Diese Schwachstellen nutzen Cyberkriminelle aus

Online-Banking Diese Schwachstellen nutzen Cyberkriminelle aus

Manfred Fischer
von Manfred Fischer
14.09.2017
Auf einen Blick
  • Internetkriminelle stehlen jährlich Millionen Euro von Online-Konten. Die Dunkelziffer der Fälle ist hoch.

  • Nicht jedes gängige Online-Banking-Verfahren gilt als sicher. Riskant sind Verfahren, bei denen die "Zwei-Faktoren-Sicherheit" ausgehebelt werden kann.

  • Wer auf der sicheren Seite sein will, sollte ein paar Stellen auf der Banking-Website immer im Auge behalten.
Artikelbewertung
Teilen
Schrift

Wie viele Online-Konten werden jedes Jahr angegriffen? Wie oft krallen sich Cyberkriminelle Geld? Die offiziellen Zahlen wirken wenig alarmierend. Rund eine Viertelmillion Straftaten übers Internet verzeichnet das Bundeskriminalamt jährlich, der finanzielle Schaden summiert sich auf einen mittleren zweistelligen Millionenbetrag. Tatsächlich dürften die Zahlen viel höher sein. IT-Fachleute gehen davon aus, dass die meisten digitalen Angriffe nicht zur Anzeige gelangen. Haben die Diebe zu leichtes Spiel? Chris Wojzechowski vom Institut für Internet-Sicherheit der Westfälischen Hochschule weiß um die Schwachstellen.

Herr Wojzechowski, wie groß ist die Gefahr, dass einem Internetkriminelle Daten stehlen und das Online-Konto abräumen?

Chris Wojzechowski: Die Probleme nehmen zu. Das liegt vor allem daran, dass Botnetze durch ungesicherte, internetfähige Geräte eine andere Dimension einnehmen, als sie es bisher getan haben. Netzwerke aus gehackten Computern werden dadurch immer leistungsfähiger. Wenn die Leistung groß genug ist, erreichen Angreifer fast alles - sie hebeln Verschlüsselungsalgorithmen aus, knacken Passwörter, fälschen Sicherheitszertifikate.

Heißt das, Sicherheitszertifikate sind nicht mehr vertrauenswürdig?

Wojzechowski: Vor kurzem wurde bewiesen, dass das Hashverfahren SHA-1 geknackt werden kann. Bis Ende 2016 wurde dieser Algorithmus noch in circa 30.000 Online-Shops zur Absicherung eingesetzt. Um den Algorithmus zu knacken, bedarf es mehr als neun Trillionen Berechnungen. Der SHA-1-Hash kommt bei https-Zertifikaten zum Einsatz, also nicht nur in Webshops, sondern auch bei der Verschlüsselung von E-Mails. Per SHA-1 können Hacker signierte Dateien gegen manipulierte austauschen, Nutzer können das nicht erkennen.

Ist Online-Banking noch wirklich sicher?

Wojzechowski: Die Zertifikate der Banken sind eine Klasse höher als die einfachen Sicherheitszertifikate. Sicherheit schafft zusätzlich die Zwei-Faktor-Authentifizierung. Alle Angriffe zielen auf darauf ab, den zweiten Faktor auszuhebeln. Ob das gelingt, hängt vom Verhalten des Nutzers ab und davon, welches Online-Banking-Verfahren er einsetzt.

Welche Online-Banking-Verfahren sind riskant?

Wojzechowski: Riskant ist das Push-Tan-Verfahren. Da wird die Zwei-Faktoren-Sicherheit aufgebrochen. Die Überweisungen laufen bei diesem Verfahren nur über ein Gerät, das Smartphone. Zwei Apps ersetzen die zweistufige Authentifizierung. Die Praxis zeigt, dass die Apps mit Schadsoftware ausspioniert werden können. Außerdem: Wenn das Smartphone gestohlen wird, bekommt der Dieb leicht Zugang zum Bankkonto. Problematisch ist auch das Photo-Tan-Verfahren. Ausschlaggebend für Datensicherheit ist da die Pixelung des QR-Codes. Je feinpixeliger er ist, desto mehr Informationen sind enthalten und umso sicherer ist das Online-Banking.

Mit welcher Technik ist man auf der sicheren Seite?

Wojzechowski: Sehr verlässlich ist das m-Tan-Verfahren. Das gilt auch für die Chip-Tan-Technik, bei dem der Nutzer ein mobiles Lesegerät für die Bankkarte erhält. Noch sicherer ist das HBCI-Verfahren, das auch mit einem Chipkartenleser funktioniert. Es wird bis jetzt kaum eingesetzt.

Wie steht es um die Sicherheit neuer Apps von Fintechs?

Wojzechowski: Es handelt sich immer um eine Blackbox, der Quellcode liegt nicht offen. Die wenigsten Apps haben Zertifikate von unabhängigen Dritten. Nutzern bleibt also nichts anders, als den Herstellern zu vertrauen. Ein generelles Problem ist, dass neue Software in vielen Fällen nicht ausgereift ist, wenn sie auf den Markt kommt. Nicht ohne Grund bieten die Betreiber solcher Apps die sogenannten Bug-Bounty-Programme an. Dadurch belohnen sie das Finden und Berichten einer Sicherheitslücke an das Unternehmen. Wünschenswert wäre eine Prüfung durch unabhängige Dritte, bevor die App bereitgestellt wird.

Was sind die fiesesten Angriffstechniken?

Wojzechowski: Die höchsten Erfolgschancen haben Angreifer mit gezielten Phishing-Mails. Für solche E-Mails greifen Kriminelle im Netz vorher persönliche Informationen über ihre Opfer ab, zum Beispiel auf Facebook. Mit der Website Stalkscan lässt sich im Handumdrehen herausfinden, welchen Facebook-Gruppen sich jemand angeschlossen hat, was er geliked oder kommentiert hat. Solche Informationen öffnen Angreifern Tür und Tor.

Tückisch sind auch Fake-News in Social-Media-Kanälen. Oder Fake-Seiten, zum Beispiel Facebook-Seiten, die scheinbar zu einer Bank gehören. Häufig enthalten die Fälschungen Links in verkürzter Form, die zu Webseiten führen, die Schadsoftware ausspielen. Auch über Werbebanner schleusen Betrüger immer wieder Trojaner und andere Spähsoftware auf Computer, davor kann ein Werbeblocker schützen.

Die Schwachstelle ist der Nutzer?

Wojzechowski: In vielen Fällen ist das so. Typisches Beispiel sind Passwörter. Eine Studie des Hasso-Plattner-Instituts hat ergeben, dass 70 Prozent der Nutzer für verschiedene Accounts ein und dasselbe Passwort verwenden. Leichter kann man es Kriminellen kaum machen. Man muss sich mal vor Augen führen: Im Darknet werden unzählige Datensätze inklusive Passwörtern von Online-Shoppern gehandelt. Allein bei Yahoo sind bei drei Datendiebstählen eine Milliarde, 500 Millionen und nochmal 32 Millionen Account-Daten abhandengekommen.

Worauf sollten Nutzer unbedingt achten?

Wojzechowski: Vor allem sollte man beim Online-Banking immer wachsam sein. Nutzer sollten bei jedem Schritt schauen, ob wichtige Daten wie Iban, Überweisungsbetrag, Empfänger schlüssig sind. Sie sollten darauf achten, ob das Sicherheitszertifikat in der Adressleiste vollständig ist, also, ob links vor der https-URL das entsprechende Banner mit dem Sicherheitsschloss erscheint. Grundsätzlich empfiehlt es sich, die Adresse für das Online-Banking als Bookmark abzuspeichern und nur über diese Bookmark die Banking-Seite aufzurufen. Ganz wichtig auch: Die Antiviren-Software, das Betriebssystem und der Browser sollten immer auf dem neuesten Stand sein.

Biallo-Tipp

Welche Software-Schwachstellen nutzen Cyberkriminelle aus? Was für neue Methoden setzen sie ein? Welche Sicherheits-Updates gibt es? Auf der News-Seite des Instituts für Internet-Sicherheit der Westfälischen Hochschule finden Sie aktuelle Tipps:  https://www.it-sicherheit.de/securitynews

Ihre Meinung ist uns wichtig
Manfred Fischer
Manfred Fischer
Autor
Jetzt Artikel bewerten
E-Mail an den Autor
Artikelbewertung
Teilen
Drucken
Zur Startseite
Newsletter
Keine News mehr verpassen
Bitte geben Sie eine korrekte E-Mail Adresse ein:

Regeln für das Schreiben von Kommentaren:

  1. Kommentieren Sie sachlich und ohne persönliche Angriffe.
  2. Verfassen Sie keine Beiträge mit strafbarem, diskriminierendem, rassistischem, anstößigem, beleidigendem oder kommerziellem Inhalt und verweisen Sie nicht auf Seiten mit solchem Inhalt.
  3. Stellen Sie weder zu lange Texte noch Bilder ein, außer, wenn es unbedingt nötig ist.
  4. Veröffentlichen Sie keine personenbezogenen Daten Dritter, wie Namen, Adressen, Telefonnummern oder E-Mail-Adressen.
  5. Wenn Sie persönliche Mitteilungen oder Texte anderer Verfasser einstellen oder Kommentare anderweitig veröffentlichen möchten, beachten Sie die Rechte Dritter. Bei einer Verletzung dieser Rechte (z.B. Persönlichkeitsrecht, Urheberrecht, Datenschutz) haften Sie.
  6. Sie haben die Möglichkeit, Ihren Benutzernamen frei zu wählen. Sie sollten aber im eigenen Interesse markenrechtlich geschützte Namen vermeiden.

Quelle: www.datenschutzbeauftragter-info.de