Kontoführung per Chipkarte
Sicheres Online-Banking

Elektronisches BezahlenKomponentenMarketingNetzwerkeWorkspace

Seit erste Fälle von erfolgreichen Angriffen per Wurmattacke auf Privatkonten bekannt sind, ist klar: Finanzverwaltung per Browser ist ein Risiko. Nur Chipkarten der Banken schließen die Lücken. Bankingmit HBCI ist sicher.

Passwort-Klau

Kontoführung per Chipkarte

Phishing, auch Password Fishing, war in letzter Zeit ein großes Thema in den Medien. Kunden von Ebay, aber auch von Paypal oder Banken bekamen E-Mails, in denen sie aufgefordert wurden, sich einzuloggen. Die Gründe dafür sind häufig an den Haaren herbeigezogen: Eine E-Mail im Look des Auktionshauses Ebay informierte beispielsweise über einen Wasserrohrbruch im Rechenzentrum. Deswegen seien unter anderem die Logindaten der Benutzer beschädigt worden. Nur wer sich innerhalb von acht Stunden auf einer bestimmten Seite einlogge, könne seinen Account retten so die Mail.

Alles erstunken und erlogen. Wer dem Link in der Nachricht folgte, kam auf eine Seite mit der Optik von Ebay; allerdings auf einem anderen Server und ohne Ebays Wissen. Nach Eingabe von Benutzernamen und Passwort scheint für den User wieder alles zu sein wie vorher. Dass die Logindaten nun auch in den Händen von Betrügern sind, fällt erst später auf wenn Kosten entstehen, etwa für nicht selbst gekaufte Ware.

Banken mit sicherem
Onlinebanking


Vorsicht Geldverlust

Kontoführung per Chipkarte

Was bei Ebay ärgerlich ist und zu Unannehmlichkeiten führen kann, bedeutet beim Online-Banking unter Umständen eine finanzielle Katastrophe. E-Mails mit Loginaufruf sollte man mit größter Skepsis lesen und eventuell bei der Bank nachfragen. Aber durch Einsetzen des gesunden Menschenverstands und genaues Lesen ist ein Phishing-Angriff leicht zu vermeiden.

Greifen die Betrüger allerdings in die Trickkiste der Hacker, helfen nur alternative Browser, ein gepatchtes Windows sowie Firewall und Virenscanner mit aktuellen Signaturen. Der Trojaner Bizex.E hat erstmals relevante Daten von Bankingverbindungen bei einer laufenden Transaktion sichern und an seinen Programmierer senden können, der prompt eine Auslandsüberweisung durchgeführt hat.


Schnelligkeit hilft

Kontoführung per Chipkarte

Nur weil das Betrugsopfer schnell genug reagiert hat, konnte die Transaktion gestoppt werden. Denn ist das Geld einmal beim Empfänger beziehungsweise außerhalb des deutschen Gironetzes, sind Rückbuchungen selbst bei solchen Fällen nicht mehr möglich.
Um so etwas zu verhindern, setzt etwa die Postbank auf ablaufende TANs. Per SMS erreichen sie den Kontoinhaber und sind jeweils nur wenige Minuten gültig.

Doch nahezu alle Geldinstitute bieten mit HBCI eine nach dem Stand der Technik sichere Homebankingmöglichkeit. Software und Chipkarte ersetzen die TAN-Listen. Wer eine Überweisung durchführen möchte, kann offline in komfortabler Umgebung sämtliche relevanten Daten eingeben. Somit ist es auch möglich, mehrere Überweisungen zur gleichen Zeit einzugeben und auf dem lokalen Rechner zwischenzuspeichern. Sollen die Transaktionen durchgeführt werden, muss man die eigene HBCI-Karte, die es für eine geringe Gebühr bei der Bank gibt, in einen mit dem PC verbundenen Smartcard-Leser stecken. Die Software fordert dann zur Eingabe der Karten-PIN auf und stellt nach korrekter Eingabe eine verschlüsselte Verbindung zur Bank her.

Vorsicht: Wird bereits beim Login nach einer TAN gefragt, stimmt etwas nicht.


Smartcard-Leser

Kontoführung per Chipkarte

Je nach Smartcard-Leser ist die PIN auf der PC-Tastatur oder auf der lesereigenen Tastatur einzugeben. Sicherer ist natürlich eine explizite integrierte Tastatur, denn nur so kann kein Trojaner die Geheimnummer abfangen. Da sich aber die Karte für eine Transaktion im Leser befinden muss, ist auch ein günstiger Reader der Klasse 1 ohne eigene Zehnertastatur deutlich sicherer als das klassische PIN/TAN-Verfahren.

Etwas trickreich ist lediglich die Konfiguration der Software. Allerdings gibt es in der Regel eine sehr gute und verständliche Konfigurationsanleitung zur Karte die aber nur auf die von der eigenen Bank empfohlenen Software passt, etwa Star Money bei der Sparkasse. Das Anpassen der Einstellungen auf andere Programme, etwa das kostenlose Alfbanco, ist aber kein großes Problem. Wenn es trotzdem klemmt, hilft Google.

Tipp: Auf den Webseiten der Banken gibt es lesenswerte Tipps zur Sicherheit.


Home-Banking-Computer-Interface

Kontoführung per Chipkarte

Üblicherweise setzt HBCI Chipkarte und Software voraus. Die Smartcard speichert den eigenen privaten und öffentlichen Schlüssel sowie den öffentlichen Schlüssel der Bank.

Diese Informationen sind die Grundlage für das verwendete RSA-Verschlüsselungsverfahren. Das eingesetzte Banking-Programm sichert jede Transaktion mit dem eigenen privaten und dem öffentlichen Schlüssel der Bank. Außerdem signiert es die dann angefallenen Daten noch.

Nur die Bank ist mit dem eigenen privaten sowie dem öffentlichen Schlüssel des Users in der Lage, die Daten wieder zu dechiffrieren. Die Signatur hilft darüber hinaus, Manipulationen zu entdecken, falls tatsächlich jemand den Inhalt geändert haben sollte. Das würde dazu führen, dass die Prüfsumme in der Signatur, der so genannte Hash-Wert, nicht mehr mit den Transaktionsdaten übereinstimmt.

Tipp: HBCI-Chipkarten gibt es für eine geringe Gebühr bei den Banken.


So wird manipuliert

Kontoführung per Chipkarte

Diese E-Mail, die in Englisch und schlechtem Deutsch über einen angeblichen Mord an Bush informierte, war der Lockvogel.

Wer dem Link folgte, konnte sich per Mausklick mit dem Trojaner Bizex.E infizieren. Er überwacht dann den Browser.

Erkennt er die Eingabe von Kontodaten und TAN, bricht er sämtliche Verbindungen ins Internet ab. So bleibt die TAN gültig.

Im Hintergrund überträgt er Kontonummer, URL der Bank sowie PIN und TAN.

Der Programmierer führt nun eine Auslandsüberweisung mit den gültigen Daten durch. Nach kurzer Zeit ist das Geld weg.

Banken mit sicherem
Onlinebanking