Ratgeber für Reseller

So erledigen Sie Ihre Online-Banking-Geschäfte sicher

04.11.2009
Gerade für Wiederverkäufer ist der Geldtransfer via Internet alltäglich. Doch welche Gefahren lauern und wie schützt man sich?

Gerade für Wiederverkäufer ist der Geldtransfer via Internet alltäglich. Doch welche Gefahren lauern und wie schützt man sich?

Theoretisch kann beim Online-Banking nichts passieren. Sämtliche Banken setzen heute eine sichere Kombination aus Identifikation und verschlüsselter Verbindung ein. Wäre da nur nicht der Faktor Mensch. Denn die ganzen Sicherheitsprozeduren mit Streichlisten, Codes und Lesegeräten nutzen nichts, wenn sich Kunden fahrlässig verhalten. Wer aber einige wenige Sicherheitstipps wirklich ernst nimmt, setzt sich keinem Risiko aus. Wir zeigen Ihnen in diesem Artikel die größten Gefahren beim Online-Banking und geben zehn Tipps für sicheres Online-Banking.

Grundsätzlich bieten die Banken zwei verschiedene Systeme an, um E-Banking-Kunden sicher identifizieren zu können:

So funktioniert TAN

Streichlisten (TANs): Per Post erhalten Sie eine Benutzernummer, ein Passwort sowie eine Streichliste mit verschiedenen Sicherheitsnummern, die so genannten TANs. Diese Sicherheitsnummer wechselt bei jedem Login, um unerwünschte Zugriffe zu verhindern. Dabei müssen Sie den Code nach dessen Eingabe auf Ihrer Liste durchstreichen und beim nächsten Login einen neuen verwenden – üblicherweise den nächsten. Geht die Liste dem Ende zu, erhalten Sie automatisch eine neue.

Die klassischen TAN-Listen der ersten Generation gibt es heute kaum noch, üblich sind längst die iTANs (indizierte Transaktionsnummer). Hier sind die TAN-Nummer laufend durchnummeriert. Wenn Sie eine Transaktion tätigen, nennt Ihnen Ihre Banksoftware genau eine bestimmte iTAN, die Sie dann eingeben müssen. Gelegentlich wird das iTAN-Verfahren noch um BEN ergänzt: Hierbei gibt die Bankingsoftware bei jeder Transaktion eine Bestätigungsnummer aus (die BEN), die übereinstimmen muss mit der BEN, die auf dem iTAN-Block neben der jeweiligen iTAN-Nummer steht.

mTAN, HBCI und FinTS

Noch einen Schritt weiter geht die mTAN – wenn Sie sich hierfür bei Ihrer Bank anmelden (für gewöhnlich wird das Bezahlen per mTAN als zusätzliche Option zum iTAN-Verfahren angeboten), dann erhalten Sie für jede Transaktion eine mTAN per SMS auf Ihr Handy zugeschickt. mTAN ist aber ein kostspieliges Verfahren und deshalb eher selten.

HBCI – Das Home Banking Computer Interface. Schützt vor Phishing:Kartenleser mit Chip

Kartenleser und HBCI – Das Home Banking Computer Interface
Einige Banken setzen einen Kartenleser und eine Chipkarte ein. Jeder Kunde erhalt eine Chipkarte mit einem eigenen Schlüssel für HBCI (Das Home Banking Computer Interface). Will er sich einloggen, muss er auf der Webseite erst seine Benutzernummer eingeben. Anschließend wird ein Eingabe- Code angezeigt. Nun muss der Benutzer seine Chipkarte in den Kartenleser schieben, mit einem PIN-Code freischalten und den Eingabe-Code eingeben. Mittels des Schlüssels auf dem Chip gibt das Gerat einen Code aus, den Sie wiederum auf der Homepage eintragen. Und schon sind Sie drin. Diese Variante hat den Vorteil, dass Sie gegen Phishing gefeit sind, aber dazu später.

Einen Nachfolger gibt es für HBCI auch schon: FinTS Financial Transaction Services. Einige wenige Banken unterstützten FinTS bereits, andere Bank-Institute befinden sich in der Erprobungsphase.

Beim Online-Banking gibt's sechs Hauptgefahren.

Andere Benutzer des PCs
Jede Internetsitzung hinterlasst Spuren, z.B. in Form von temporären Dateien oder Cookies. Gerade an öffentlichen Computern – etwa in Internet-Cafes – sind andere Benutzer ein vergleichsweise großes Sicherheitsrisiko, denn diese konnten später auf diese Daten zugreifen und heikle Informationen herauslesen.

Malware
Eine weitere Gefahr sind Viren, Trojaner und Keylogger. Gelangen diese Schädlinge unbemerkt auf Ihren PC, sind sie in der Lage, Ihre Eingaben zu speichern und an Dritte weiterzuleiten. Außerdem konnte ein Virus den Browser so manipulieren, dass Sie unbemerkt auf eine Seite umgeleitet werden, die aussieht wie die Webseite Ihrer Bank, aber einem Betrüger gehört. Auf diese Weise geben Sie – ohne sich dessen bewusst zu sein – geheime Daten preis.

Täuschend echt: Phishing-Attacke gegen SouthTrust, ausgehend von chinesischen Servern Hacker

Ein Hacker versucht, in Ihr System einzudringen, um Ihre Daten einzusehen. Normalverbraucher sind allerdings dieser Gefahr eher weniger ausgesetzt, da ein Hackangriff vergleichsweise aufwändig und riskant ist. Er trifft daher eher größere Firmen, wo viele Daten aufs Mal erbeutet werden können.

Man-In-The-Middle
Unter Man-In-The-Middle, zu Deutsch "Mann in der Mitte", versteht man eine Person, die Ihre Verbindung zum Server abhört oder sogar manipuliert. Im Vergleich zu den anderen Risiken ist damit ein hoher Aufwand verbunden. Deshalb stellt dies momentan keine flächendeckende Gefahr dar.

Phishing
Eine immer noch aktuelle Gefahr. Dabei handelt es sich um Mails, die vorgaukeln, von einem Finanzinstitut zu sein, und einen Link enthalten, auf den die Empfänger klicken sollen, um dort "aus Sicherheitsgründen" Zugangsdaten wie Passwort oder Streichlistennummern einzugeben. Da diese Mails im HTML-Format geschrieben worden sind, kann der tatsachliche Link vom sichtbaren abweichen. Denn in HTML-Mails sind nicht die Link-Adressen selbst, sondern deren Beschreibungen sichtbar. Ein Name wie www.paypal.com sagt nichts über die verlinkte Seite aus, es handelt sich nur um die Beschreibung, die der Autor selbst eingegeben hat. Tatsachlich lasst sich über diesen Link jede gewünschte Domain oder IP-Adresse aufrufen.

Zum Schutz gegen Phishing ersetzten die Banken die TAN-Blöcke durch die iTAN-Blöcke, was Phishing-Angriffe erschwert. Ganz auf der sicheren Seite – zumindest bezüglich Phishing – sind diejenigen Kunden, die einen Kartenleser mit Chipkarte verwenden.

Pharming

Die neuste Gefahr heißt Pharming und ist eine Weiterentwicklung von Phishing. Dabei werden bestimmte Adressen auf falsche Server umgeleitet. Brisant: Der Anwender bekommt davon nichts mit, da auch die Adresszeile richtig zu sein scheint. Jede Domain wird von einem DNS-Server beim Internetprovider auf eine IP-Adresse weitergeleitet. Die Betrüger versuchen, einen großen DNS-Server zu hacken und zu manipulieren. Gegen diese Art von Betrug sind Sie als Kunde praktisch wehrlos.

Bevor der Computer aber den DNS-Server des Providers kontaktiert, prüft er, ob er nicht selbst schon weiß, welche IP zu einem bestimmten Hostnamen bzw. zu einer Domain gehört. Dazu nutzt er die lokale hosts-Datei von Windows, in der sich eine Liste mit Hostnamen und den dazugehörigen IPs befindet. Wird diese Datei von einem anderen Benutzer, Hacker oder Virus modifiziert, kann jeder beliebige Hostname umgeleitet werden. Diese Technik wird auch von Hijackern verwendet. Gegen diese Art von Pharming können Sie sich aber wehren.

Die 10 goldenen Regeln

Wenn Sie die folgenden Regeln beachten, stehen Sie beim Online-Banking auf der sicheren Seite.

Software-Updates
Schützt vor: Anderen Benutzern des PCs, Malware, Hackern, Man-In-The-Middle, Phishing und Pharming
So schützen Sie sich: Alte Software ist unsicher. Laden Sie immer die neusten Updates für Ihre Software herunter. Insbesondere für Windows, die Antiviren- und Firewall-Software und den Browser. Unaktualisierte Systeme sind ein gefundenes Fressen für Hacker und Viren, da die bereits bekannten Lucken meist dokumentiert wurden und deshalb einfach auszunutzen sind.

Antivirenprogramm
Schützt vor: Malware, Hackern und Pharming
So schützen Sie sich: Ein gutes Antivirenprogramm gehört zur Grundausstattung jedes Computers. Täglich kursieren Millionen von Mails mit Viren im Schlepptau. Wer ohne Schutz unterwegs ist, riskiert bereits nach wenigen Minuten eine Infektion des Systems. Aber auch der beste Virenschutz nutzt nichts, wenn er nicht auf dem aktuellsten Stand ist, denn täglich erscheinen neue Viren. Sorgen Sie deshalb immer dafür, dass Ihr Antivirenprogramm die neusten Virensignaturen besitzt, die Sie sich am besten per Autoupdate-Funktion beschaffen.

Firewall
Schützt vor: Malware, Hackern und Pharming
So schützen Sie sich: Neben einem Antivirenprogramm sollten Sie auch eine Firewall verwenden. Mit dessen Hilfe blocken Sie jeglichen Kontakt von Programmen zum Internet ab. Eine Firewall verhindert außerdem die Übertragung bestimmter Viren. Achten Sie auch hier darauf, dass Sie eine aktuelle Version einsetzen. Manche Programme verhindern die Manipulation der hosts-Datei und schützen so vor Pharming.

Antispyware
Schützt vor: Malware und Pharming So schützen Sie sich: Ein Antispywareprogramm wie Spybot bietet auch einen Schutz vor hosts-Datei-Manipulationen.

Alles schließen
Schützt vor: Anderen Benutzern des PCs und Hackern
So schützen Sie sich: Schließen Sie vor dem Einloggen sämtliche Programme und Browser-Fenster. Damit reduzieren Sie das Risiko, dass Schwachstellen anderer Programme ausgenutzt werden, auf ein Minimum. Im Speziellen sollten Sie Desktop-Suchmaschinen wie Desktop Search von Google oder Copernic beenden. Diese Programme indexieren unter Umstanden temporäre Dateien mit sensiblen Daten. Gerade bei Bankgeschäften sollten Sie dies unbedingt vermeiden. Surfen Sie außerdem wahrend des E-Bankings nicht auf anderen Seiten.

Adresse selbst eingeben

Schützt vor: Phishing
So schützen Sie sich: Geben Sie die Adresse Ihrer Bank immer von Hand ein. Klicken Sie nicht auf Links von anderen Seiten oder gar in Mails.

Sicheres Passwort
Schützt vor: Anderen Benutzern des PCs, Malware, Phishing und Pharming
So schützen Sie sich: Andern Sie sofort das Ihnen zugewiesene Passwort. Achten Sie aber darauf, dass das Passwort sicher ist. Nutzen Sie dazu den folgenden Trick :

Nehmen Sie irgendeinen Satz, zum Beispiel: "Ich kann diesen bellenden Köter einfach nicht ausstehen!" Übernehmen Sie nun die Anfangsbuchstaben, am besten auch die Groß-/ Kleinschreibung. Nun haben Sie das Passwort "IkdbKena!". Wollen Sie den Sicherheitsgrad noch weiter erhöhen, setzen Sie für einige Buchstaben Zahlen ein. Aus dem I machen Sie eine 1, aus dem b eine 6 und schon haben Sie das Passwort "1kd6Kena!". Auf Wunsch können Sie natürlich auch immer den zweiten Buchstaben der Wörter nehmen oder einen noch längeren Satz auswählen.

Mehr lesen Sie in diesem Ratgeber: So erstellen Sie sichere Passwörter

Oder Sie benutzen einen Passwort-Generator. Einen solchen finden Sie beispielsweise in der Freeware KeePass. Außerdem sollten Sie das Passwort in regelmäßigem Abstand wieder ändern.

Erscheint eine solche Warnung, verlassen Sie die Seite und kontaktieren Sie Ihre Bank

Zertifikat prüfen
Schützt vor: Man-In-The-Middle, Phishing und Pharming So schützen Sie sich: Jedes Finanzinstitut benutzt eine sichere Verbindung. Achten Sie deshalb darauf, dass vor der Adresse .https://., mit dem .s. für secure, steht. Außerdem sollte im Browser-Fenster unten rechts ein Schloss zu sehen sein. Im Browser Opera wird das Schloss in der Adressleiste angezeigt. Erscheint auf der Seite kein Schloss oder sehen Sie eine Warnung sollten Sie umgehend die Bank informieren.

Ist nur eine der drei Zertifikatseigenschaften nicht in Ordnung, ist das Zertifikat wertlos. Nur wenn der Aussteller des Zertifikats seriös und bekannt ist, das Zertifikat noch nicht abgelaufen und die Adresse übereinstimmt, sind Sie sicher, tatsächlich mit Ihrer Bank verbunden zu sein. Einige Banken zeigen auf ihrer Homepage sogar den Fingerprint des Zertifikats an, der es eindeutig identifiziert. Vergleichen Sie diese Zeichenfolge mit jener, die Sie unter Zertifikat anzeigen finden.

Korrekt ausloggen
Schützt vor: Anderen Benutzern des PCs und Hackern So schützen Sie sich: Achten Sie beim Ausloggen unbedingt darauf, dass Sie den dafür vorgesehenen Link verwenden. Dieser heißt meist Ausloggen, Logout, Abmelden oder Beenden. Wenn Sie einfach das Fenster schließen, wird die Sitzung nicht korrekt beendet und Hacker oder eventuell sogar spätere Benutzer des Computers können auf die Seite zugreifen.

Temporäre Dateien entfernen
Schützt vor: Anderen Benutzern des PCs, Malware und Hackern So schützen Sie sich: Nach der Sitzung sollten Sie alle temporären Dateien entfernen, um Ihre Spuren zu verwischen. Im Internet Explorer gehen Sie so vor: Gehen Sie ins Menu Extras/Internet Optionen und klicken Sie dort auf Cookies loschen, Dateien loschen und Verlauf leeren. Bestätigen Sie anschließend mit OK und schließen Sie den Browser. In Firefox gehen Sie über Extras/Einstellungen und klicken unter Datenschutz auf Alles loschen. Bestätigen Sie mit OK und schließen Sie den Browser.

So funktioniert ein verschlüsselte Verbindung

Verschlüsselte Verbindung
Sobald sensible Daten vom oder zum Server übertragen werden, ist eine sichere Verbindung ein Muss. Das ist bei E-Banking der Fall, aber z.B. auch bei Bezahlungen mit Kreditkarte. Sogar einige E-Mail-Anbieter wie etwa Web.de bieten eine verschlüsselte Verbindung an.

Verschlüsselung: Öffentlich und privat
Beim Aufbau einer sicheren "https://"-Verbindung wird ein asymmetrisches Kryptosystem verwendet. Es handelt sich dabei um ein Verfahren, bei dem zum Ver- und Entschlüsseln verschiedene Schlüssel benötigt werden. Der öffentliche Schlüssel ist allen zugänglich. Er dient lediglich zum Verschlüsseln der Daten und ist somit auch für Hacker uninteressant. Um die Daten zu entschlüsseln, benötigt man den privaten Schlüssel. Dieser ist nur dem Server bekannt. Somit ist es nur dem Server möglich, Ihre verschlüsselten Daten einzusehen. Da dieser Schlüssel nur dem Austausch der Zufallszahl dient, die anschließend ihrerseits als Schlüssel verwendet wird, ist das Verfahren sehr sicher. Der Zufallsschlüssel wird bei jeder Sitzung neu generiert.

Lesen Sie auch:

So wird eine verschlüsselte Verbindung aufgebaut:

1. Der Anwender ruft eine Seite auf, die nur verschlüsselt zugänglich ist.
2. Anschließend meldet der Server, dass es sich um einen geschützten "https://"-Bereich handelt und schickt sein Zertifikat mit seinem öffentlichen Schlüssel.
3. Nun überprüft der Browser Folgendes:
* Ist die Zertifizierungsstelle seriös? Nur dann sagt ein Zertifikat überhaupt etwas aus. Dazu verfügt jeder Browser über eine Liste mit bekannten Zertifizierungsstellen.
* Ist das Zertifikat gültig? Jedes Zertifikat läuft irgendwann aus und muss erneuert werden.
* Stimmt das Zertifikat auch tatsächlich mit der Adresse der Seite überein?
4. Jetzt generiert der Browser eine Zufallszahl und verschlüsselt sie mit dem erhaltenen öffentlichen Schlüssel und schickt sie an den Server.
5. Der Server entschlüsselt die erhaltenen Daten mit seinem privaten Schlüssel und erhält so die vom Browser generierte Zufallszahl.
6. Von nun an werden sämtliche Daten, die Anwender und Server austauschen, mit Hilfe der Zufallszahl ver- und entschlüsselt.

Dieser Beitrag stammt von unserer Schwesterpublikation PC-Tipp