Wichtige Sicherheitshinweise für die Nutzung des Internets
Phishing
In letzter Zeit versuchen Betrüger, sich die persönlichen Zugangsdaten für Onlinebanking und Kreditkartendaten zu erschleichen. Das Vorgehen der Betrüger wird als "Phishing" bezeichnet, frei übersetzt "Passwort Fischen".
Sind Anwender von Online:Banking mit HBCI durch Phishing bedroht?
Das Online:Banking der Bayerischen Landesbank ist durch Phishing nach derzeitigen Erkenntnissen nicht betroffen. Durch Phishing kann der geheime Schlüssel, der auf der Chipkarte gespeichert ist, nicht in die Hände eines Betrügers gelangen. Nur wer im Besitz der Chipkarte ist, kann in Verbindung mit der PIN Transaktionen durchführen. Das Verschlüsselungsverfahren von HBCI ist nach derzeitigen Erkenntnissen unverändert sicher!
Wie funktioniert Phishing?
Phishing kann auf viele Arten betrieben werden. Gerne wird in diesem Zusammenhang auch von " Social Engineering" gesprochen, da bei einigen Varianten absichtlich versucht wird, die "angegriffenen" Personen zu ungewollter Mitarbeit zu bewegen. Ein Beispiel hierzu ist unter dem Punkt "E-Mail" zu finden. Die momentan von den Betrügern am häufigsten dafür verwendeten Varianten sind:
Trojanisches Pferd / Spyware / Keylogger
Bei dieser Betrugsmethode werden die Kunden-PCs per E-Mail (gezielt oder auch durch Massen-Mails) mit einem Trojanischen Pferd infiziert. Neben der Verbreitung per Mail werden auch immer häufiger PC 's durch die Ausnutzung von Sicherheitslücken in Browsern infiziert. Hierbei kann zum Teil bereits der Besuch einer entsprechend präparierten Web-Seite eine Infektion auslösen.
Der Trojaner installiert sich auf dem Kunden-PC und bleibt in Wartestellung. Erkennt der Trojaner anhand von bestimmten Suchbegriffen, dass der Anwender/Kunde in seinem Internet-Browser eine Bank-Seite aufruft und PIN/TAN-Daten eingibt, wird er aktiv. Er merkt sich diese Daten, bringt den Internet-Browser gezielt zum Absturz, und überträgt die PIN und die TAN über das Internet an eine vorgegebene Stelle. Durch diese Vorgehensweise erlangt der Betrüger die Bankdaten inklusive der gültigen PIN und eine TAN, während durch den Browser-Absturz eine Übertragung der TAN an die Bank - und damit ein Verbrauch der TAN - verhindert wird.
Diese Beschreibung stellt nur eine beispielhafte Darstellung einer möglichen Vorgehensweise dar. Weitere Varianten zur Erlangung einer PIN/TAN sind möglich.
Häufiger Ausgangspunkt für diesen Betrug(sversuch) ist eine fingierte E-Mail, in der sich der Absender als ein Mitarbeiter einer Bank ausgibt. In der E-Mail wird der Empfänger unter einem Vorwand aufgefordert, seine persönlichen Zugangsdaten in ein vorgegebenes Web-Formular oder ein angehängtes Formblatt einzugeben. Dieses Formular entspricht im Aussehen der originalen Vorlage der jeweiligen Bank, ist aber ebenfalls gefälscht.
In den E-Mails werden die Empfänger auf trickreiche Art angesprochen, um sie zu einer schnellen Eingabe ihrer Daten zu bewegen.
Es wird z. B. um die Mitarbeit bei der Überprüfung einer neuen Funktion im Onlinebanking gebeten, weil die Bank sicherstellen will, dass der Kunde auch weiterhin vollen Zugriff auf sein Konto hat.
Alternativ erzeugt der Betrüger beim E-Mail-Empfänger Betroffenheit, indem er ihm mitteilt, sein Benutzerkonto sei nach einem Missbrauchsversuch gesperrt worden und er soll jetzt zur Wiederfreigabe bestimmte Informationen einzugeben, um sie zu bestätigen.
Telefon
Die Kontaktaufnahme zur Gewinnung von Zugangsdaten kann ebenso per Telefon erfolgen.Chipkartenleser
Wie gerade geschildert, verlangen alle Legitimationsmittel zur Durchführung einer Onlinebanking-Transaktion eine PIN. Diese PIN dient bei der Chipkarte als Legitimationsprüfung des Benutzers gegenüber der Chipkarte. Da bei der Verwendung der Chipkarte prinzipiell ebenfalls das " Mitlesen" der PIN möglich ist, wurden verschiedene Chipkartenleser-Klassen definiert.- Sicherheitsklasse 1: Da diese einfachen Chipkartenleser keine eigenen Nummerntasten besitzen, muss die PIN-Eingabe über die PC-Tastatur erfolgen. Hierbei könnte ein mitlaufendes Programm, welches die Tastaturanschläge aufzeichnet , die PIN ebenfalls an Dritte übermitteln.
- Sicherheitsklasse 2: Leser der Sicherheitsklasse 2 haben fast immer eine eigene Nummerntastatur. Hierbei wird die PIN direkt auf dem Chipkartenleser eingegeben. Ein maschinelles Ausspähen der PIN ist in diesen Fällen nicht möglich, da die PIN nicht an den PC weitergegeben wird. "Klasse 2"-Leser können zusätzlich im "Klasse 1"-Modus betrieben werden. Dieser "Klasse 1"-Betrieb hat aber auch die entsprechenden, zuvor unter "Sicherheitsklasse 1" genannten Sicherheitsprobleme zur Folge.
- Sicherheitsklasse 3: Lesegeräte der Sicherheitsklasse 3 haben eine Tastatur und ein eigenes Display, auf dem die Daten unmittelbar vor der Signatur noch einmal dargestellt werden. So kann der Benutzer sicherstellen, dass seine Eingaben nicht verfälscht wurden und die richtigen Daten signiert werden. "Klasse 3"-Leser können zusätzlich als "Klasse 2"- bzw. "Klasse 1"-Leser betrieben werden. Der "Klasse 1"-Betrieb hat aber auch hier die entsprechenden Sicherheitsprobleme zur Folge. "Klasse 3"-Kartenlesegeräte sind für das Bezahlen mit der Geldkarte über das Internet zugelassen und ermöglichen, bei Unterstützung durch die Bank, auch das Laden der Geldkarte vom heimischen PC aus.
Anti-Viren-Programme
Diese Programme dienen der Verhinderung eines Virusbefalls, oder dem Entdecken eines solchen. Je nach Ausführung verfügen die Programme über einen Wächter, einen Scanner, oder beidem. Die Aufgabe des Wächters besteht in der dauernden Überwachung des PC's bzw. dem ständigen Prüfen von Daten die auf den PC geladen werden. Der Scanner verrichtet seinen Dienst erst nach expliziter Beauftragung. Hierbei wird jede Datei auf dem PC "durchleuchtet", ob sich darin eine Schadsoftware befindet.
Der Gedanke, dass ein Scanner bei vorhandenem Wächter unnütz wäre, ist nicht richtig. Anti-Viren-Programme sind für zuverlässige Erkennung von Viren auf eine Versorgung mit neuen Virusbeschreibungen durch ihren Hersteller angewiesen.
Da Virenprogrammierer ständig neue Schadsoftware entwickeln, sind die Anti-Viren-Software-Hersteller stetig mit der Definition der Virusbeschreibung für ihre Produkte beschäftigt. Erst nach Erhalt der neuen Definition wird ein Wächter den neuen Virus erkennen. Da der neue Virus den PC in der Zwischenzeit bereits befallen haben könnte, würde der Virus unbemerkt bleiben. Ein Suchdurchgang des Scanners nach Erhalt der neuen Definition findet den neuen Virus aber und kann ihn dann beseitigen.
Im normalen Sprachgebrauch wird auch häufig die Gruppe der Anti-Spyware-Programme dieser Art von Programmen zugeordnet, da ihr Verhalten weitestgehend mit dem von Anti-Viren-Software übereinstimmt. Der primäre Unterschied besteht in einer Spezialisierung auf das Abwehren von Spionage-Software (wie der Name schon vermuten lässt). Immer mehr Anti-Viren- bzw. Internet-Sicherheitspakete werden von den Herstellern direkt mit Anti-Spyware-Funktionen oder gar -Programmen erweitert, was eine genaue Abgrenzung immer weiter erschwert.
Firewall
Diese Sicherheitsmaßnahme kann in Form von Hard- oder Software erfolgen. Hierbei wird der Datenfluss zwischen einem privaten und einem ungeschützten Netzwerk (also PC bzw. LAN und Internet) kontrolliert bzw. ein internes Netz vor Angriffen aus dem Internet geschützt.
Dabei gleicht eine Firewall den entstehenden Datenverkehr mit ihr vorgegeben Regeln (müssen vom Administrator vorgegeben werden) ab. Je nach Ausführung bzw. Funktionsumfang der Firewall kann diese Regeln benutzen, die nach Empfänger-IP, Empfänger-Port, Absender-IP, Absender-Port, Datenstromrichtung (eingehend oder ausgehend), Verbindungsstatus/-Zustand oder Kombinationen aus diesen Punkten, unterscheiden. Software-Firewalls können hierbei meist nicht so fein unterscheiden, bieten aber häufig die Möglichkeit Einstellungen abhängig von Programmen zu treffen.
Die Regeln entscheiden letztlich ob eine Kommunikation erlaubt
oder verboten ist.
Wie können Sie sich schützen?
- Eine 100%ige Sicherheit gibt es im Internet leider nicht. Ein entsprechender Umgang mit den Gefahren und darüber hinaus eine erhöhte Aufmerksamkeit im Umgang mit dem Internet sollte Ihre oberste Prämisse sein. Zusätzlich empfehlen wir Ihnen dringend den Einsatz einer Anti-Viren-Software auf Ihrem PC. Führen Sie tagesaktuelle Updates dieser Anti-Viren-Software durch, bevor Sie das Internet bzw. Onlinebanking nutzen. Zusätzlich wäre eine Firewall sinnvoll, die die Kommunikation eventuell vorhandener "Schadsoftware" verhindern kann. Versorgen Sie so häufig wie möglich das Betriebssystem und die Browsersoftware mit entsprechenden Sicherheitspatches, um bekannte Sicherheitslücken zu schließen. Ein spezieller Benutzer zum Internet-Surfen, dem die Rechte zum Installieren von Software entzogen wurden (ohne Administrationsrechte) erhöht die Sicherheit zusätzlich.
- Reagieren Sie nicht auf Phishing-E-Mails. Wir weisen ausdrücklich darauf hin, dass wir unsere Kunden niemals per E-Mail auffordern, persönliche Zugangsdaten für Online:Banking oder Kreditkartendaten in ein Web-Formular einzugeben.
- Geben Sie niemals Ihre persönlichen Zugangsdaten (PIN, TAN, Kreditkartennummer, usw.) per E-Mail weiter!
- Öffnen Sie keine Links oder Dateianhänge in verdächtigen E-Mails. Vertrauen Sie nicht auf Links bzw. Dateien, die Sie auf anderen Web-Seiten angeboten bekommen. Hinter einem vermeintlich richtigen Link kann eine gefälschte Web-Seite verborgen sein.
- Überprüfen Sie die Adresszeile Ihres Internet-Browser, ob die Adresse der Bank korrekt wiedergegeben ist.
- Beim Onlinebanking per PIN/TAN bzw. bei Interneteinkaufsportalen hat sich zur Sicherheitssteigerung die SSL-Verschlüsselung etabliert. Diese Verschlüsselung dient zum Schutz der sensiblen Daten beim Versand durch das Internet vor "Abhöraktionen". Eine Verschlüsselung dieser Daten ist im Internet notwendig, da alle Daten prinzipiell transparent und in Klarschrift durch das Internet geleitet und somit abgehört werden können. Eine SSL-Verschlüsselung können Sie auf Webseiten im Internet neben dem Zusatz "https://" in der Adressleiste, auch an einem "verriegelten Schloss"-Symbol in der rechten unteren Ecke Ihres Browsers erkennen. Ein Einsatz von SSL im Rahmen von HBCI per Diskette bzw. Chipkarte ist nicht notwendig, da hierbei die Daten im Rahmen des HBCI-Verfahrens bereits verschlüsselt werden.
