Alle Jahre wieder: Trojaner im Online-Banking
Christian Koch und Dr. Klaus H. Schmidt, Consultants der secaron AG in Hallbergmoos (www.secaron.com)
Einleitung
Nach dem Zusammenbruch der übertriebenen Technologieeuphorie der letzten Jahre steht nun die Kundenbindung wieder im Vordergrund der IT-Aktivitäten von Banken. Trotzdem zeigt sich, dass in Zukunft Applikationen auf Basis von Internettechnologien vorherrschend sein werden. Internetnutzer sind allerdings verwöhnter geworden. Sie erwarten von einem Informations- oder sogar Bankportal neben der Integration der klassischen Vertriebswege über Büros, Filialen bzw. Niederlassungen oder den Postweg mittlerweile auch den direkten Online-Zugang zu den Geschäftsinformationen und -applikationen – und dies rund um die Uhr von jedem Ort der Welt und möglichst umsonst. Daneben werden der Informationsaustausch und die Kommunikation von Banken mit ihren Kunden, Geschäftspartnern, Lieferanten und Mitarbeitern heutzutage in zunehmendem Maße über Internet, Extranet und Intranet abgewickelt. Dabei haben die Banken gegenüber anderen Branchen einen Wettbewerbsvorteil, da der direkte Geschäftsabschluss (Auftrag) über das Internet ja im Online-Banking praktisch schon ein Standardprodukt einer Bank darstellt. Leider kommt das Online-Banking regelmäßig in den Medien in Verruf , da einerseits immer wieder Nachlässigkeiten im Betrieb und der Wartung dieser Systeme nachgewiesen werden können und andererseits Viren und Trojaner das Online-Banking auch von der Kundenseite her bedrohen. Allerdings, so soll dieser Artikel aufzeigen, kann hier eine umfassende Lösung nur durch Sensibilisierung der Kunden und nicht alleine durch Einsatz von Sicherheitstechnologien erreicht werden.
Ein hohes Sicherheitsniveau muss erreicht werden
Der direkte Zugang des Nutzers zu den Bankdaten und –systemen von jedem Ort und zu jeder Zeit – teilweise ohne manuelle Kontrolle und Freigabe – birgt hohe Risiken im Hinblick auf einen möglichen Missbrauch. Einem strikten Zugriffsschutz sowie der Überwachung des Datenstroms kommen besondere Bedeutung zu.
Um das erforderliche Sicherheitsniveau zu erreichen ist das Zusammenspiel mehrerer Schutzmechanismen erforderlich.
Zunächst muss sichergestellt werden, dass lediglich berechtigte Nutzer das Internet-System ansprechen können. Für diese Authentifizierung der Benutzer stehen heutzutage drei anerkannte, grundlegende Verfahren zur Verfügung: Die Nutzung von Benutzernamen oder Kontonummer und PIN aus dem PIN/TAN-Verfahren ist am weitesten verbreitet. Die zweite Variante ist die Verwendung von digitaler Signatur und Zertifikaten für die Authentifizierung der Benutzer. Die Zertifikate selbst können beim Anwender als Softtoken oder als Hardtoken auf SmartCard bzw. USB-Token vorliegen. Im Vergleich zu statischen Passwörtern sind Zertifikate als eine der sichersten Methoden zur Authentifizierung einzustufen, insbesondere falls mittels Einsatz von Hardtokens eine 2-Faktor-Authentifizierung auf der Basis von Wissen (PIN) und Besitz (Hardtoken) realisiert wurde. Zertifikate bieten durch ihre mittlerweile weitverbreitete Unterstützung in Standardkomponenten, wie z. B. Web- und Applikationsservern, auch die Möglichkeit zum sicheren, komfortablen und kostengünstigen Single-Sign-On. Eine weitere Art der Authentifizierung, die allerdings eher selten verwendet wird, ist die Nutzung von Challenge-Response-Verfahren.
Alle Daten werden mittels SSL/TLS und starken Verschlüsselungsverfahren auf der Übertragungsstrecke zwischen Webbrowser und Webserver gesichert. Weiterhin kann durch die Kenntnis des aktuellen Benutzers nach der Authentifizierung eine Personalisierung der nachfolgenden Dienstleistungen erfolgen.
Viren und Trojaner – Eine ständige Gefahr aus dem Internet
Je mehr Vertriebswege und Verbindungen zu Kunden genutzt werden, desto wichtiger ist die Sicherheit des gesamten Netzwerkes. Dabei sind nicht nur die Verbindungen zum Internet ein kritischer Punkt, sondern auch jede Anbindung zu anderen Unternehmen. Firmenintern können Zugriffsrechte der Systeme und die Möglichkeiten von Fremdsoftware auf dem eigenen Rechner durch Policies geregelt werden. Ein zentrales Benutzer- und Autorisationsmanagement für die verschiedensten Systeme erleichtert diese Aufgaben.
Eine oft unterschätzte und ständige Gefahr aus dem Internet sind Viren und Trojaner. Als Trojaner bezeichnet man Programme, die sich auf einem System installieren, um den Rechner auszuspionieren. Je nach Funktionalität, hat ein Angreifer mit Hilfe eines Trojaners die komplette Kontrolle über den Rechner. Viren und Trojaner können zum Beispiel über E-Mails oder über unerlaubt installierte Programme ins bankinterne Netzwerk gelangen. Für eine Bank empfiehlt sich der Einsatz von Virengateways, die den gesamten Datenverkehr filtern. Problematisch bleibt hierbei, wenn zum Beispiel der Abruf privater E-Mails über freie E-Maildienste im Internet gestattet ist. Teilweise bieten diese Dienste den Service einer verschlüsselten SSL-Verbindung zum eigenen Postfach an. Die Daten dieser Verbindung können aufgrund der Verschlüsselung nicht von einem Virengateway überprüft werden. Lokale Virenscanner sind deshalb als weitere Maßnahme weiterhin unabdingbar, da organisatorische Anweisungen an die Mitarbeiter nur begrenzt erfolgreich sind.
Virengateways und -scanner können ihren Dienst nur wirkungsvoll erfüllen, wenn die aktuellen Virenpattern eingespielt sind. Ein Update sollte deshalb bei großen Installationen immer aktuell durchgeführt werden.
Gerade bei Verbindungen zu andern Firmen stellt sich natürlich schnell die Frage: Können Viren aus angrenzenden Netzen in mein Netzwerk übergreifen? - Bei einer direkten Verbindung ohne Firewall sicherlich schon. Deshalb ist dieser Datenverkehr genauso sensibel zu behandeln wie Daten aus dem Internet. Für diese Verbindungen sollten deshalb nur die benötigten Netzwerkservices und Protokolle freigeschaltet sein.
Ein ähnlicher Ansatzpunkt sind externe Mitarbeiter. Wissen Sie was auf den Rechnern externer Mitarbeiter, die eine direkte Verbindung zu Ihrem lokalen Netzwerk haben, installiert ist? – Im Zweifelsfall nicht. Es empfiehlt sich nur Notebooks einzusetzen, die von Ihren Administratoren zentral gemanaged werden können.
Der größte Angriffspunkt für Viren und Trojaner sind aber nicht die firmeninternen Rechner, sondern eher die Systeme der privaten Benutzer. Diese Rechner sind über die Provider zumeist ungeschützt mit dem Internet verbunden. Virenscanner gehören selten zur Grundinstallation auf den Rechnern. Ein Trojaner der Kontendaten und PIN eines Online-Banking-Systems ausspäht, bedeutet für die betroffene Bank einen hohen Imageschaden. Beim Design der Clientkomponenten ist deshalb besonders darauf zu achten, dass Trojaner und Viren keine Angriffspunkte haben. Alle Standardverfahren, bei denen Daten über die Tastatur des Computers eingegeben werden, sind durch Trojaner angreifbar. Selbst der Einsatz von digitaler Signatur mit Smartcards und Klasse-1-Lesern, bei denen die PIN über die Tastatur des Rechners eingegeben wird, bringt alleine keinen Schutz vor Trojanern. Die einzig empfehlenswerte Variante zur Absicherung von geschäftskritischen Transaktionen ist der Einsatz von zertifizierten Klasse-3-Lesern, bei denen die PIN bei jeder Transaktion direkt auf einer eigenen Tastatur am Lesegerät eingegeben werden muss. Ein Ausspionieren mittels Trojanern vom Kundenrechner aus ist dabei nicht möglich.
Auch behandeln Kunden ihre Smartcards oft nicht sensibel genug. Bleiben die Karten im Leser kann so ein Trojaner bei Kenntnis der PIN ohne Willenserklärung des Kunden eine Transaktion ausführen. Das PINs natürlich nicht an anderer Stelle vermerkt werden sollten, ist ja auch schon aus der klassischen Welt der ec- und Kreditkarten bekannt.
Sicherheitsmaßnahmen des IT-Grundschutzes sind selbstverständlich
Bei all diesen Sicherheitsmaßnahmen auf Applikationsebene darf nicht vergessen werden, dass dabei die Netzwerksicherheit als Grundschutz vorausgesetzt wird.
Webserver, Applikationsserver und Geschäftsapplikation im Hintergrund sind durch wohldefinierte Schnittstellen und geschützt durch ein mehrstufiges Firewallsystem voneinander zu trennen. Auf dem öffentlich ansprechbaren Teil des Systems erfolgt prinzipiell keine Datenverarbeitung und -haltung, er fungiert lediglich als „virtuelles Unternehmenstor“. Alle sicherheitsrelevanten Systeme müssen als „Minimalsysteme“ konzipiert sein, d. h. es laufen jeweils nur die Programme und Funktionen, die unbedingt erforderlich sind.
Abgerundet werden die Sicherheitsmaßnahmen durch den Einsatz einer umfangreichen Echtzeitüberwachung. Alle relevanten Server und Netzwerkkomponenten sollten durch „Integritätschecker“ vor unbefugten Veränderungen abgesichert werden. Sinnvoll ist die Zusammenführung aller sicherheitsrelevanten Meldungen in einem zentralen Monitoring System. Ergänzt werden sollte dieses Überwachungssystem durch ein Intrusion Detection System (IDS), welches zusätzlich Angriffe bereits im Vorfeld erkennen kann. Es kann so rund um die Uhr der Sicherheitsstatus der gesamten Applikation überprüft und bei Unregelmäßigkeiten Alarm geschlagen werden.
Fazit
Kundenservice bedeutet heute neben dem klassischen Vertriebsweg über Filialen, Büros und Niederlassungen, vor allem auch Kunden, Partner, Lieferanten und Mitarbeiter über eine integrierte Web-Schnittstelle auf die Vielzahl unterschiedlicher Geschäftsinformationen und -prozesse zugreifen zu lassen bzw. entsprechende Informationen über das Internet auszutauschen und schließlich sogar Geschäfte zu tätigen – und dies komfortabel, von jedem Ort und zu jeder Zeit. Damit wird eine langfristige Kundenbindung ermöglicht.
Durch den Zugriff auf Bankapplikationen über das Internet ist ein erhöhtes Missbrauchsrisiko gegeben. Sicherheit ist dabei kein Luxus, sondern Grundvoraussetzung. Die Sensibilisierung der Kunden für die Sicherheitsfaktoren und die möglichen Risiken ist unabdingbar. Durch den Einsatz moderner Technologien, wie dem Einsatz digitaler Signaturen mit zertifizierten SmartCards und Klasse-3-Lesegeräten, kann das Risiko des Missbrauchs, vor allem durch Trojaner, minimiert werden. Einen vollständigen Schutz der Systeme wird es allerdings nie geben. Kunden müssen vor allem auch das notwendige Bewusstsein für die Gefahren aus dem Internet entwickeln und bereit sein ihr Verhalten anzupassen und in Sicherheitstechniken, wie z.B. Virenscanner zu investieren, um weitestgehend risikofrei im Internet Geschäfte tätigen zu können.
Die Autoren sind Consultants der secaron AG (Hallbergmoos). Mit ihren vier Dienstleistungssparten secure e.commerce, e.security solutions, secure applications und secure networks bietet das Unternehmen ein umfassendes Dienstleistungsportofolio auf dem Gebiet der IT-Sicherheit an. Oberstes Ziel ist es, zusammen mit dem Kunden Schutzmaßnahmen umzusetzen, die es erlauben, die aktuellen Risiken der modernen Informationstechnik zu meistern.
Kontaktadresse:
secaron AG
Sabine Ziegler
Ludwigstr. 55 85399 Hallbergmoos
Telefon 0811-9594 140 Telefax 0811-9594 220
E-Mail: ziegler@secaron.com
www.secaron.com
Christian Koch und Dr. Klaus H. Schmidt, Consultants der secaron AG in Hallbergmoos (www.secaron.com)
Einleitung
Nach dem Zusammenbruch der übertriebenen Technologieeuphorie der letzten Jahre steht nun die Kundenbindung wieder im Vordergrund der IT-Aktivitäten von Banken. Trotzdem zeigt sich, dass in Zukunft Applikationen auf Basis von Internettechnologien vorherrschend sein werden. Internetnutzer sind allerdings verwöhnter geworden. Sie erwarten von einem Informations- oder sogar Bankportal neben der Integration der klassischen Vertriebswege über Büros, Filialen bzw. Niederlassungen oder den Postweg mittlerweile auch den direkten Online-Zugang zu den Geschäftsinformationen und -applikationen – und dies rund um die Uhr von jedem Ort der Welt und möglichst umsonst. Daneben werden der Informationsaustausch und die Kommunikation von Banken mit ihren Kunden, Geschäftspartnern, Lieferanten und Mitarbeitern heutzutage in zunehmendem Maße über Internet, Extranet und Intranet abgewickelt. Dabei haben die Banken gegenüber anderen Branchen einen Wettbewerbsvorteil, da der direkte Geschäftsabschluss (Auftrag) über das Internet ja im Online-Banking praktisch schon ein Standardprodukt einer Bank darstellt. Leider kommt das Online-Banking regelmäßig in den Medien in Verruf , da einerseits immer wieder Nachlässigkeiten im Betrieb und der Wartung dieser Systeme nachgewiesen werden können und andererseits Viren und Trojaner das Online-Banking auch von der Kundenseite her bedrohen. Allerdings, so soll dieser Artikel aufzeigen, kann hier eine umfassende Lösung nur durch Sensibilisierung der Kunden und nicht alleine durch Einsatz von Sicherheitstechnologien erreicht werden.
Ein hohes Sicherheitsniveau muss erreicht werden
Der direkte Zugang des Nutzers zu den Bankdaten und –systemen von jedem Ort und zu jeder Zeit – teilweise ohne manuelle Kontrolle und Freigabe – birgt hohe Risiken im Hinblick auf einen möglichen Missbrauch. Einem strikten Zugriffsschutz sowie der Überwachung des Datenstroms kommen besondere Bedeutung zu.
Um das erforderliche Sicherheitsniveau zu erreichen ist das Zusammenspiel mehrerer Schutzmechanismen erforderlich.
Zunächst muss sichergestellt werden, dass lediglich berechtigte Nutzer das Internet-System ansprechen können. Für diese Authentifizierung der Benutzer stehen heutzutage drei anerkannte, grundlegende Verfahren zur Verfügung: Die Nutzung von Benutzernamen oder Kontonummer und PIN aus dem PIN/TAN-Verfahren ist am weitesten verbreitet. Die zweite Variante ist die Verwendung von digitaler Signatur und Zertifikaten für die Authentifizierung der Benutzer. Die Zertifikate selbst können beim Anwender als Softtoken oder als Hardtoken auf SmartCard bzw. USB-Token vorliegen. Im Vergleich zu statischen Passwörtern sind Zertifikate als eine der sichersten Methoden zur Authentifizierung einzustufen, insbesondere falls mittels Einsatz von Hardtokens eine 2-Faktor-Authentifizierung auf der Basis von Wissen (PIN) und Besitz (Hardtoken) realisiert wurde. Zertifikate bieten durch ihre mittlerweile weitverbreitete Unterstützung in Standardkomponenten, wie z. B. Web- und Applikationsservern, auch die Möglichkeit zum sicheren, komfortablen und kostengünstigen Single-Sign-On. Eine weitere Art der Authentifizierung, die allerdings eher selten verwendet wird, ist die Nutzung von Challenge-Response-Verfahren.
Alle Daten werden mittels SSL/TLS und starken Verschlüsselungsverfahren auf der Übertragungsstrecke zwischen Webbrowser und Webserver gesichert. Weiterhin kann durch die Kenntnis des aktuellen Benutzers nach der Authentifizierung eine Personalisierung der nachfolgenden Dienstleistungen erfolgen.
Viren und Trojaner – Eine ständige Gefahr aus dem Internet
Je mehr Vertriebswege und Verbindungen zu Kunden genutzt werden, desto wichtiger ist die Sicherheit des gesamten Netzwerkes. Dabei sind nicht nur die Verbindungen zum Internet ein kritischer Punkt, sondern auch jede Anbindung zu anderen Unternehmen. Firmenintern können Zugriffsrechte der Systeme und die Möglichkeiten von Fremdsoftware auf dem eigenen Rechner durch Policies geregelt werden. Ein zentrales Benutzer- und Autorisationsmanagement für die verschiedensten Systeme erleichtert diese Aufgaben.
Eine oft unterschätzte und ständige Gefahr aus dem Internet sind Viren und Trojaner. Als Trojaner bezeichnet man Programme, die sich auf einem System installieren, um den Rechner auszuspionieren. Je nach Funktionalität, hat ein Angreifer mit Hilfe eines Trojaners die komplette Kontrolle über den Rechner. Viren und Trojaner können zum Beispiel über E-Mails oder über unerlaubt installierte Programme ins bankinterne Netzwerk gelangen. Für eine Bank empfiehlt sich der Einsatz von Virengateways, die den gesamten Datenverkehr filtern. Problematisch bleibt hierbei, wenn zum Beispiel der Abruf privater E-Mails über freie E-Maildienste im Internet gestattet ist. Teilweise bieten diese Dienste den Service einer verschlüsselten SSL-Verbindung zum eigenen Postfach an. Die Daten dieser Verbindung können aufgrund der Verschlüsselung nicht von einem Virengateway überprüft werden. Lokale Virenscanner sind deshalb als weitere Maßnahme weiterhin unabdingbar, da organisatorische Anweisungen an die Mitarbeiter nur begrenzt erfolgreich sind.
Virengateways und -scanner können ihren Dienst nur wirkungsvoll erfüllen, wenn die aktuellen Virenpattern eingespielt sind. Ein Update sollte deshalb bei großen Installationen immer aktuell durchgeführt werden.
Gerade bei Verbindungen zu andern Firmen stellt sich natürlich schnell die Frage: Können Viren aus angrenzenden Netzen in mein Netzwerk übergreifen? - Bei einer direkten Verbindung ohne Firewall sicherlich schon. Deshalb ist dieser Datenverkehr genauso sensibel zu behandeln wie Daten aus dem Internet. Für diese Verbindungen sollten deshalb nur die benötigten Netzwerkservices und Protokolle freigeschaltet sein.
Ein ähnlicher Ansatzpunkt sind externe Mitarbeiter. Wissen Sie was auf den Rechnern externer Mitarbeiter, die eine direkte Verbindung zu Ihrem lokalen Netzwerk haben, installiert ist? – Im Zweifelsfall nicht. Es empfiehlt sich nur Notebooks einzusetzen, die von Ihren Administratoren zentral gemanaged werden können.
Der größte Angriffspunkt für Viren und Trojaner sind aber nicht die firmeninternen Rechner, sondern eher die Systeme der privaten Benutzer. Diese Rechner sind über die Provider zumeist ungeschützt mit dem Internet verbunden. Virenscanner gehören selten zur Grundinstallation auf den Rechnern. Ein Trojaner der Kontendaten und PIN eines Online-Banking-Systems ausspäht, bedeutet für die betroffene Bank einen hohen Imageschaden. Beim Design der Clientkomponenten ist deshalb besonders darauf zu achten, dass Trojaner und Viren keine Angriffspunkte haben. Alle Standardverfahren, bei denen Daten über die Tastatur des Computers eingegeben werden, sind durch Trojaner angreifbar. Selbst der Einsatz von digitaler Signatur mit Smartcards und Klasse-1-Lesern, bei denen die PIN über die Tastatur des Rechners eingegeben wird, bringt alleine keinen Schutz vor Trojanern. Die einzig empfehlenswerte Variante zur Absicherung von geschäftskritischen Transaktionen ist der Einsatz von zertifizierten Klasse-3-Lesern, bei denen die PIN bei jeder Transaktion direkt auf einer eigenen Tastatur am Lesegerät eingegeben werden muss. Ein Ausspionieren mittels Trojanern vom Kundenrechner aus ist dabei nicht möglich.
Auch behandeln Kunden ihre Smartcards oft nicht sensibel genug. Bleiben die Karten im Leser kann so ein Trojaner bei Kenntnis der PIN ohne Willenserklärung des Kunden eine Transaktion ausführen. Das PINs natürlich nicht an anderer Stelle vermerkt werden sollten, ist ja auch schon aus der klassischen Welt der ec- und Kreditkarten bekannt.
Sicherheitsmaßnahmen des IT-Grundschutzes sind selbstverständlich
Bei all diesen Sicherheitsmaßnahmen auf Applikationsebene darf nicht vergessen werden, dass dabei die Netzwerksicherheit als Grundschutz vorausgesetzt wird.
Webserver, Applikationsserver und Geschäftsapplikation im Hintergrund sind durch wohldefinierte Schnittstellen und geschützt durch ein mehrstufiges Firewallsystem voneinander zu trennen. Auf dem öffentlich ansprechbaren Teil des Systems erfolgt prinzipiell keine Datenverarbeitung und -haltung, er fungiert lediglich als „virtuelles Unternehmenstor“. Alle sicherheitsrelevanten Systeme müssen als „Minimalsysteme“ konzipiert sein, d. h. es laufen jeweils nur die Programme und Funktionen, die unbedingt erforderlich sind.
Abgerundet werden die Sicherheitsmaßnahmen durch den Einsatz einer umfangreichen Echtzeitüberwachung. Alle relevanten Server und Netzwerkkomponenten sollten durch „Integritätschecker“ vor unbefugten Veränderungen abgesichert werden. Sinnvoll ist die Zusammenführung aller sicherheitsrelevanten Meldungen in einem zentralen Monitoring System. Ergänzt werden sollte dieses Überwachungssystem durch ein Intrusion Detection System (IDS), welches zusätzlich Angriffe bereits im Vorfeld erkennen kann. Es kann so rund um die Uhr der Sicherheitsstatus der gesamten Applikation überprüft und bei Unregelmäßigkeiten Alarm geschlagen werden.
Fazit
Kundenservice bedeutet heute neben dem klassischen Vertriebsweg über Filialen, Büros und Niederlassungen, vor allem auch Kunden, Partner, Lieferanten und Mitarbeiter über eine integrierte Web-Schnittstelle auf die Vielzahl unterschiedlicher Geschäftsinformationen und -prozesse zugreifen zu lassen bzw. entsprechende Informationen über das Internet auszutauschen und schließlich sogar Geschäfte zu tätigen – und dies komfortabel, von jedem Ort und zu jeder Zeit. Damit wird eine langfristige Kundenbindung ermöglicht.
Durch den Zugriff auf Bankapplikationen über das Internet ist ein erhöhtes Missbrauchsrisiko gegeben. Sicherheit ist dabei kein Luxus, sondern Grundvoraussetzung. Die Sensibilisierung der Kunden für die Sicherheitsfaktoren und die möglichen Risiken ist unabdingbar. Durch den Einsatz moderner Technologien, wie dem Einsatz digitaler Signaturen mit zertifizierten SmartCards und Klasse-3-Lesegeräten, kann das Risiko des Missbrauchs, vor allem durch Trojaner, minimiert werden. Einen vollständigen Schutz der Systeme wird es allerdings nie geben. Kunden müssen vor allem auch das notwendige Bewusstsein für die Gefahren aus dem Internet entwickeln und bereit sein ihr Verhalten anzupassen und in Sicherheitstechniken, wie z.B. Virenscanner zu investieren, um weitestgehend risikofrei im Internet Geschäfte tätigen zu können.
Die Autoren sind Consultants der secaron AG (Hallbergmoos). Mit ihren vier Dienstleistungssparten secure e.commerce, e.security solutions, secure applications und secure networks bietet das Unternehmen ein umfassendes Dienstleistungsportofolio auf dem Gebiet der IT-Sicherheit an. Oberstes Ziel ist es, zusammen mit dem Kunden Schutzmaßnahmen umzusetzen, die es erlauben, die aktuellen Risiken der modernen Informationstechnik zu meistern.
Kontaktadresse:
secaron AG
Sabine Ziegler
Ludwigstr. 55 85399 Hallbergmoos
Telefon 0811-9594 140 Telefax 0811-9594 220
E-Mail: ziegler@secaron.com
www.secaron.com
