Schutz vor Phishing - Sicheres Homebanking

Fast jeder PC-Benutzer schon einmal eine Phishing-Mail bekommen. Phishing-Mails sollen den PC-Benutzer dazu verleiten, sicherheitsrelevante Daten wie zum Beispiel PIN oder TAN für das Internet- oder Homebanking preiszugeben.

Dazu wird in der Mail auf die Webseite eines Kreditinstituts verwiesen - in der Regel des eigenen Instituts. Folgt man dem Link in der Mail, wird man jedoch auf einen anderen Server umgelenkt, der genau so gestaltet ist wie die offizielle Seite der Bank. Das Phishing-Opfer erkennt in der Regel den Unterschied nicht und nimmt an, es befinde sich auf der echten Seite der Bank. Dort soll sich das Phishing-Opfer dann wie in der gefälschen Mail von der Bank beschrieben mit PIN und TAN einloggen. Wie's dann weiter geht, hängt von der Programmierung des gefälschten Bank-Servers ab. Ggf. kommt eine Meldung wie "Vielen Dank, Ihre Sicherheitsüberprüfung ist abgeschlossen" oder ähnlich. Die kriminiellen Hintermänner haben nun die Möglichkeit, mit der vom Phishing-Opfer auf der gefläschten Webseite hinterlassenen Zugangsdaten eine Überweisung vom Konto des Opfers vorzunehmen.

Gundsätzlich lässt sich sagen, dass Phishing-Mails immer rafinierter werden. Einen zuverlässigen Schutz gegen Phishing gibt es derzeit nicht, wenn das Opfer Internet-Banking mit PIN und TAN nutzt.

Erstaunlicher Weise wird dieses Verfahren aber von fast allen Banken den Kunden angeboten. Kaum eine Bank bietet aktiv ein sichereres Verfahren als das Online-Banking mit PIN und TAN an. Oftmals sind die Mitarbeiter der Bank weder geschult noch sind sie in der Lage, technische Details oder Alternativen zu erläutern. Es kommt sogar vor, dass ein Kunde bei seiner Bank ausdrücklich ein anderes, sichereres Verfahren beauftragt und aus Unwissenheit der Bankmitarbeiter das PIN / TAN Verfahren als beste Wahl angeboten bekommt.

Der durchschnittliche Bankkunde gibt sich in der Regel mit der höchst unterdurchschnittlichen Beratungsleistung und als Konsequenz mit dem höchst unsicheren Internetbanking mit PIN / TAN zufrieden.

Sicherheit beim Homebanking

Die zurzeit sicherste Lösung besteht in der Nutzung einer HBCI-Chipkarte mit einem Chipkartenleser, der die sichere PIN-Eingabe (Sicherheitsklasse 2 oder höher) unterstützt. Bei diesem Verfahren kann weder der kryptographische Schlüssel der Karte ausgelesen werden, noch ist das Belauschen der PIN-Eingabe mit einem Keylogger oder Trojaner möglich. Phishing ist bei diesem Verfahren ebenfalls prinzipiell nicht möglich, da man zum erfolgreichen Ausführen einer Transaktion im Besitz der elektronischen Signatur sein muss, also die Chipkarte besitzen muss.

Trotzdem bestehen bei dieser Homebanking-Methode wie auch bei allen Homebanking-Methoden noch theoretische Risiken. Der Kartenleser ist nämlich nicht in die Verschlüsselung der eigentlichen Überweisung involviert, sondern verschlüsselt lediglich die vom Homebanking-Programm erzeugte Signatur der Überweisung. Falls nun das eigentliche Homebanking-Programm durch einen Angreifer manipuliert wurde, könnte dieses statt des angezeigten und erteilten Auftrags einen veränderten Auftrag signieren und an den Bankserver schicken. Genauso wie die meisten Homebanking-Methoden ist auch Homebanking per HBCI nur unter der Annahme möglich, dass das verwendete Homebanking-Programm auf dem PC nicht durch Angreifer manipuliert werden konnte.

Fazit

Einen 100%igen Schutz wird es nie geben, aber Sie können viel zu Ihrer eigenen Sicherheit beitragen, in dem Sie auf unsichere Verfahren wie Online-Banking mit PIN / TAN verzichten und statt dessen bei Ihrer Bank ausdrücklich HBCI mit Chipkarte beauftragen. Zwar sind auch hier Manipulationen möglich, aber sehr unwahrscheinlich.

Chipkartenleser sowie entsprechende Software zur Unterstützung von Chipkartenlesern erhalten Sie ebenfalls sehr preisgünstig von Ihrer Bank, oder auch direkt im Internet.