2006/03/13 Phishing - Hektische Abwehr-Bemühungen der Banken
Bisher nur punktuelle Verbesserungen im Online-Banking-Prozess - Gesamt-Risiko nach wie vor zu Ungunsten der Kunden verlagert - Zweifel an ausreichender Sicherheit der bei den Banken beliebten Verisign-Zertifikate aufgetaucht - rechtliche Einordnung der Phishing-Attacken
Bisher nur punktuelle Verbesserungen
Weiterhin stark steigend ist die Zahl der Phishing-Mails gegen österreichische Bankkunden und Internetbenutzer. Mittlerweile sind auch - wie von der ARGE DATEN schon mehrfach prognostiziert - gewöhnliche e-Commerce-Anbieter von Phishing-Attacken betroffen. Auch hier wird versucht durch irreführende Warnhinweise an die Daten der Kundenkonten heran zu kommen.
Gleichzeitig reagieren die österreichischen Banken nur sehr zögerlich und halbherzig. Während ein Teil der Banken erst nach bitteren Phishing-Erfahrungen die Sequenzierung von TAN-Codes einführte (siehe unser Bericht: http://www2.argedaten.at/php/cms_monitor.php?q=PUB-TEXT-ARGED...), bieten etliche Banken längst das iTAN Verfahren an, bei dem bei jeder Transaktion ein ganz bestimmter TAN eingeben ist.
Nun steht eine neue Aktion der ehemaligen Postbank ins Haus. Bisher erfolgte der Onlinebanking-Zugang der PSK mittels der Kontonummer. Was bequem für den Konsumenten war, konnte leicht zur Sicherheitsfalle werden. Die Kontonummer ist ja keine vertrauliche Information und auch Personen bekannt, die Zahlung auf das Konto tätigen oder davon Überweisungen erhalten. Auch auf Geschäftspapieren findet sich oft die Kontonummer. Auch wenn zusätzlich ein Passwort benötigt wird, konnte doch ein Angreifer schon mit der Kontonummer allein zum probieren beginnen.
In Zukunft ist eine seperate und nicht erratbare Zugangskennung notwendig. Eine Selbstverständlichkeit, die halt bei manchen Banken besonders lange braucht um umgesetzt zu werden.
Sicherheit wird am Gesamtprozess zu messen sein
Obwohl sich nunmehr die Warnhinweise auf den Bankenwebsites häufen und somit wieder Gefahr laufen, die Kunden zu überfordern, wird der Gesamtgeschäftsprozess noch immer nicht durchgängig organisiert. Was unternehmensintern Stand der Technik ist, wird gegenüber Kunden noch immer nicht praktiziert.
Ein ordentlich organisierter Geschäftsprozess endet nicht bei der Formulierung waghalsiger Online-Banking-Geschäftsbedingungen, die praktisch das gesamte Risiko auf den Kunden abwälzt, sondern umfasst das komplette Design aller Geschäftsunterlagen und Abläufe.
So hat die PSK-Bank zum neuen Zugangsverfahren zusätzlich eine scheckkartengroße Karte herausgegeben. "Alles im Griff! Auf Ihrer persönlichen Sofa-Banking-Card haben Sie Ihre Daten immer griffbereit!" lautet die Werbebotschaft. Tatsächlich ist eine knapp gehaltene Hilfekarte ein wichtiger Beitrag zum sicheren Geschäftsprozess "Online-Banking". Doch offensichtlich ist das Design missglückt.
Neben "Verfügernummer", "Folgenummer" und "Kontonummer" enthält die Karte keinerlei für den Konsumenten (und Risikoträger) verwertbare Informationen. Wäre doch auf der Karte Platz genug für die Online-Banking-URL, für eine Service- und Notrufnummer für die Fälle, dass das Onlinebanking nicht benutzbar ist oder man das Konto rasch sperren möchte. Auch Angaben zum Sicherheits-Zertifikat, insbesondere der Fingerabdruck, der für die Zertifikatsprüfung unbedingt notwendig ist, fehlen.
Nicht einmal aus Marketingsicht ist die Karte geglückt. So fehlt sowohl das Bankenlogo, als auch anspruchvolles Design. So wird die Karte, wie viele andere "Sicherheitsinformtionen" unbeachtet in Schublade oder Papierkorb verschwinden. Wieder eine vertane Chance.
Damit ergibt sich die für den Konsumenten die gefährliche Situation, dass einerseits die Verantwortung über den korrekten Geschäftsablauf ihm übertragen wird, wesentliche Informationen ihm jedoch vorenthalten werden.
Zweifel an der Qualität der Verisign-Zertifikate aufgetaucht
Österreichs Banken verwenden praktisch durchwegs sogenannte Verisign-Class3-Zertifikate. Nach dem österreichischen Signaturgesetz entsprechen diese Zertifikate den "gewöhnlichen" Zertifikaten und sind somit der untersten rechtlich möglichen Stufe zuzuordnen. Der Grund liegt im schwachen Identitätsprüfungsprozess, der ausschließlich mittels Mails und Fax-Kopien abgewickelt werden kann. Zur Verifikation reichen letztlich Kopien von Telefonrechnungen, die den Firmennamen des Antragstellers enthalten. Ein durchschnittlich begabter Phisher könnte somit innerhalb weniger Tage ein "echtes" Verisign-Zertifikat erhalten, das von dem einer real existierenden Bank nur schwer unterscheidbar wäre.
Aus der Sicht der ARGE DATEN wird die Qualität der Zertifikate als "durchschnittlich" bewertet, weil zumindest theoretisch der Kunde die Möglichkeit hat durch Zusatzerhebungen die tatsächliche Identität des Online-Banking-Betreibers festzustellen.
Ein Professor der TU-Graz, der sich immer wieder mit Cryptographiefragen beschäftigt, hat hingegen Zweifel an der Zulässigkeit dieser Zertifikate geäußert. Man wird sehen wie die Banken auf diese Kritik reagieren werden und ob sie doch Zertifikate einsetzen werden die zumindest der fortgeschrittenen Signatur entsprechen, die einem wesentlich strengeren Identitätsprüfungsprozess unterliegen.
Phishing-Attacken fallen unter die Betrugsbestimmungen
§146 StGB, Betrug: Es wird eine falsche Identität oder eine fehlende eigene Leistungserbringung vorgespiegelt, was dazu führt, dass eine Leistung erbracht wird, die aber nicht gezahlt wird, da der eigentlich Berechtigte niemals etwas bestellt hat. Es tritt also eine Vermögensschädigung ein. Voraussetzung für die Anwendung des §146 ist, dass Ziel der Täuschung immer ein Mensch ist. Wird zum Beispiel eine falsche Kreditkartennummer angegeben, die in Folge von einem Menschen nochmal überprüft wird, so kommt §146 zur Anwendung. Wenn dagegen die Verarbeitung lediglich automationsunterstützt abläuft und kein Mensch involviert ist, kommt §148a zur Anwendung. Vor Leistungserbringung muss daher immer ein Mensch in den Vorgang involviert sein.
Online-Banking Wissen:
TAN = einmalig benutzbare Transaktionsnummer, die bei einer Kontoüberweisung anzugeben ist. Üblicherweise erhält der Kunde eine Liste dieser Nummern, TAN-Sequenzierung = die einmalig benutzbaren Transaktionsnummern (TAN) dürfen nur in einer bestimmten Reihenfolge benutzt werden,
iTAN = man wird aufgefordert eine bestimmte Transaktionsnummer einzugeben
|
