Si­che­res On­li­ne­ban­king

Mit den rich­ti­gen Tipps las­sen sich die Ge­fah­ren für das On­li­ne­ban­king gut ein­däm­men. Die neu­en Ha­cker­an­grif­fe und wie Sie sich da­vor schüt­zen kön­nen

PC-WELT - - Inhalt - VON ARNE AR­NOLD

ON­LI­NE­BAN­KING AM hei­mi­schen Rech­ner mit dem Brow­ser hat sich für die meis­ten PCNut­zer als kom­for­ta­bel er­wie­sen. Doch auch das Smart­pho­ne ist fürs Ban­king be­liebt. Laut ei­ner Stu­die der Netz­werk­fir­ma F5 Net­works ( www.f5.com) vom Ja­nu­ar 2017 ver­wen­den 84 Pro­zent al­ler In­ter­net­nut­zer be­reits Apps und da­mit auch ein Smart­pho­ne oder Ta­blet. Und be­reits 44 Pro­zent die­ser Nut­zer wen­den auch Apps fürs On­li­ne­ban­king an. Ge­ra­de er­fah­re­ne Nut­zer von Smart­pho­nes füh­len sich mit ih­ren Ge­rä­ten recht si­cher. Doch das ist lei­der ein trü­ge­ri­sches Ge­fühl, denn die Kri­mi­nel­len at­ta­ckie­ren nun auch das mo­bi­le Be­triebs­sys­tem An­dro­id. Das ge­schieht wie schon bei Win­dows haupt­säch­lich mit Vi­ren. Laut den Si­cher­heits­for­schern von AV-Test ( www.av-test.

org) in Mag­de­burg exis­tie­ren be­reits 18 Mil­lio­nen Schäd­lin­ge für Smart­pho­nes und Ta­blets. Pro Mo­nat kom­men in et­wa 600 000 neue Schäd­lin­ge hin­zu. Es ist al­so höchs­te Zeit, das ei­ge­ne Smart­pho­ne zu­min­dest beim On­li­ne­ban­king rich­tig zu schüt­zen.

Ak­tu­el­le Ge­fah­ren

Häu­fig kom­men die An­grif­fe mit­tels Phis­hing­mails, die zu­nächst die Log-in-Da­ten zum Bank- kon­to über ei­ne ge­fälsch­te Web­site steh­len wol­len. Laut den Si­cher­heits­ex­per­ten von Kas­per­s­ky ( www.kas­per­s­ky.de) hat­ten es fast die Hälf­te al­ler Phis­hin­gat­ta­cken (47 Pro­zent) im ver­gan­ge­nen Jahr auf das Geld der Nut­zer ab­ge­se­hen. Spe­zi­ell aufs On­li­ne­ban­king rich­te­te sich je­de vier­te Atta­cke (26 Pro­zent) und nutz­te da­bei ge­fälsch­te On­li­ne­ban­king-In­for­ma­tio­nen. Das ist ei­ne Stei­ge­rung um gut 8 Pro­zent­punk­te im Ver­gleich zum Jahr 2015. An­grif­fe auf Be­zahl­sys­te­me wie Pay­pal kom­men mit knapp 12 Pro­zent noch hin­zu. Kas­per­s­ky er­fasst für die­se Aus­wer­tung 155 Mil­lio­nen Auf­ruf­ver­su­che von Phis­hing­si­tes. Die größ­te Be­dro­hung beim On­li­ne­ban­king geht aber von Schad­code aus, der den PC oder das Smart­pho­ne be­fal­len will. Nach­fol­gend fin­den Sie drei Bei­spie­le für ge­fähr­li­che Ban­king­vi­ren.

„On­li­ne­ban­king mit den TAN-Ver­fah­ren per SMS oder Push-App ist zwar be­quem, aber un­si­cher.“

Smss­py: Ver­brei­te­ter An­dro­idBan­ken­tro­ja­ner

Der Tro­ja­ner An­dro­id.Smss­py.88.ori­gin in­fi­zier­te al­lein 2016 über 40 000 mo­bi­le An­dro­id­Ge­rä­te in 200 Län­dern. Das ha­ben die Spe­zia­lis­ten von Dr. Web ( www.drweb.de) er­mit­telt. Hat sich der Schädling auf ei­nem Smart­pho­ne fest­ge­setzt, ver­hält er sich so lan­ge still, bis der Nut­zer sei­ne On­li­ne­ban­king-App star­tet. Dann zeigt er ein ge­fälsch­tes Fens­ter an, wel­ches täu­schend echt die Ban­king-App nach­ahmt und die Zu­gangs­da­ten des Nut­zers ver­langt. So kom­men der Schädling und mit ihm die Kri­mi­nel­len an die Log-in-Da­ten zum Bank­kon­to. Be­trof­fen sind auch deut­sche und in Deutsch­land ge­nutz­te Ban­ken, dar­un­ter et­wa die Com­merz­bank, Con­sors­bank, Post­bank und die Ing Di­ba. Auch Nut­zern der Pay­pal-App schiebt der Schädling ei­ne ge­fälsch­te An­meld­e­sei­te un­ter. Ins­ge­samt sind es fast 100 Ban­king-Apps, die der Schädling er­kennt und ma­ni­pu­lie­ren kann. Smss­py ist zu­dem in der La­ge, emp­fan­ge­ne SMS-Nach­rich­ten auf dem Ge­rät ab­zu­fan­gen und an sei­ne Ur­he­ber um­zu­lei­ten. Die SMS er­scheint dann meist nicht mehr auf dem be­fal­le­nen Smart­pho­ne selbst. Mit die­sen Fä­hig­kei­ten bie­tet Smss­py den Kri­mi­nel­len al­les, was sie für den Bank­raub be­nö­ti­gen: Log-in-Da­ten zum Bank­kon­to des Op­fers und die SMS mit der Trans­ak­ti­ons­num­mer.

Fa­ke­to­ken: Zielt auf Fi­nanz-Apps und Kre­dit­kar­ten

Ge­fähr­lich ist auch der Ban­king-Tro­ja­ner Fa­ke­to­ken. Der Schädling ver­steckt sich hin­ter zahl­rei­chen Spie­le-Apps so­wie Apps fürs Sys­tem­tu­ning. Die neu­es­te Ver­si­on des mo­bi­len Tro­ja­ners ist in der La­ge, die Zu­gangs­da­ten aus 2249 An­dro­id-Fi­nanz-Apps ab­zu­grei­fen. Der­zeit sind be­reits 16 000 Op­fer aus 27 Län­dern be­trof­fen. Ne­ben Deutsch­land lie­gen die Schwer­punk­te der Ak­ti­vi­tä­ten des Schäd­lings in Russ­land, in der Ukrai­ne und in Thai­land. Das fan­den die Ex­per­ten von Kas­per­s­ky her­aus. Die Kri­mi­nel­len ha­ben der neu­en Va­ri­an­te von Fa­ke­to­ken zu­dem ei­ne Ver­schlüs­se- lungs­funk­ti­on für die Da­ten des Op­fers hin­zu­ge­fügt, um so auch noch ein Lö­se­geld er­pres­sen zu kön­nen. Au­ßer­dem hat es Fa­ke­to­ken auf die Zu­gangs­da­ten zu den Goog­le-Kon­ten der Op­fer ab­ge­se­hen. Da­für legt er ein Over­lay über den Goog­le Play Sto­re und phisht so un­ter an­de­rem die Kre­dit­kar­ten­num­mer ab.

Ram­nit: Ban­king­tro­ja­ner in­fi­ziert über 3 Mil­lio­nen PCs

Der Schädling Ram­nit ist für An­ti­vi­ren­spe­zia­lis­ten ein al­ter Be­kann­ter. Die Ex­per­ten von Trend­mi­cro ( www.trend­mi­cro.de) hat­ten den Tro­ja­ner be­reits im Jahr 2010 ent­deckt. Im Jahr 2015 nahm so­gar Eu­ro­pol den Vi­rus ins Vi­sier und schloss ei­nen Teil sei­ner Com­mand-an­dCon­trol-Ser­ver (C&C-Ser­ver) . Das sind die Rech­ner, die den mit Ram­nit in­fi­zier­ten PCs Be­feh­le er­tei­len und die­se kom­plett steu­ern kön­nen. Die Da­ten der C&C-Ser­ver leg­ten na­hen, dass welt­weit be­reits 3,2 Mil­li­on PCs in­fi­ziert wa­ren. Doch konn­ten die Be­hör­den of­fen­sicht­lich nicht al­le C&C-Ser­ver über­neh­men, denn Ram­nit brei­tet sich wei­ter­hin aus. Pro Mo­nat kom­men zwi­schen 10 000 und 20 000 neue in­fi­zier­te Rech­ner hin­zu. In sei­ner Ar­beits­wei­se ist Ram­nit ein klas­si­scher Ban­king­tro­ja­ner. Laut dem Si­cher­heits­ex­per­ten Udo Schnei­der von Trend Mi­cro wird der Schad­code Ram­nit aus­ge­führt, so­bald ein Nut­zer ei­ne in­fi­zier­te Web­site auf­ruft. Auf die­se wird er et­wa über ei­ne klas­si­sche Spam­mail ge­lei­tet. Das ge­lingt dem Schädling über Sicherheitslücken im Brow­ser. An­schlie­ßend ko­piert er sich in al­le lau­fen­den Pro­zes­se hin­ein, um per­ma­nent im Ar­beits­spei­cher zu la­gern, und löscht die an­ti­vi­ren­be­zo­ge­nen Re­gis­try Keys, um nicht ent­deckt zu wer­den. Ram­nit sen­det In­for­ma­tio­nen zu Coo­kies und Kon­to­da­ten ins In­ter­net an sei­ne C&C-Ser­ver. Zu­dem fügt er bös­ar­ti­gen Co­de in die Web­sei­ten von On­li­ne­ban­ken ein, so­bald das Op­fer

die­se auf­ruft. So kann Ram­nit Bank­da­ten steh­len und Über­wei­sun­gen ma­ni­pu­lie­ren.

Schutz beim Ban­king

Zwei Din­ge schüt­zen Sie beim On­li­ne­ban­king: ein si­che­res Sys­tem und ein ge­nau­es Wis­sen dar­über, wie On­li­ne­ban­king bei Ih­rer Bank funk­tio­niert.

Ler­nen Sie die Funk­tio­nen Ih­rer Ban­king­si­te ken­nen

Phis­hing­si­tes und Ban­king­tro­ja­ner ah­men des Aus­se­hen der ori­gi­na­len Bank-Web­site oder der Ban­king-App oft täu­schend echt nach. Um auf die­se Tricks nicht her­ein­zu­fal­len, müs­sen Sie ex­trem miss­trau­isch sein. Mer­ken Sie sich ge­nau, wie ei­ne On­li­ne-Über­wei­sung bei Ih­rer Bank ab­läuft. Ma­chen Sie sich im Zwei­fel Screen­shots, und dru­cken Sie die­se aus. No­tie­ren Sie sich da­zu die not­wen­di­gen Schrit­te. Wenn Sie sich ex­akt ein­ge­prägt ha­ben, wie Ih­re Bank mit Ih­nen on­li­ne kom­mu­ni­ziert, dann wird Ih­nen je­de Ab­wei­chung da­von auf­fal­len. Und wenn Sie auf ei­ne Ab­wei­chung sto­ßen, dann stimmt ver­mut­lich et­was nicht. Mel­det et­wa Ih­re Bank-Web­site, Sie sol­len ei­ne Te­st­über­wei­sung durch­füh­ren, dann bre­chen Sie den Vor­gang ab. Mel­det Ih­re Bank-Web­site, Sie hät­ten ver­se­hent­lich ei­ne Gut­schrift er­hal­ten und sol­len die­se zu­rück­über­wei­sen, dann ist das ein Warn­si­gnal. Oder falls ei­ne Win­dow­sNach­richt mel­det, dass Sie zum Fort­fah­ren ei­ne neue Ban­king-App in­stal­lie­ren müss­ten – dann stop­pen Sie auch hier. Denn die­se drei Bei­spie­le sind nicht er­fun­den, son­dern wur­den von Ban­king­tro­ja­nern schon so um­ge­setzt. Wenn Sie auf die­se und an­de­re Ab­wei­chun­gen sto­ßen, soll­ten Sie ei­nen Vi­ren­scan star­ten, et­wa mit ei­nem der un­ten er­wähn­ten Tools, und zu­sätz­lich te­le­fo­nisch oder per­sön­lich bei Ih­rer Bank nach­fra­gen, was es mit der Ab­wei­chung auf sich hat. In Kom­bi­na­ti­on mit den nach­fol­gen­den Tipps dürf­te Ih­nen die­se Stra­te­gie hel­fen, al­le bis­her be­kann­ten Ha­cker­an­grif­fe recht­zei­tig zu be­mer­ken.

Ba­sis­si­che­rung: Schutz­soft­ware für den Rech­ner

Selbst­ver­ständ­lich muss Ihr PC durch ei­ne An­ti­vi­ren­soft­ware ge­schützt sein. Das schon al­lein des­halb, weil Sie sonst ge­gen die AGBs der meis­ten On­li­ne­ban­ken ver­sto­ßen und bei ei­nem Scha­dens­fall ver­mut­lich al­le Kos­ten selbst tra­gen müss­ten. Emp­feh­lens­wer­te Schutz­pro­gram­me für Win­dows 10 fin­den Sie in un­se­rem Ver­gleichs­test un­ter www.pcwelt.de/

2142242. Ge­tes­te­te AV-Tools für Win­dows 7 gibt es un­ter www.pcwelt.de/2185180. Auf der Heft-DVD er­hal­ten Sie das Tool Avi­ra Free Se­cu­ri­ty Sui­te. Zu­dem soll­ten Sie stets al­le ver­füg­ba­ren Up­dates ein­spie­len, um die Sicherheitslücken zu schlie­ßen, über die sich Vi­ren ein­schleu­sen kön­nen. Bei au­to­ma­ti­schen Up­dates hilft die Free­ware Se­cu­nia PSI (auf Heft-DVD).

Schüt­zen Sie sich vor al­len Phis­hin­gan­grif­fen

Ru­fen Sie Ih­re Bank-Web­site im­mer über die Tas­ta­tur und nicht über ei­nen Link in ei­ner Mail auf. Prü­fen Sie in der Brow­ser­leis­te, ob die ge­la­de­ne Site dann das Schloss­sym­bol für ei­ne si­che­re Ver­schlüs­se­lung an­ge­zeigt be­kommt.

Nut­zen Sie ein si­che­res TAN-Ver­fah­ren

Das ak­tu­ell si­chers­te TAN-Ver­fah­ren funk­tio­niert mit ei­nem TAN-Ge­ne­ra­tor und wird chip­TAN oder smar­tTAN ge­nannt. Vor­aus­set­zung da­für ist, dass Ih­re Bank die­se Schutz­me­tho­de un­ter­stützt. In­fos da­zu gibt’s auf den Si­tes der Ban­ken. Emp­feh­lens­wert ist ein Kar­ten­le­ser, der das op­ti­sche Ver­fah­ren un­ter­stützt. So be­kommt er die nö­ti­gen In­fos über ei­nen Blink­code von der Ban­king-Web­site oder -App über­mit­telt. Die meis­ten TAN-Ge­ne­ra­to­ren funk­tio­nie­ren für al­le Ban­ken, die chip­TAN zu­las­sen, und für be­lie­bi­ge Kon­ten. Sie müs­sen je­weils nur die ent­spre­chen­de EC-Kar­te des Kon­tos in den TAN-Ge­ne­ra­tor ste­cken, um ihn mit dem Kon­to nut­zen zu kön­nen. Wich­tig: Kon­trol­lie­ren Sie die im Dis­play des TAN-Ge­ne­ra­tors an­ge­zeig­ten Da­ten zu Be­trag und Emp­fän­ger ganz ge­nau. Wei­te­re In­for­ma­tio­nen zum TAN-Ver­fah­ren fin­den Sie auf der fol­gen­den Sei­te (39).

Vi­ren­si­che­res On­li­ne­ban­king per Li­ve-DVD

Es gibt ei­ne si­che­re Me­tho­de, PC-Vi­ren beim On­li­ne­ban­king aus­zu­schlie­ßen. Nut­zen Sie da­zu ein boot­fä­hi­ges Li­nux-Li­ve­sys­tem, das Sie von DVD oder USB-Stick star­ten. Auf die­se Wei­se kön­nen Sie Ih­ren PC mit ei­nem schreib­ge­schütz­ten Be­triebs­sys­tem boo­ten. Vi­ren kön­nen sich da­rin nicht oder zu­min­dest nicht dau­er­haft fest­set­zen. Zu­dem gibt es nur sehr we­ni­ge Schäd­lin­ge, die auf Li­nux-Sys­te­me für den PC ab­zie­len. Und da Sie das Sys­tem nur fürs On­li­ne­ban­king nut­zen, ist die Ge­fahr sehr

ge­ring, dass Sie sich Schad­code ein­fan­gen. Ist das Sys­tem ge­star­tet, sur­fen Sie wie ge­wohnt die Web­site Ih­rer Bank an. Emp­feh­lens­wert ist et­wa Ubu­ntu Mint. Ei­gent­lich tut sich nur ei­ne Hür­de auf: die In­ter­net­ver­bin­dung. Ihr PC soll­te idea­ler­wei­se per Ka­bel mit Ih­rem In­ter­ne­t­rou­ter ver­bun­den sein. Dann klappt die Ver­bin­dung mit dem In­ter­net au­to­ma­tisch. An­dern­falls müss­ten Sie bei je­dem Start Ihr WLAN-Pass­wort ein­ge­ben. Wer das nicht möch­te, kann sich auch ei­ne auf sein Sys­tem an­ge­pass­te Li­ve-DVD mit Li­nux er­stel­len. Das ist dann al­ler­dings ein­ma­lig recht auf­wen­dig. Ei­ne aus­führ­li­che An­lei­tung für das ei­ge­ne On­li­ne­ban­king-Sys­tem auf DVD oder USB-Stick fin­den Sie un­ter www.pcwelt. de/2170193.

Vi­ren­schutz mit dem ein­fa­chen vir­tu­el­len Sys­tem Bit­box

Wer die Vor­tei­le ei­ner Li­ve-DVD nut­zen möch­te, oh­ne da­für den PC neu star­ten zu müs­sen, der kann auch ei­ne Vir­tua­li­sie­rungs­soft­ware ein­set­zen. Sie schützt zwar nicht ganz so gut vor PC-Schäd­lin­gen wie ei­ne Li­ve-DVD, aber im­mer noch bes­ser als ein Stan­dard-Win­dows. Ein kom­plett fer­ti­ges, vir­tu­el­les Sys­tem in­klu­si­ve Brow­ser ist et­wa die Bit­box (auf Heft-DVD). Die Bit­box (Brow­ser in the Box) hat den Vor­teil, dass sie wie ein ge­wöhn­li­ches Win­dows-Pro­gramm in­stal­liert und ge­star­tet wird. Zum Sur­fen stellt die Bit­box den Brow­ser Fi­re­fox be­reit. Es sind so­mit kei­ne Ex­per­ten­kennt­nis­se für die Bit­box-Nut­zung nö­tig. So funk­tio­niert die Bit­box: Die meis­ten Vi­ren rich­ten sich ge­gen Win­dows-Sys­te­me. Wenn Sie die Bit­box für das Sur­fen im In­ter­net ver­wen­den, nut­zen Sie aber ein Li­nux-Sys­tem. Das blo­ckiert die al­ler­meis­ten Vi­ren, denn Win­dow­sVi­ren funk­tio­nie­ren schlicht und er­grei­fend nicht in die­sem Sys­tem. Als Nut­zer muss das Li­nux-Sys­tem Sie aber nicht stö­ren, es ist kom- plett un­sicht­bar. Nach dem Start der Bit­box steht ein­fach der Brow­ser Fi­re­fox be­reit. Die In­stal­la­ti­on der Bit­box ist ein­fach. Zu­nächst in­stal­liert der As­sis­tent die Soft­ware Ora­cle Vir­tu­al Box 5.1.14. Wenn Sie be­reits die Vir­tua­li­sie­rungs­soft­ware Vir­tu­al Box in­stal­liert ha­ben, soll­ten Sie die Bit­box nicht nut­zen, denn Vir­tu­al Box liegt be­reits in ei­ner neue­ren Ver­si­on (5.1.20) vor. Nut­zen Sie in die­sem Fal­le ei­nes Ih­rer be­reits vor­han­de­nen Surf­sys­te­me für Vir­tu­al. In je­dem an­de­ren Fall fol­gen Sie den An­wei­sun­gen des As­sis­ten­ten. Nach Ab­schluss der In­stal­la­ti­on star­ten Sie das Pro­gramm über die Pro­gramm­ver­knüp­fung „Brow­ser in the Box“. Beim ers­ten Start fragt die Bit­box, ob Sie sie als Stan­dard­brow­ser ver­wen­den möch­ten. Wenn Sie die Bit­box nur als On­li­ne­ban­kin­gSys­tem ein­set­zen möch­ten, soll­ten Sie die Fra­ge ver­nei­nen. Nun dau­ert es ei­ni­ge Zeit, bis das Surf­sys­tem kom­plett ge­la­den ist. Doch schon der nächs­te Start geht deut­lich schnel­ler von­stat­ten. Die Bit­box ist al­ler­dings kein Frei­fahrt­schein für kom­plett vi­ren­si­che­res Sur­fen. Denn ei­ne Da­tei, die Sie mit der Bit­box her­un­ter­la­den, lan­det im Down­load­ord­ner Ih­res Win­dow­sSys­tems. Dort kön­nen so­mit auch Vi­ren lan­den. Wenn Sie die­se dann ma­nu­ell im Win­dow­sEx­plo­rer durch ei­nen Dop­pel­klick star­ten, in­fi­zie­ren Sie ihr Win­dows-Sys­tem. Um­sich­ti­ges Sur­fen ist al­so auch mit der Bit­box ge­fragt.

Si­cher­heits­tipps fürs Ban­king mit dem Smart­pho­ne

Ein Smart­pho­ne, mit dem Sie auch On­li­ne­ban­king be­trei­ben, soll­te mit ei­ner An­ti­vi­ren-App ge­schützt sein. Zwar ge­lan­gen die al­ler­meis­ten An­dro­id-Vi­ren nur über frem­de App-Sto­res oder be­trü­ge­ri­sche Web­sites auf das Ge­rät, doch kom­plett aus­ge­schlos­sen ist es nicht, dass auch mal über den of­fi­zel­len App-Sto­re

Goog­le Play ein Schädling aufs Smart­pho­ne kommt. Emp­feh­lens­wer­te An­ti­vi­ren-Apps für An­dro­id fin­den Sie im Test un­ter www.pcwelt.de/

2190907. Gleich meh­re­re Apps konn­ten im Test die vol­le Punkt­zahl er­rei­chen. Ei­ne die­ser sehr gu­ten Apps ist so­gar kos­ten­los. Es ist die App So­phos Mo­bi­le Se­cu­ri­ty ( www.so­phos. com).

Ei­ne deut­li­che Ge­fahr fürs Ban­king mit dem Smart­pho­ne be­steht bei ei­nem Dieb­stahl des Han­dys. Feh­len auf dem Smart­pho­ne die nö­ti­gen Schutz­vor­rich­tun­gen, et­wa die Dis­play­sper­re, und ge­lingt es dem Dieb, das Pass­wort für die Ban­king-App zu kna­cken oder gar ein­fach zu er­ra­ten, dann hat er un­ter Um­stän­den vol­len Zu­griff auf Ihr Bank­kon­to in­klu­si­ve der Mög­lich­keit, Geld zu über­wei­sen. Sie soll­ten Ih­re On­li­ne­ban­king-App un­be­dingt mit ei­nem mög­lichst kom­ple­xen Pass­wort schüt­zen. Zu­dem soll­ten Sie die PIN für das Log-in bei Ih­rer Bank nicht in der App spei­chern. Das wi­der­spricht üb­ri­gens auch den AGBs vie­ler Ban­ken. Kommt es mal zu Un­stim­mig­kei­ten im Geld­trans­fer, ma­chen Sie sich an­greif­bar, wenn Sie die PIN ge­spei­chert ha­ben. Im schlimms­ten Fall müs­sen Sie dann ei­nen Scha­den kom­plett selbst über­neh­men. Auch soll­ten Sie nicht das SMS-TAN-Ver­fah­ren für das­sel­be Smart­pho­ne nut­zen, auf dem auch die App läuft. Denn sonst hat ein Dieb mit Ih­rem Han­dy al­les Nö­ti­ge, um Geld zu über­wei­sen. Und zu gu­ter Letzt soll­te Ihr Smart­pho­ne mit ei­ner Dis­play­sper­re ver­se­hen sein. Hier gilt ein Pass­wort als deut­lich si­chers­te Me­tho­de. Un­si­che­rer sind die Mus­ter­sper­re, die Ge­sichts­er­ken­nung und auch der Fin­ger­ab­druck­scan­ner.

TAN-Ver­fah­ren

Ei­ne Über­wei­sung und auch an­de­re Ban­kauf­trä­ge le­gi­ti­mie­ren Sie mit ei­ner TAN (Transak-

ti­ons­num­mer). Wie die­se TAN er­stellt wird, be­stimmt maß­geb­lich Ih­re Si­cher­heit beim On­li­ne­ban­king. Am bes­ten schützt ein TAN- Ge­ne­ra­tor. Al­ler­dings gilt: Wenn ein Nut­zer zum Op­fer ei­nes Trick­be­trugs wird, hilft auch das bes­te Si­cher­heits­sys­tem nicht. Das ist et­wa dann der Fall, wenn ein Be­trü­ger sein Op­fer da­von über­zeu­gen kann, ihm ganz be­wusst Geld zu über­wei­sen. Hier hilft nur ein ho­hes Maß an Miss­trau­en bei Geld­trans­fers. Aus­lauf­mo­dell iTAN: Im­mer mehr Geld­in­sti­tu­te schaf­fen das so­ge­nann­te iTAN-Ver­fah­ren (in­di­zier­te TAN) aus Si­cher­heits­grün­den ab, denn schon seit Jah­ren gibt es im­mer wie­der An­grif­fe auf die­ses Sys­tem. Da­bei war die iTAN be­reits die ver­bes­ser­te Form der TAN-Lis­te. Die­se führ­te ein­fach 50 TANs auf, die der Nut­zer nach Be­lie­ben ein­set­zen konn­te. Das mach­te die TAN-Lis­te leicht an­greif­bar. So­bald ein Dieb nur ei­ne be­lie­bi­ge Num­mer der TANLis­te er­gau­nern konn­te, hat­te er Zu­griff auf ei­ne Über­wei­sung. Beim iTAN-Sys­tem sind die TANs durch­num­me­riert, und die Bank ver­langt bei ei­ner Über­wei­sung ei­ne be­stimm­te, per Zu­falls­ge­ne­ra­tor ge­wähl­te TAN. Doch konn­ten die Die­be auch die­sen Schutz um­ge­hen, in­dem sie ih­ren Op­fern meh­re­re TANs ab­luchs­ten und dann mit et­was Glück über die pas­sen­de TAN ver­füg­ten. Selbst wenn Ih­re Bank das iTANSys­tem noch un­ter­stützt, soll­ten Sie es aus Si­cher­heits­grün­den nicht mehr nut­zen. Mo­bi­leTAN/mTAN/smsTAN: Das Sys­tem mit der mo­bi­len TAN sen­det Ih­nen für je­de ein­zel­ne Über­wei­sung ei­ne Trans­ak­ti­ons­num­mer (TAN) per SMS auf Ihr Han­dy oder Smart­pho­ne. In der Nach­richt sind auch der Be­trag und das Emp­fän­ger­kon­to ent­hal­ten. Die Si­cher­heit bei die­sem Sys­tem ent­steht durch den zwei­ten Ka­nal, den die Bank mit dem Sen­den der SMS auf­macht. Soll­te sich ein Ha­cker per Schad­code in Ih­rem PC fest­ge­setzt ha­ben, dann kann er zwar die In­ter­net­ver­bin­dung zwi­schen Ih­rem PC und der Bank kon­trol­lie­ren und ei­ne Über­wei­sung zu sei­nen Guns­ten ma­ni­pu­lie­ren. Er hat aber kei­nen Zu­griff auf die Ver­bin­dung von der Bank zu Ih­rem Smart­pho­ne. Die An­ga­ben in der SMS ent­spre­chen so­mit zu­ver­läs­sig den An­ga­ben, die Ih­rer Bank vor­lie­gen. Es ist ex­trem wich­tig, dass Sie die Da­ten der SMS, al­so Be­trag und Emp­fän­ger, ge­nau kon­trol­lie­ren, be­vor Sie die Über­wei­sung mit der mo­bi­len TAN am PC frei­ge­ben. Es hat be­reits Fäl­le ge­ge­ben, in de­nen die Op­fer ei­nes Ban­king­tro­ja­ners die ma­ni­pu­lier­ten Über­wei­sungs­da­ten nicht be­merkt und die Über­wei­sung per mo­bi­ler TAN ab­ge­sen­det ha­ben. Man­che Ban­ken wei­gern sich dann, für den Scha­den auf­zu­kom­men. pus­hTAN: Beim pus­hTAN-Ver­fah­ren (auch Ap­pTAN ge­nannt) emp­fängt man die TAN für den je­wei­li­gen Bank­vor­gang nicht per ge­wöhn­li­cher SMS, son­dern in ei­ner spe­zi­el­len Smart­pho­neApp. Die­se muss nach ih­rer In­stal­la­ti­on ein­ma­lig mit dem Ban­ken­ser­ver ver­bun­den und syn­chro­ni­siert wer­den. An­sons­ten äh­neln sich die TAN-In­fos. Ne­ben dem ei­gent­li­chen Co­de er­hält man In­fos zum Emp­fän­ger und den Be­trag, der mit der TAN le­gi­ti­miert wird. Der Un­ter­schied zur smsTAN: Vie­le Ban­ken

er­lau­ben die Nut­zung der pus­hTAN-App auf dem­sel­ben Smart­pho­ne, auf dem Sie auch die Über­wei­sung aus­füh­ren. Da­bei soll­ten Sie aber im­mer die Ori­gi­nal-Apps Ih­rer Bank ver­wen­den. Kri­tik: Wie je­des TAN-Ver­fah­ren wur­de auch das pus­hTAN be­reits kri­ti­siert. So ha­ben zwei For­scher der Fried­rich-Alex­an­der-Uni­ver­si­tät Er­lan­gen-Nürnberg Schwach­stel­len am App­ba­sier­ten TAN-Ver­wah­ren auf­ge­deckt (In­fos per PDF un­ter https://goo.gl/KMqosV). Zu­tref­fend ist die Kri­tik in­so­weit, als beim pus­hTAN-Ver­fah­ren kei­ne Tren­nung zwi­schen dem Ge­rät für die Über­wei­sung und dem Ge­rät für die TAN-Über­mitt­lung mehr zwin­gend vor­ge­se­hen ist. Bei­des kann auf dem­sel­ben Smart­pho­ne er­le­digt wer­den. Ein Ban­king­tro­ja­ner muss so­mit nur noch ein Ge­rät be­fal­len, um ei­ne Über­wei­sung ma­ni­pu­lie­ren zu kön­nen. Wer das pus­hTAN-Ver­fah­ren nutzt, soll­te un­be­dingt sehr si­che­re Pass­wör­ter für den Zu­gangs­schutz zu den Apps ein­rich­ten. QR-TAN: Beim QR-TAN-Ver­fah­ren wird die TAN von ei­ner spe­zi­el­len App ge­ne­riert. Die App er­hal­ten Sie von der Bank, die die­ses Ver­fah­ren un­ter­stützt, so zum Bei­spiel die 1822 di­rekt. Zu­nächst fül­len Sie Ih­ren Auf­trag im On­li­ne­ban­king et­wa per Brow­ser am PC voll­stän­dig aus und schi­cken die­sen ab. Es er­scheint nun ein QR-Co­de auf dem Bild­schirm. Die­sen scan­nen Sie mit der QR-TAN-App ab und er­hal­ten so die pas­sen­de Trans­ak­ti­ons­num­mer für den Auf­trag. pho­toTAN: Ganz ähn­lich funk­tio­niert das pho­toTAN-Ver­fah­ren. Statt ei­nes QR-Co­des wird ein spe­zi­ell ent­wi­ckel­ter far­bi­ger Punk­tCo­de an­ge­zeigt. Die pho­toTAN wird bei­spiels­wei­se von der Com­merz­bank, der Com­di­rect und der Deut­schen Bank an­ge­bo­ten. chip­TAN / TAN-Ge­ne­ra­tor: Wenn Sie On­li­ne­ban­king am Smart­pho­ne be­trei­ben möch­ten, dann nut­zen Sie ei­nen TAN-Ge­ne­ra­tor (ab 15 Eu­ro). Be­quem sind Ge­rä­te, die die nö­ti­gen Da­ten per Blink­code er­hal­ten. Da­für zeigt die Bank-Web­site ei­ne schwarz­wei­ße Animation an, in der die Über­wei­sungs­da­ten co­diert sind. Der TAN-Ge­ne­ra­tor ver­fügt über Fo­to­zel­len, die die­sen Fli­cker­code er­fas­sen, wenn man das Ge­rät vor den Bild­schirm hält. In der Fol­ge gibt das Ge­rät dann die TAN aus und zeigt zu­dem Emp­fän­ger und Be­trag der Über­wei­sung an. Neue Ver­fah­ren: Im Aus­land set­zen sich lang­sam An­mel­dun­gen mit­tels bio­me­tri­scher Da­ten durch. So wird es künf­tig ei­ne Le­gi­ti­mie­rung über die Stim­me oder per Touch-ID, al­so Fin­ger­ab­druck, bei der Bank HSBC in En­g­land

( www.hsbc.de) ge­ben. Die Ban­ken First Di­rect, die RBS und Nat­west führ­ten be­reits im ver­gan­ge­nen Jahr die An­mel­dung via Fin­ger­ab­druck ein – al­le­samt in UK. Dem­nächst will zu­dem die neue Atom Bank On­li­ne­ban­king per Ge­sichts­er­ken­nung er­mög­li­chen.

Ban­king-Apps

Die meis­ten Ban­ken bie­ten Ih­nen ei­ne ei­ge­ne Ban­king-App kos­ten­los an. Wenn Sie mit die­ser App zu­frie­den sind und nur bei die­ser ei­nen Bank ein Kon­to ha­ben, be­nö­ti­gen Sie kei­ne an­de­re oder wei­te­re App. Wer aber bei meh­re­ren Ban­ken ein Kon­to führt, ist mit den Apps meist schlecht be­ra­ten, denn die Apps der Ban­ken un­ter­stüt­zen meist nur ih­re ei­ge­nen Kon­ten. Ei­ne Aus­nah­me bil­det da nur die App „On­li­neFi­lia­le Plus“( https://goo.gl/bGoKAF) von den Volks- und Raiff­ei­sen­ban­ken be­zie­hungs­wei­se der Fi­du­cia Gad. Ob­wohl die App meh­re­re Ban­ken un­ter­stützt, ist sie kos­ten­los er­hält­lich. Mul­ti­bank­fä­hi­ge Apps im Über­blick: On­li­ne­ban­king-Apps, die mehr als nur ei­ne Bank un­ter­stütz­ten, sind meist kos­ten­pflich­tig, doch bie­ten sie oft auch in­ter­es­san­te Son­der­funk­tio­nen. Gut ge­fällt uns et­wa die App „Fi­nanz­blick“. Sie bie­tet die Mög­lich­keit, Über­wei­sungs­vor­la­gen mit der Han­dy­ka­me­ra ab­zu­fo­to­gra­fie­ren. Per Tex­ter­ken­nung er­kennt Fi­nanz­blick die Über­wei­sungs­da­ten und fügt sie di­rekt in die On­li­ne-Über­wei­sung ein. Auch die au­to­ma­ti­sche Ka­te­go­ri­sie­rung von Über­wei­sun­gen und Ab­bu­chun­gen funk­tio­niert gut, die Aus­wer­tun­gen se­hen schick aus. Wer Wert auf ei­ne gu­te Ex­port­funk­ti­on legt, soll­te sich die App „Ban­king 4A/4i“an­se­hen, de­ren Ex­port ver­schie­de­ne For­ma­te er­laubt. Vie­le Apps bie­ten gar kei­ne Ex­port­mög­lich­keit oder höchs­tens ei­ne ex­ter­ne Si­che­rung, da­mit die Da­ten nach ei­ner Neu­in­stal­la­ti­on der App wie­der ge­la­den wer­den kön­nen. Ei­nen Über­blick über gän­gi­ge mul­ti­bank­fä­hi­ge Apps fin­den Sie in der Ta­bel­le auf die­sen Sei­ten.

Der An­dro­id-Schädling Smss­pys er­kennt rund 100 Fi­nanz-Apps und legt ei­ne ge­fälsch­te An­mel­de­mas­ke über die Apps. So kommt der Schädling an die Log-in-Da­ten der Op­fer. An­schlie­ßend kann er auch die SMS mit der TAN ab­fan­gen.

Mit die­ser Gra­fik il­lus­triert der Si­cher­heits­spe­zia­list Trend Mi­cro, wie sich der Ban­king­tro­ja­ner Ram­nit über ei­ne ver­seuch­te Web­site auf über 3 Mil­lio­nen PCs ein­schleu­sen und Da­ten steh­len kann.

Das kos­ten­lo­se Tools Bit­box Fi­re­fox lie­fert Ih­nen den Brow­ser Fi­re­fox in­ner­halb ei­nes vir­tu­el­len Li­nux-PCs. Die In­stal­la­ti­on ist sim­pel, das Sur­fen da­mit dank Li­nux sehr si­cher.

Das On­li­ne­ban­king mit ei­nem TAN-Ge­ne­ra­tor gilt als sehr si­cher. Kon­trol­lie­ren Sie den­noch den im Dis­play an­ge­zeig­ten Be­trag und den Emp­fän­ger sehr ge­nau.

Mit ei­ner pus­hTAN lässt sich ei­ne TAN auf dem­sel­ben Smart­pho­ne emp­fan­gen, auf dem auch die On­li­ne­ban­king-App ge­nutzt wird. Das ist prak­tisch, wird aber von Si­cher­heits­for­schern kri­ti­siert.

Newspapers in German

Newspapers from Germany

© PressReader. All rights reserved.