Blogjoy.de

Mehr als die Hälfte der deutschen Internetnutzer erledigt private Bankgeschäfte inzwischen online. Um weitere Kunden zu überzeugen, sollten Institute vor allem Vorbehalte gegenüber der Sicherheit überwinden. Denn für 64 Prozent der Bankkunden sind Sicherheitslücken der wichtigste Grund, Banktransaktionen nicht online durchzuführen.

Vor allem die Angst vor PIN-Diebstahl (Phishing), führt dazu, dass Bankkunden ihre Geldgeschäfte weiterhin in der Filiale erledigen. Dies ergab die Trendstudie “Bankpräferenzen” des Consulting- und Softwarehauses PPI AG in Kooperation mit Handelsblatt.com und dem IMWF Institut für Management- und Wirtschaftsforschung.

Vier von zehn “Internet-Banking-Verweigerern” befürchten zudem, dass die Kreditinstitute keine Haftung bei Online-Geschäften übernehmen. Die Angst, für den entstandenen Schaden selbst aufzukommen, ist allerdings unbegründet: Das europäische Parlament hat 2007 die Zahlungsverkehrsdirektive (PSD) verabschiedet, in der die Position des Kunden gestärkt wird. Im November 2009 wird die PSD in nationales Recht umgesetzt. Zukünftig haftet der Internet-Nutzer lediglich bei grober Fahrlässigkeit – und das zusätzlich begrenzt auf eine Höhe von 150 Euro. “Dies ist ein wichtiger Schritt in die richtige Richtung, sagt Uwe Prieß, Vorstandsvorsitzender der PPI AG. Es wäre wünschenswert, wenn der Gesetzgeber darüber hinaus weitere Maßnahmen ergreift, um das Bedürfnis der Kunden nach Sicherheit weiter zu verbessern. Gleichzeitig sind die Verbände aufgefordert, flankierende Vertragsgestaltungen zu entwerfen, so dass auch hier die Transparenz für den Online-Nutzer verbessert wird. Das bietet Chancen für alle Beteiligten am Online-Banking”.

Um nun die letzten Vorbehalte der Bankkunden gegenüber Online-Banking abzubauen, investieren immer mehr Kreditinstitute in verbesserte technische Verfahren. Beispielsweise haben viele Banken das als bisher sicherer geltende iTAN-Verfahren bereits abgelöst und durch ein Kartenlesegerät mit elektronischer Signatur ersetzt. Darüber hinaus bieten dynamische TAN-Generatoren sowie SMS-TAN erheblich mehr Sicherheit bei Online-Transaktionen. Um die Akzeptanz der Verfahren zu steigern, stellen Kreditinstitute die nötige Hardware vereinzelt kostenlos zur Verfügung. “Banken die bis jetzt mit ihrer Technik noch nicht auf diesen Zug aufgesprungen sind, sollten dies schnellstmöglich tun”, erklärt Uwe Prieß.

Gründe für die Ablehnung von Online-Banking

Zu hohes Risiko 64%
Angst vor Phishing 48%
Banken übernehmen keine Haftung 41%
Mir ist die persönliche Beratung wichtig 36%
Geschäfte über die Filiale sind sicherer 33%
Angst vor Viren und Würmern 29%
Angst vor Trojaner 29%

n=66 © PPI AG

Hintergrundinformationen Die Studie “Bankpräferenzen 2008″ stellt die Ergebnisse einer Online-Befragung dar, die im Auftrag von PPI in Kooperation mit dem IMWF Institut für Management- und Wirtschaftsforschung und Handelsblatt.com durchgeführt wurde. An der Befragung haben 859 Endverbraucher teilgenommen. Befragungszeitraum: 6. bis 27. Oktober 2008.

Update-Manager helfen, installierte Software aktuell zu halten und schließen so eventuelle Einfallstore für Kriminelle. Wer möglichst viele Gefahrenquellen ausschließen will, sollte mehrere dieser Tools parallel laufen lassen, rät das Computermagazin c’t in der aktuellen Ausgabe 19/08.

Viele populäre Programme wie Mozilla Firefox, Apple QuickTime, Adobe Reader und Flash verfügen schon über eigene Aktualisierungsfunktionen. Genervt von den ständigen Update-Meldungen haben aber viele User diese Funktion abgeschaltet. Dabei sind die neuen Software-Versionen durchaus wichtig. Mit den Updates werden in der Regel auch kritische Sicherheitslücken geschlossen, über die Angreifer aus dem Internet Zugriff auf den PC erlangen können.

Damit Anwender nicht mühsam manuell nach aktuellen Versionen suchen müssen, gibt es sogenannte Update-Manager. Diese kostenlosen Tools durchforsten die vorhandene Software auf dem PC und vergleichen die installierten Versionen mit den aktuell verfügbaren.

“Uneingeschränkt empfehlenswert ist keines der gestesteten Produkte”, urteilt c’t-Sicherheitsexperte Daniel Bachfeld. Der Secunia Personal Software Inspector beispielsweise legt seinen Fokus auf Sicherheit und vergleicht nicht nur die installierte und die verfügbare Version, sondern bezieht die Secunias Datenbank über Sicherheitslücken in Produkten mit ein. So kann Software durchaus veraltet sein, ohne dass sie ein Sicherheitsproblem darstellt. Bei der Bedienung überzeugte hingegen der FileHippo Update Checker, der die Ergebnisse übersichtlich im Browser darstellt und zudem über einen Update-Button verfügt, mit dem man ohne Umwege die neueste Version installieren kann. Allerdings erkennt dieses Tool nur die gängigsten Anwendungen. In punkto Erkennungsrate und Flexibilität hatte das Programm SUMo die Nase vorn, das bis zu 90.000 Anwendungen unterstützt.

“Am besten man kombiniert diese drei Produkte miteinander, dann ist man auf der sicheren Seite”, so c’t-Redakteur Daniel Bachfeld.

Sicherer Zugriff aufs Online-Konto – Online-Banking: Zahl oder Karte

Wer seine Bankgeschäfte wirklich sicher über das Internet abwickeln möchte, greift zum neuen Kartenleser-Standard Secoder oder nutzt das mTAN-Verfahren. Bietet die Bank nur ältere Kartensysteme oder iTAN an, ist das die zweitbeste Wahl. Das einfache TAN-Verfahren ist schlichtweg nicht mehr zeitgemäß, wird aber noch immer eingesetzt, so das Computermagazin c’t in der aktuellen Ausgabe 17/08.

Bankkunden sind Ziel Nummer eins der Kriminellen im Internet: Die Schäden durch das Ausspähen von privaten Kontodaten sind nach Angaben des Bundeskriminalamts im vergangenen Jahr drastisch gestiegen: 2007 wurden mit 4200 Fällen 700 mehr registriert als im Jahr zuvor.

Doch gibt es durchaus sichere Verfahren fürs Online-Banking: Beim mTAN-Verfahren erhält der Bankkunde Empfängername, Betrag und eine Transaktionsnummer über sein Handy, mit dem er die Transaktion im Internet bestätigt. Anders funktioniert das iTAN-Verfahren: Die Bank gibt vor, welche Transaktionsnummer der Kunde von einer vorher zugeschickten Liste angeben soll. “Allerdings gibt es längst Trojaner, die das iTAN-Verfahren aushebeln können”, so c’t-Redakteur Daniel Bachfeld.

Das einfache TAN-System aus der Computersteinzeit, etwa noch von der citibank eingesetzt, ist inzwischen relativ leicht zu knacken. Trotzdem sind die Kunden auf der sicheren Seite, denn zum Ausgleich versichert die Bank, für mögliche Betrugsschäden aufzukommen.

Kartenlesegeräte nach dem HBCI-Standard gelten beim Online-Banking als relativ sicher. Dabei signiert der Anwender seine Transaktion mit einem geheimen auf einer Karte gespeicherten Schlüssel und schickt das Ganze an die Bank. Doch gibt es bereits Angriffsszenarien, die auch dieses System zum Wackeln bringen, dem iTAN-Verfahren ist es aber immer noch vorzuziehen. Der neue Standard Secoder hingegen ist nicht nur sicherer, sondern bietet auch viele andere nützliche Funktionen. Er eignet sich gemeinsam mit einer Geldkarte auch zum Bezahlen im Internet und für den Altersnachweis auf Webseiten. Bisher wird er aber nur von Volks- und Raiffeisenbanken im Norden und Westen unterstützt.

Als alternative sichere Lösung gegen Banking-Trojaner und Phishing-Angriffe bietet sich c’t Bankix an. Die Software auf Linux-Basis befindet sich auf der aktuellen Heft-DVD. Damit lässt sich eine personalisierte CD-Version von c’t Bankix erstellen, die direkt von der Scheibe aus startet – dann sind auch eventuell auf der Festplatte vorhandene Schädlinge machtlos. Wer diese Lösung zuvor testen möchte, kann c’t Bankix auch direkt von der Heft-DVD aus booten.

Im Internet einzukaufen ist komfortabel, spart Geld und wird immer beliebter. Weihnachten lässt die Kassen der Online-Shops ordentlich klingeln. Hochkonjunktur nicht nur für seriöse Anbieter, sondern auch für die eCrime-Society.

Die Tricks der Betrüger und Datendiebe sind ausgefeilt und reichen von klassischen Phishing-Mails, Drive-by-Infektionen bis zu Malware- verseuchten E-Cards. Letztere Form sollte Anwender aufhorchen lassen, da Kriminelle diese zur Einschleusung von Schadcode nutzen. G DATA empfiehlt daher, Weihnachts- und Spenden E-Mails unbekannter Herkunft direkt zu löschen. Ein viel größeres Gefahrenpotential geht jedoch zurzeit von Trojanischen Pferden aus, die beim Online-Shopping unbemerkt Login-Daten aufzeichnen und automatisch an Cyber-Kriminelle versenden.

Last-Minute-Shopping ohne Hektik: Bequem die letzten Geschenke im Internet aussuchen, mit einem Klick bestellen und dann einfach per Kreditkarte zahlen. Die Weihnachtszeit ist für den Online-Handel ein großes Geschäft. Allein in Deutschland rechnet der Fachverband BITKOM mit einem Umsatzvolumen von 8 Milliarden Euro. Dies weckt natürlich Begehrlichkeiten und Cyberkriminelle gehen aktuell verstärkt auf Datenjagd. Millionenfach überfluten Spam- und Phishing-Mails die Postfächer – das Ziel: Diebstahl von Zugangsdaten für Online-Banking, Ebay-Accounts und Kreditkarteninformationen.

Das ist jedoch nur eine Seite der Phishing-Medaille. Die deutliche Mehrzahl der Angriffe erfolgt mittlerweile durch Trojanische Pferde. Wer seinen Rechner per E-Mailanhang, Download, autonome Internet-Würmer oder auf einer Webseite infiziert hat, kann schnell mehrere tausend Euro verlieren. Die spezialisierten Trojaner lauern im Hintergrund und warten darauf, dass Anwender eine Online-Bank oder einen Online-Shop besuchen. Sobald die Anmeldeseite aufgerufen wird, schaltet sich die Datendiebstahlsoftware scharf und sendet alle Eingaben an die Server der Datendiebe. Mit den gestohlenen Daten gehen die Cyberdiebe dann auf Kosten der Opfer einkaufen.

“Kriminelle haben ihre Netze zu Weihnachten weit ausgelegt. Die Phishing-Mails an Kunden der Citibank-, Volks- und Raiffeisenbank und der Sparkassen sollten alle Empfänger direkt löschen. Ein viel gefährlicheres Einfallstor stellen jedoch Trojanische Pferde dar. Für viele Nutzer nicht erkennbar, fügen diese in die Anmeldeseite zusätzliche Felder oder ganze Webseiten ein. Die dort ermittelten Daten werden in kürzester Zeit für weitere Transaktionen verwendet. Andere Banking-Trojaner warten bis alle Daten eingegeben wurden und übernehmen dann die Browsersitzung. Die Kontodaten werden dann so geändert, dass das Geld auf den Konten der Mittelsmänner landet, die es schnellstmöglich nach Osteuropa transferieren. Das Opfer bemerkt davon nichts, da die Antworten des Bankservers vom Banking-Trojaner gefälscht werden.”, so Ralf Benzmüller, Leiter G DATA Security Labs.

7 Tipps für sicheres Online-Shopping

1. Setzen Sie beim und vor dem Online-Shopping auf leistungsfähige Sicherheitspakete die Viren-, Phishing- und Spam-Schutz integriert mit einer leistungsfähigen Firewall anbieten und den http-Traffic permanent auf Schadcode untersuchen.

2. Halten Sie Windows und Ihren Virenschutz auf den neuesten Stand und installieren Sie Security-Updates und Patches der wichtigsten Anwendungen.

3. Momentan stehen bei Crackern Sicherheitslücken in WinZip, Acrobat Reader, Quicktime und Flash hoch im Kurs. Wer diese Programme nutzt, sollte sie baldmöglichst auf den neuesten Stand bringen.

4. Achten Sie bei Online-Shopping auf die Echtheit der angesteuerten Seiten. In der Regel ist die mit https:// beginnende URL und das zugehörige SSL-Zertifikat überprüfbar.

5. Löschen Sie Mails, die vorgeblich von Banken oder Webshops stammen, in denen Sie aufgefordert werden Ihre Zugangsdaten einzugeben. Seriöse Webseiten verfassen keine derartigen Aufforderungen, schon gar nicht per E-Mail.

6. Falls Sie E-Cards unbekannter Versender erhalten, gehören diese direkt in den Papierkorb. Online-Kriminelle nutzen E-Cards gerade zu Weihnachten zum Einschleusen von Schadcode. Das Gleiche gilt für Bildschirmschoner, Filme und andere Weihnachtsgimmicks.

7. Nach der Anmeldung bei einem Online-Shop sollten Sie sich auf keinen Fall vergessen sich auch wieder abzumelden. Sonst bleiben die Cookies gültig und jemand anderes könnte damit die Einkaufstour fortsetzen oder Ihre privaten Daten ausspähen.

Symantec präsentiert einen Rückblick auf die Trends des Jahres 2007 und gibt einen Ausblick auf mögliche Gefahren des vor uns liegenden Jahres 2008. Gefährliche Pannen durch Datenverlust führen die Liste der Top-Security Trends an.

Das Jahr 2007 neigt sich dem Ende zu – ein Jahr in dem sowohl das Volumen als auch die Komplexität der IT-Sicherheitsbedrohungen weiter zugenommen haben. Datenverlust, Sicherheitslücken in Windows Vista, Professionalisierung von Spam und Cybercrime führen die Symantec Top 10 Liste zu Security-Trends dieses Jahres an. Für nächstes Jahr prognostizieren die Symantec-Experten neue Arten von bösartigen IT-Aktivitäten, die erahnen lassen, dass schadhafte Codes in Zukunft gefährlicher und zielgerichteter eingesetzt werden.

Vor allem neue technische Entwicklungen sind Nährboden für Sicherheitsrisiken. Eine Zunahme von Gefahren im Zusammenhang mit Botnetzen, Webdiensten, mobilen Plattformen, Spam und virtuellen Welten steht uns ins Haus. Generell hat sich die Motivation von Hackern und Internet-Betrügern geändert: War in der Vergangenheit noch das Streben nach Bekanntheit treibende Kraft für die Verbreitung von schadhaftem Code, stehen heute fast ausschließlich finanzielle Interessen hinter den Aktivitäten.

Top 10 Internet Security-Trends 2007

1. Datenverlust – Gefährliche Pannen Die meisten Fälle von Datenverlust waren auf das Verschwinden von Equipment zurückzuführen. 46% aller zu Identitätsdiebstahl geeigneten Datenverlustfälle wurden in der ersten Jahreshälfte 2007 durch Diebstähle oder den Verlust von Computern und Datenträgern verursacht. Und das sind nur die an die Öffentlichkeit gelangten Fälle. Vor allem die Finanzindustrie, der Handel und der Personalrekrutierungssektor waren betroffen.

2. Vista Einführung – neues Ziel für Angreifer Microsoft Vista feierte seinen Einstand und binnen kurzer Zeit fanden Angreifer Sicherheitslücken. Microsoft hat bis Ende Oktober 2007 bereits 16 Sicherheits-
Patches für das neue Betriebssystem veröffentlicht.

3. Spam – Rekordhoch für die ungewollten Nachrichten 2007 erreichte der Spam-Versand ein neues Rekordlevel. Während Image-Spam zurückging, trat PDF-Spam auf den Plan. E-Card-Spam war auch für die Verbreitung des “Storm-Worm” verantwortlich. Storm-Entwickler versuchten mit gefälschten Grußkarten Anwender zu überlisten und auf verseuchte Websites zu locken.

4. Professionelle Attack Kits – Die Kommerzialisierung der Cyberkriminalität Über die letzten zwei Jahre beobachtete Symantec einen merklichen Anstieg der Cyberkriminalität. Entwicklung, Vertrieb und Implementierung wurden dabei professioneller und kommerzieller. Ein Beispiel ist das ausgereifte und online zum Verkauf angebotene Hacker-Tool Mpack, das mit verantwortlich für die rasant ansteigende Zahl der Web-Angriffe ist. Ein weiterer Hinweis für die zunehmende Kommerzialisierung von Schadcode sind Qualität und Anzahl angebotener Phishing Toolkits. Phishing-Kits sind zwar keine Neuerfindung der IT-Szene, Anzahl und Qualität zeigen aber die zunehmende Professionalisierung. Auch weniger technikbegabte Hacker können mit solchen Bausätzen Bank- und andere lukrative Daten ausspionieren.

5. Phishing – Das Angeln nach sensiblen Daten nimmt zu Phishing (von “password fishing”) blieb 2007 mit 18 Prozent Zunahme von spezifischen Phishing-Seiten in der ersten Jahreshälfte ein großes Thema. Besonders Phishing Tookits trugen ihren Teil zu dem Problem bei. Nur drei Phishing-Toolkits waren für 42 Prozent der Phishing-Seiten in der ersten Jahreshälfte verantwortlich.

“Rock Phish”, das für ein Phishing-Toolkit als auch für die dahinterstehende Organisation steht, wurde eines der populärsten Online – Phishing-Toolkits.

6. Instrumentalisieren von vertrauenswürdigen Marken – bekannt heißt nicht immer sicher Im letzten Jahr wurden auch bekannte Marken Opfer krimineller Aktivitäten. Dabei handelt es sich nicht nur um von Betrügern gefälschte Seiten, vielmehr wurden echte Websites infiziert. Vertrauenswürdige Seiten oder Anwendungen wurden durch Angreifer infiziert, um beim Besuch der Seite beziehungsweise der Benutzung der Anwendung durch einen Nutzer dessen Computer anzugreifen. Insbesondere Social Network–Seiten waren Angriffsziele der Hacker.

7. Bots – ferngesteuerte Rechner am Vormarsch Hacker nutzen für ihre illegalen Machenschaften und, um anonym zu bleiben, in der Regel nicht die eigenen Computer, sondern schleusen Schadprogramme in Computer ein und steuern sie darüber fern. Diese “Zombie-Rechner” werden von Cyberkriminellen auch zu großen Netzwerken zusammengeschlossen – sogenannten “BotNets”. Täglich sind durchschnittlich fast 19.000 Rechner in BotNets in Europa aktiv. Bot-Nets waren auch im vergangenen Jahr Ursache vielfältiger Angriffe.
Gefahren wie der Storm-Worm Peacomm nutzte ebenfalls Bot-Technologie.
Besonders einprägsam im vergangenen Jahr war eine Reihe von DDOS (distributed denial of service) Attacken auf diverse Internetseiten in Estland am 27. April.

8. ActiveX Schwachstellen – Die Sicherheitsgefahr durch Softwarekomponenten ActiveX Schwachstellen und deren Ausnützung sorgten 2007 weiterhin für Ärger bei IT-Personal. Da Anbieter verstärkt auf Schwachstellen in Webbrowsern reagierten, richten Angreifer ihre Angriffe auf Schwachstellen in Browser Plug-ins. Vor allem über ActiveX wurde Schadcode sowohl von fragwürdigen als auch von vertrauenswürdigen Webseiten übertragen. 89% aller Browser Plug-in Schwachstellen betrafen ActiveX Komponenten für den Internet Explorer – ein Anstieg von 58% in der letzten Periode.

9. Schwachstellen zum Verkauf – der Marktplatz für Sicherheitslücken wächst “Wabi Sabi Labi” gab seinen Einstand und bot ein auktionsartiges System zum Verkauf von Schwachstellen-Information an den Höchstbieter an. Das war Ausgangspunkt einer Branchendebatte, wie mit Schwachstellen–Information umzugehen ist.

10. Sicherheitsfolgen der Virtualisierung – die unterschätzte Gefahr einer jungen Technologie Nicht nur beim Börsegang des Keyplayers VMware sorgte Virtualisierung 2007 für große Schlagzeilen – die Sicherheitsbelange der Virtualisierung liegen aber großteils noch im Dunkeln. Nicht nur für Unternehmen, auch für Hacker könnte dieser Bereich zunehmend attraktiv werden.

Internet Security-Trends für 2008
Auch 2008 bleibt der Schutz vor Security-Problemen das Nummer 1 Thema für Nutzer.

- Bot Entwicklung – “Zombie Rechner” werden immer cleverer Symantec erwartet, dass sich Bots diversifizieren und im Verhalten weiterentwickeln. So könnte es zukünftig mehr Phishing Seiten geben, die von Bot – Zombies gehosted werden.

- Erweiterte Internetgefahren – mehr Webdienste, mehr Probleme Da die Anzahl der verfügbaren Webdienste zunimmt erwartet Symantec, dass die Anzahl der webbasierten Gefahren weiter ansteigt.

- Mobile Plattformen – Handys im Fokus Das Verlangen nach mobiler Sicherheit ist größer als je zuvor. Handys werden immer komplexer, verstärkte Angriffe sind wahrscheinlich.

- Spam Entwickung – Spam wird zur multimedialen Plage Der Inhalt von Spam wird immer ansprechender für die Leser und Spammer werden auf populäre Themen setzen. Dabei ist auch eine Zunahme der Nutzung neuer Arten von Attachments zu erwarten, wie etwa Mp3, Flash etc. Auch die Verbreitung von Spam auf den populären Social Networking Seiten könnte 2008 zum Problem werden. Die Symantec-Experten rechnen mit gezielten Attacken auf Computer- und Systemschwachstellen, zum Diebstahl persönlicher Informationen.

- Virtuelle Welten – neue Universen, neue Gefahren Kriminelle, Phisher und Spammer richten ihre Aufmerksamkeit mehr und mehr auf neue Communities. Symantec erwartet durch die Zunahme an Virtuellen Welten (Persistent Virtual Worlds) und Multiplayer Online Spielen (MMOGs) ein Auftreten neuer Gefahren.

- Suchmaschineneinträge – Manipulierte Ergebnisse Mit verschiedenen Methoden, wie beispielsweise dem Überschwemmen von Foren und gehackten Webseiten mit Links, werden speziell erstellte Webseiten bei Suchanfragen auf Platz 1 gehoben. Diese Seiten sind dann Spam-Seiten oder sogar mit Drive-By Downloads verseucht. Beispielhaft war der Fall von Al Gores Webseite, auf der eine große Anzahl unsichtbarer Links platziert wurde, die auf pharmazeutische Produkte verwiesen.

Weblink: symantec.com