G Data hat ein neues Sicherheitsprodukt vorgestellt, das Windows-Anwender vor Betrug beim Online-Banking schützen soll. Dazu verwendet „G Data BankGuard“ eine neue, in Deutschland entwickelte Technologie. Sicherheit made in Germany also.
Von Hans-Christian Dirscherl, PC-Welt
Online-Banking wird immer beliebter. Darauf reagieren Internetbetrüger: Die Betrüger vertrauen keineswegs nur noch auf die klassischen Phishing-E-Mails, in denen sie den Benutzer auffordern, seine TANs auf einer gefälschten Seite einzutippen. Sondern die Hacker entwickeln immer neue Arten von Spionage-Programmen (Online-Banking-Trojaner wie Zeus und Konsorten), die sich Benutzer gegenüber als dessen Online-Banking-Portal ausgeben, in Wahrheit aber dessen Transaktionen umleiten.
Besonders heimtückisch sind beispielsweise die so genannten Prefill Frauds, bei denen dem Anwender ein bereits vom Hacker teilweise ausgefülltes Online-Überweisungsformular innerhalb der gewohnten Online-Banking-Umgebung präsentiert wird, das der Anwender nur noch fertigstellen muss (ein gern genommener Vorwand für solche Prefill Frauds: Der Hacker lässt dem Anwender eine gefälschte Mitteilung in dessen Online-Bankingformular anzeigen, in der es heißt, dass ihm versehentlich ein gewisser Betrag überwiesen wurde und er diese zurücküberweisen solle). Der User füllt das Online-Überweisungsformular selbst noch fertig aus, gibt die erforderliche iTAN oder mTAN ein und schickt die Überweisung an. Und schon füllt sich das Konto des Hackers.
Die Vorgehensweise der derzeit bekannten Online-Banking-Trojaner wie SpyEye, ZeuS oder Sinowal/Torpig ist laut den Sicherheitsexperten immer ähnlich: Sie manipulieren eine DLL (also eine Netzwerk-Bibliothek) des Browsers (Internet Explorer, Firefox etc.), indem sie Schadcode in die Browser-DLL injiziieren, die beim Starten des Browsers in den Arbeitsspeicher geladen wird (beim Starten des Browsers werden von der Festplatte die notwendigen Systembibliotheken in den RAM geladen. Das übernimmt der Windows Loader).
Beim Microsoft Internet Explorer heißt die Netzwerk-Bibliothek, die sich der Trojaner unter den Nagel reißt, beispielsweise wininet.dll. Durch die manipulierten Systembibliotheken verändert sich das Speicherabbild (memory image) gegenüber dem Original des Windows Loaders. Die Manipulation, also der Vorgang, dass sich der Trojaner in die Browser-DLL hängt, nennt man Hook beziehungsweise Hooking. Die Schadsoftware schiebt sich also zwischen Anwender und dessen Bank, ein klassischer Man-in-the-Browser Angriff.
G Data BankGuard schützt die DLL des Browsers
Genau an dieser Stelle setzt die neue Sicherheitslösung von G Data an. G Data BankGuard verhindert nämlich, das seine korrumpierte Netzwerk-Bibliothek zum Einsatz kommt. Doch warum benötigt man überhaupt eine zusätzliche Lösung nur gegen Online-Banking-Trojaner? Theoretisch sollten alle gängigen Virenscanner einen Banking-Trojaner erkennen, wie das Bochumer Sicherheitsunternehmen G Data einräumt. Doch in der Praxis sei das eben nicht der Fall, zumindest nicht bei völlig neuen Trojanern, die noch nicht Eingang in die Virensignaturen der Virenscanner gefunden haben. G Datas neue Sicherheitslösung, die als Ergänzung zu einem bereits vorhandenen Virenscanner gedacht ist, verspricht dagegen Echtzeit-Schutz gegen jede noch so neue Schadsoftware. G Data BankGuard arbeitet vollkommen signaturunabhängig und ist als Plugin fest im Browser integriert.
So funktioniert G Data BankGuard
G Data BankGuard legt eine Kopie der originalen Netzwerk-Bibliothek (DLL) des Browsers an, speichert diese und bildet den Ladevorgang des Betriebssystems für die Netzwerkbibliotheken des Browsers nach. Manipulationen durch Banking-Trojaner finden wie bereits erwähnt in der DLL im Arbeitsspeicher statt. Ist der resultierenden Speicher des nachgebildeten Ladevorgangs also nicht mit dem tatsächlichen Speicher identisch, ist der Browser somit kompromittiert.
G Data BankGuard erkennt also automatisch, wenn ein Infektionsversuch stattfindet und ersetzt den kompromittierten Speicherbereich mit der korrumpierten DLL durch seine sichere Kopie. BankGuard informiert den Anwender zudem über den Befall. Es versucht den Banking-Trojaner zu identifizieren und auf dem System ausfindig zu machen. Die gefundenen Dateien und Registry-Einträge werden gelöscht beziehungsweise deaktiviert.
Drei Einschränkungen gibt es allerdings:
1. G Data BankGuard steht nur für Microsoft Internet Explorer und Firefox zur Verfügung, nicht aber für Google Chrome oder Safari oder Opera. Zumindest die Chrome-Version will G Data aber als nächstes nachliefern.
2. G Data BankGuard läuft nur auf Windows-Rechnern (ab Windows XP mit SP2). MacOS und Linux-Anwender sowie Benutzer, die ihr Online-Banking beispielsweise von einem Android-Tablet-PCs aus machen, können die neue Sicherheitslösung nicht verwenden (iOS-Nutzer sind derzeit von den bekannten Online-Banking-Trojanern allerdings ohnehin nicht oder nur kaum betroffen.
Die derzeit für Android erhältlichen Virenscanner wiederum enttarnen laut Peter Stelzhammer vom österreichischen Sicherheitsunternehmen AV Comparatives recht zuverlässig die bekannten Online-Banking-Trojaner, die Android-Smartphones und -Tablets bedrohen. Insofern bietet der Einsatz von Lookout und Konsorten also einen passablen Schutz). Ob G Data auch eine Lösung für MacOS nachschieben will, ließ das Unternehmen auch unsere Nachfrage heute bei der Präsentation in München offen. Und für Linux-Anwender dürfte die Zahl der tatsächlich vorhandenen Banking-Trojaner äußerst überschaubar sein, sprich: Es gibt unter Linux keinen Bedarf für BankGuard.
3. Wenn Hacker neue Methoden entwickeln, um sich in das Online-Banking einzuklinken, schützt die derzeitige G Data-Lösung natürlich nicht mehr. G Data beobachtet aber die Entwicklung und will BankGuard fortlaufend an neue Bedrohungen anpassen.
G Data BankGuard ist laut Hersteller mit allen Antivirenlösungen auf dem Markt kompatibel und ab Januar 2012 flächendeckend im Handel zum Preis von 19,95 Euro verfügbar. G Data BankGuard ist zudem bereits fester Bestandteil der aktuellen G Data-Sicherheitssoftware 2012. BankGuard wird laut G Data komplett in Deutschland entwickelt, ist also eine Online-Banking-Schutzlösung mit dem Siegel Made in Germany.
Dieser Beitrag erschien bereits in der ChannelPartner-Schwester-Publikation PC-Welt: