichen Betrugsversuch über ein Konto der Dresdener Bank. Hier "fischten" sich die Betrüger die PIN und eine TAN eines Bankkunden, der lediglich eine simple Fehlermeldung bekam, dass seine Überweisung nicht erfolgreich war, woraufhin die Verbindung im Internet Explorer unterbrochen wurde. Die Betrüger überwiesen, so das Magazin weiter, anschließend sofort 6.800 Euro auf ein Konto in Lettland. Durch die besondere Aufmerksamkeit bemerkte der Kunde die Transaktion, die dann auf Grund der schnellen Reaktion der Bank rechtzeitig rückgängig gemacht werden konnte - ein Horrorszenario, denn es kann künftig jeden Online-Banking-Nutzer treffen. Wie kann man sich vor diesen Angriffen schützen, die jetzt von Betrügern und Trojanern benutzt werden?
Einen Hundert-Prozent-Schutz gibt es offensichtlich nicht, denn das Installieren von Sicherheits-Updates durch Microsoft und durch Firewalls nutzt dann nichts, wenn neue Trojaner entwickelt werden. Der Schutz gegen solche Eindringlinge hängt immer eine bestimmte Zeit hinterher. Den zur Zeit wirksamsten Schutz beim Online-Banking bietet das HBCI-Verfahren mit Kartenlesegeräten der Sicherheitsklasse 2, die schon für wenig Geld zu haben sind. So bietet die hierzulande auf Security spezialisierte Kobil Systems GmbH aus Worms diese Geräte für knapp 50 Euro an. Der fast 100-prozentige Schutz wird dadurch realisiert, dass alle Daten mit der HBCI-Chipkarte verschlüsselt zum Bankrechner übertragen werden. Somit nutzt das "Abfischen" nichts mehr, denn die Daten sind unlesbar und eignen sich deshalb auch nicht mehr für betrügerische Überweisungen.
Das HBCI-Verfahren kommt ohne TANs aus, sodass Phishing hier überhaupt nicht möglich ist. Stattdessen benötigt der Benutzer hierfür nach der Installation der speziellen Homebanking-Software eine HBCI-Chipkarte seiner Bank und ein Kartenlesegerät, das zur Durchführung der Transaktionen am Rechner angeschlossen sein muss. Auf der Chipkarte ist ein geheimer Schlüssel für die Anmeldung gespeichert. Für die Sicherheit sorgt ein Verschlüsselungsverfahren, bei dem sowohl der Anwender als auch der Bankserver gegenseitig überprüft werden. Außerdem muss der Benutzer die Transaktionen durch die Eingabe seiner Chipkarten-PIN bestätigen, sodass eine gestohlene Chipkarte einem Betrüger nichts nützen würde. Für das mobile HBCI-Homebanking unterwegs gibt es eine handliche Lösung wie den Kobil mIDentity mit einer Chipkarte in der Größe einer SIM-Karte. Ab 2005 wird dieses Gerät über den DG-Verlag den Kunden von Volks- und Raiffeisenbanken als sichere und mobile Alternative zum PIN-/TAN-Verfahren angeboten.
Einen Hundert-Prozent-Schutz gibt es offensichtlich nicht, denn das Installieren von Sicherheits-Updates durch Microsoft und durch Firewalls nutzt dann nichts, wenn neue Trojaner entwickelt werden. Der Schutz gegen solche Eindringlinge hängt immer eine bestimmte Zeit hinterher. Den zur Zeit wirksamsten Schutz beim Online-Banking bietet das HBCI-Verfahren mit Kartenlesegeräten der Sicherheitsklasse 2, die schon für wenig Geld zu haben sind. So bietet die hierzulande auf Security spezialisierte Kobil Systems GmbH aus Worms diese Geräte für knapp 50 Euro an. Der fast 100-prozentige Schutz wird dadurch realisiert, dass alle Daten mit der HBCI-Chipkarte verschlüsselt zum Bankrechner übertragen werden. Somit nutzt das "Abfischen" nichts mehr, denn die Daten sind unlesbar und eignen sich deshalb auch nicht mehr für betrügerische Überweisungen.
Das HBCI-Verfahren kommt ohne TANs aus, sodass Phishing hier überhaupt nicht möglich ist. Stattdessen benötigt der Benutzer hierfür nach der Installation der speziellen Homebanking-Software eine HBCI-Chipkarte seiner Bank und ein Kartenlesegerät, das zur Durchführung der Transaktionen am Rechner angeschlossen sein muss. Auf der Chipkarte ist ein geheimer Schlüssel für die Anmeldung gespeichert. Für die Sicherheit sorgt ein Verschlüsselungsverfahren, bei dem sowohl der Anwender als auch der Bankserver gegenseitig überprüft werden. Außerdem muss der Benutzer die Transaktionen durch die Eingabe seiner Chipkarten-PIN bestätigen, sodass eine gestohlene Chipkarte einem Betrüger nichts nützen würde. Für das mobile HBCI-Homebanking unterwegs gibt es eine handliche Lösung wie den Kobil mIDentity mit einer Chipkarte in der Größe einer SIM-Karte. Ab 2005 wird dieses Gerät über den DG-Verlag den Kunden von Volks- und Raiffeisenbanken als sichere und mobile Alternative zum PIN-/TAN-Verfahren angeboten.
