22.07.2013

Sicherheit beim electronic banking

In den letzten Tagen ging eine einigermaßen spektakuläre Meldung durch die Presse: beim electronic banking wurden über 40.000 Euro gestohlen. Ursprünglich ging es wohl um mehr als 100.000 Euro, von denen aber ein Teil von den Banken zurückgebucht werden konnte.

Unabhängig vom Verlauf dieser Aktion und der Frage, wer nun zu welchem Zeitpunkt einen Fehler gemacht hat, will ich mal zusammen sammeln, wie man das electronic banking und generell seinen PC "sicher" machen kann, wenn man das Internet benutzen will.

Vorweg: absolute Sicherheit gibt es nicht. Die Bösewichte werden immer einfallsreicher. Es läuft auf ein Hase-und-Igel-Wettrennen hinaus. Wie beim Absichern der eigenen Wohnung gegen Einbrecher: es muss nicht perfekt sein, aber es muss den Bösewicht so viel Mühe kosten, dass er von seinem schändlichen Tun ablässt (und sich ein leichteres Opfer sucht).

Nun konkreter zum Absichern von electronic banking. Die meisten der Ratschläge sind allgemein verwendbar, aber man sollte sie unbedingt beherzigen, wenn man via Internet seine Bankgeschäfte erledigen will.

Viele der folgenden Tipps überschneiden oder ergänzen sich. Wenn Sie mehrere davon für sich einsetzen, sollte das Ihre Sicherheit deutlich steigern.

  • Nicht Windows verwenden. Windows ist so weit verbreitet, dass es sich für Bösewichte ganz besonders lohnt, hierfür Schadprogramme zu entwickeln. Dieser Ratschlag ist nicht ideologisch gemeint, sondern eine statistische Tatsache. Verwenden Sie Linux oder Apple mit einem passenden ebanking-Programm. Für browserbasiertes ebanking geht sogar ein "browser-only" Netbook mit Googles ChromeOS, z.B. von Samsung.
  • Verwenden Sie einen separaten PC nur für das ebanking. Vermeiden Sie dort die Installation von unnötiger Software, wenn es für das ebanking nicht unbedingt nötig ist. Surfen Sie nicht mit diesem PC. Verwenden Sie den PC wirklich nur für das ebanking. Rufen Sie mit diesem PC keine anderen Webseiten auf. Erledigen Sie mit diesem PC nicht Ihre Email.
    Kaufen Sie z.B. ein kleines Netbook gebraucht bei ebay, das sollte für unter 100 Euro möglich sein. Man bekommt für diesen Betrag einen kleinen PC mit intel Atom, 1 GB RAM, Festplatte ist vollkommen unwichtig (20-40 GB reichen völlig, am bequemsten wäre natürlich SSD statt einer mechanischen Festplatte). Löschen Sie den PC komplett und richten Sie ihn selbst neu ein, selbst wenn der Verkäufer ein "neu installiertes Windows" anbietet.
  • Verwenden Sie zum ebanking ein separates Betriebssystem, das Sie von einer CD oder von einem schreibgeschützten USB-Stick starten. Die c't bietet hierzu kostenlos die Linux-Variante "Bankix" an.
  • Verwenden Sie niemals ein öffentliches WLAN für Ihre Bankgeschäfte. Mag sein, dass die Funkstrecke mit WPA2 gesichert ist, aber ab der Basisstation ist es ungeschützt und kann belauscht werden.
  • Achten Sie auf Warnungen im Browser, dass die Website, die Sie besuchen wollen, "unbekannt" ist oder das Zertifikat ungültig oder abgelaufen ist. Dies sind Anzeichen dafür, dass Sie nicht die gewünschte Website besuchen, sondern Ihnen ein anderes Ziel "untergeschoben" wurde. Lesen Sie den Sicherheitshinweis genau durch. Im Zweifelsfall fragen Sie die Hotline Ihrer Bank und gehen nicht weiter.
  • Installieren Sie in Ihrem Browser "Add-Ons" oder "Extensions", die einige der Sicherheitsprobleme umgehen, indem bestimmte Funktionen abgeschaltet oder nur bei zugelassenden Websites aktiviert werden ("whitelist"). Zugegeben: damit wird das Surfen umständlicher, aber definitiv sicherer. Ich empfehle "Adblock Plus Edge", "NoScript" bzw. "NotScripts", "Secure Login" und "Better Privacy". Genauer erklärt habe ich das hier schon mal. Blättern Sie bis zu der Frage "Was kann man dagegen machen?"
  • Achten Sie darauf, wenn Sie Mitteilungen bekommen, dass sich an einem Zugang zu einem Dienst im Internet etwas geändert hat. Google, PayPal etc. verschicken Emails, wenn jemand das Passwort ändert. Schalten Sie diese Benachrichtigungsfunktion nicht ab! Wenn Sie die Änderung nicht selbst veranlasst haben, ist höchste Alarmstufe! Dann hat jemand einen Ihrer Online-Zugänge geknackt. Versuchen Sie, so schnell wie möglich den eigenen Zugang wiederzuerlangen. Meistens ist ein Angriff auf das Emailkonto der erste Schritt zum Online-Finanzbetrug! Wer die Email kontrolliert, kann bei anderen Diensten Passwörter, Handynummern etc. ändern und die Warnungen darüber abfangen.
  • Verwenden Sie unterschiedliche Passwörter für jeden Internetdienst. Niemand kann sich alle Passwörter merken, das ist auch gar nicht schlimm. Verwenden Sie einen Passwortgenerator oder Passwortsafe, der komplizierte, zufällige Passwörter erzeugen kann. Die üblichen Programme für diesen Zweck können das Passwort automatisch in den Browser übertragen, so dass Sie es nicht umständlich abtippen müssen. Alternativ können Sie Ihre Passwörter aufschreiben oder speichern (ich nehme eine Tabellenkalkulation dafür und speichere die Passwortdatei verschlüsselt auf einen USB-Stick ab).
    Ein paar ganz gute Ratschläge finden sich beim BSI oder mit dieser Google-Suche.
  • Öffnen Sie in Ihrer Email keine Dateianhänge, wenn Sie keine Zusendung von Anhängen erwarten. Sprechen Sie mit dem Absender, ob er Ihnen wirklich einen Anhang zugeschickt hat, bzw. sprechen Sie vorher ab, dass Ihnen Dateien geschickt werden.
  • Klicken Sie in Ihrer Email nicht auf WWW-Adressen (URLs).
  • Schalten Sie in Windows die Anzeige von Dateiendungen ein. Windows unterdrückt normalerweise diese Anzeige, aber dadurch übersieht man häufig, dass man z.B. kein PDF anklickt, sondern eine Datei, die Rechnung.PDF.EXE heißt (doppelte Dateiendung).
    Speichern Sie Dateianhänge ab. Dabei kann der Virusscanner die Datei überprüfen. Beachten Sie die Warnungen, falls welche angezeigt werden.
  • Verwenden Sie unübliche Programme. Die haben normalerweise nicht die gängigen Sicherheitslücken (vielleicht andere, aber unübliche ;) ).
    Nehmen Sie z.B. Foxit statt Acrobat Reader oder lesen Sie PDF in den neueren Versionen von Firefox oder Google Chrome.
    Verzichten Sie auf Flash. Das ist derzeit noch ein wenig schmerzhaft, aber Youtube z.B. setzt zunehmend mehr auf Videos in HTML5-Technik. Flash ist eigentlich nur eine Ansammlung von Sicherheitslücken. Allein im Februar gab es drei Notfall-Updates.
  • Mißtrauen Sie prinzipiell jeder Email, in der es um Geld geht oder um eine Firma, die Ihnen androht, dass eines Ihrer Online-Konten gesperrt wird, wenn Sie nicht umgehend dort Ihr Passwort und eine TAN eingeben (oder sinngemäß ähnlich). Ihre Bank, ebay oder Paypal schicken prinzipiell keine Emails, dass Ihr Konto gesperrt wird.
  • Achten Sie zeitnah auf die Installation sämtlicher Fehlerkorrekturen für das Betriebssystem und die ebanking-Software.
  • Achten Sie auch auf Updates für den Browser, für Oracle Java Runtime, Acrobat Reader und Flash (nicht Zutreffendes streichen ;) ).
  • Schalten Sie in allen Programm die automatische Update-Funktion ein, soweit möglich.
  • Ein Virenscanner nutzt nur, wenn er verhaltensbasiert überwachen kann. Viren und Trojaner ändern sich erfahrungsgemäß im Stundentakt. Wenn ein Antivirus-Programm Schadprogramme nur anhand ihrer "Kennungen" (Signaturen) erkennen kann, ist es immer im Nachteil. Insbesondere bemerken die Programmierer von Schadprogrammen, wenn ein Antivirus-Hersteller neue Kennungen veröffentlich, und passen dann sofort ihre Schädlinge an.
    Achten Sie darauf, dass das Antivirus-Programm mindestens täglich ein Update der Viruskennungen bekommt. Je mehr, desto besser.
  • Die meisten Schädlinge verbreiten sich über infizierte Webseiten. Die meisten Betreiber von Webseiten wissen das nicht einmal. Über eine Sicherheitslücke dringen Hacker in den Webserver ein und ergänzen die regulären Webseiten um "unsichtbaren" Inhalt, der über eine Sicherheitslücke im Browser oder in Flash/Java dann den eigenen PC infizieren kann. Deshalb: verwenden Sie Linux oder Apple oder einen unüblichen Browser.
  • Verwenden Sie nicht die browserbasierte ebanking-Variante, die Ihre Bank anbietet. Der Browser ist prinzipiell unsichere Software. Installieren Sie eine spezielle ebanking-Software, die mit HBCI arbeitet (z.B. das kostenlose Hibiscus, das es für Windows, Apple und Linux gibt). HBCI ist entweder mit einer speziellen Bankkarte möglich (sieht so aus wie eine ec-Karte mit Chip) oder mit Verschlüsselung über einen Datenträger (nannte sich früher "Diskette", geht mit USB-Stick genausogut). Die meisten Banken lassen sich HBCI mit Chipkarte jährlich bezahlen, HBCI mit Schlüsseldiskette ist i.a. kostenlos. Der Aufwand bei der Einrichtung ist etwas höher (man muss postalisch mit der Bank Verschlüsselungsinformationen austauschen, die sog. "öffentlichen Schlüssel").
  • Falls Sie eine HCBI-Karte haben, benötigen Sie einen Kartenleser. Nehmen Sie nicht das billigste Modell, sondern eines mit eigenem Display und eigener Tastatur (von Kobil oder ReinerSCT). Ansonsten kann ein Trojaner auf dem PC die Eingabe Ihrer PIN zur Karte abfangen. Achten Sie darauf, dass der Kartenleser mit Ihrem PC zusammen arbeitet (nicht jeder Kartenleser funktioniert mit Apple oder Linux).
  • Wenn es denn doch ebanking mit dem Browser sein soll, verwenden Sie nicht das TAN-Verfahren (auch wenn es iTAN oder mTAN ist). Derzeit vernünftig ist ein Verfahren, bei dem Sie von der Bank ein zusätzliches Gerät ("Token") bekommen, das eine Geheimnummer für jeden Vorgang erzeugt. Dieses Gerät dürfen Sie natürlich nicht verlieren oder in fremde Hände geben. Bis Anfang Juli gibt es das bei unserer örtlichen Volksbank als Sonderaktion sogar kostenlos.
  • Das Verfahren mit einem zusätzlichen Gerät, das Geheimnummern erzeugt, bietet auch PayPal für kleines Geld an. Wenn Sie PayPal verwenden: unbedingt benutzen! Alternativ gibt es die Möglichkeit, diese Geheimnummern mit einer Android-App zu erzeugen. Das halte ich für fast genauso gut (wenn das Smartphone nicht infiziert wird).
  • Schalten Sie bei Google ebenfalls die zweistufige Authentisierung ein! Die Geheimnummern zur Anmeldung kommen dann entweder per SMS auf Ihr Handy, oder Sie verwenden die App Google Authenticator. Damit wird es deutlich schwerer, Ihr Google-Email-Konto zu kapern. Klicken Sie dazu in irgendeiner Google-App (Mail, Kalender, Google Plus etc.) auf Ihr Profilfoto rechts oben, dann auf "Konto", danach auf "Sicherheit" und dann auf "Bestätigung in zwei Schritten".
  • Den o.g. "Google Authenticator" kann man auch verwenden, um die zweistufige Anmeldung bei DropBox durchzuführen!
  • Richten Sie für alle Fälle eine zweite Emailadresse bei einem anderen Anbieter ein. Verwenden Sie diese Emailadresse zur Wiederherstellung Ihres "Erstkontos", wenn der schlimmste Fall eintrifft und jemand das Passwort irgendwie herausbekommen hat. Lassen Sie alle Benachrichtigungen über Passwortänderungen parallel auch an diese zweite Emailadresse senden!
  • Richten Sie zur Kontowiederherstellung Ihre Handynummer ein, so dass der Anbieter Ihnen eine SMS schicken kann. Dies geht nur vorbeugend, bevor das Kind in den Brunnen gefallen ist!
  • Ein exotischer Ratschlag, der eher für das berufliche Umfeld gilt: stecken Sie keine "gefundenen" oder fremden USB-Sticks in Ihren PC. Manche Firmennetze wurden auf diese Weise schon infiltriert, auch wenn die Firewalls noch so gut sind. Manche "USB-Sticks" sind komplette kleine PCs, die Ihr Opfer gezielt angreifen können und dort Schadsoftware einschleusen.
  • Wenn Sie ein Smartphone für Bankgeschäfte verwenden wollen, achten Sie auch hier auf die o.g. Sicherheitsvorkehrungen. Installieren Sie keine unbekannte Software.
  • Bei Android:
    * schalten Sie den USB-Debugging-Mode aus, wenn Sie ihn nicht brauchen.
    * Schalten Sie "Software aus unbekannten Quellen" aus.
    * Installieren Sie ein vertrauenswürdiges Antivirus-Programm, z.B. von Kaspersky, Sophos, Norton, AVG, Avast.
    * Installieren Sie keine Apps, die unnötige Rechte beanspruchen.
    * Verwenden Sie ein Kontrollprogramm wie SRT AppGuard.
  • Für Profis: lesen Sie den heise-Newsticker und die Mailingliste Full Dosclosure. Wenn Sie hier einige Wochen mitgelesen haben und immer noch gut schlafen können, sind Sie wirklich ein Profi! ;)
[Update 20130722: Tippfehler, Adblock Plus durch Adblock Edge ersetzt]