News 26.11.2010, 06:36 Uhr

Mangelnde Sicherheit beim Onlinebanking

Beim Anteil der gefährdeten Onlinebanking-Anwender nennt Trend Micro eine Zahl von 84 Prozent. Und räumt mit der Vorstellung eines «sichersten» Webbrowsers auf.
Eine kürzlich durchgeführte Untersuchung ergab laut Sicherheitsanbieter Trend Micro erschreckende Zahlen. In einem untersuchten Fall seien 84 Prozent der Angriffe erfolgreich verlaufen.
Cyberkriminelle beschränken sich inzwischen nicht mehr auf den reinen Diebstahl von Benutzernamen und Passwörtern. Das würde bei den europäischen Zahlungsinstituten ohnehin nicht ausreichen, da diese zusätzliche Elemente wie Streichlistennummern, SMS-Codes und anderes erfordern. Vielmehr sei die zum Bankkonto-Plündern verwendete Software in der Lage, die verschlüsselte Onlinesession bei Benutzern zu kapern, die sich bereits ins Banking-Konto eingeloggt haben. Den Opfern dieser Angriffe wird während der Banking-Session vorgegaukelt, alles nehme seinen gewünschten Gang, wie etwa eine Überweisung vom einen Konto aufs andere. Stattdessen landet der Betrag bei den Angreifern.
Die meisten Anwender halten sich für ungefährdet, da sie sich nur auf sogenannt sicheren Webdomains bewegen. Die Gefahr einer Infektion mit einem Datenklau-Trojaner lauert jedoch auch dort. Rund ein Viertel der beobachteten Infektionen fanden über bekannte Domains statt, wie zum Beispiel google.com, microsoft.com und facebook.com. Am häufigsten waren soziale Plattformen betroffen. Die Anwender neigen dazu, einen Link vorschnell anzuklicken, wenn er angeblich von einem Bekannten stammt. Das wird von Cyberkriminellen missbraucht, indem sie Logindaten zu sozialen Netzen ausspionieren und die Anwender unter dem Namen des gekaperten Kontos auf Malware-Seiten locken.
Trend Micros Bedrohungsforscher Martin Rösler rät zu einer gesunden Portion Misstrauen: «Der gesunde Menschenverstand ist eines der wirksamsten Mittel im Kampf gegen die Kriminellen.»
Nächste Seite: Firefox am anfälligsten

Firefox am anfälligsten

Unsicherer Firefox
Trend Micro entkräftet die verbreitete Ansicht, der alternative Webbrowser Firefox sei sicherer als etwa Microsofts Internet Explorer. Die Infektion eines Systems erfolgt meist über Sicherheitslücken im Browser oder in einem Browser-Plug-In. Im untersuchten Zeitraum lagen erfolgreiche Angriffe auf Firefox mit 42 Prozent an der Spitze. Der Internet Explorer folgt weit dahinter mit 17 Prozent.
Martin Rösler sieht das Problem aber weniger bei der Wahl des Browsers: «Egal wie der eingesetzte Browser heisst oder welches Betriebssystem installiert ist – die Gefahr besteht überall. Deshalb müssen die Anwender so weit wie möglich selbst für ihren Schutz sorgen.»
Es sind typische Verhaltensmuster der Anwender, die den Cyberkriminellen direkt in die Hände spielen. Neben vorschnellen Klicks auf heikle Weblinks ist der lasche Umgang mit Passwörtern ein grosses Problem. Ausserdem geben Nutzer zu viele Daten von sich preis. Ein Angreifer, der eins und eins zusammenzählt, kann aus solchen Angaben sogar Passwörter erraten oder massgeschneiderte Nachrichten verfassen, die den Benutzer zur Preisgabe weiterer Daten verleiten.
Lesen Sie auf der nächsten Seite zehn wichtige Tipps, die besonders Onlinebanking-Anwender beherzigen sollten

zehn wichtige Tipps, die besonders Onlinebanking-Anwender ...

Tipps für mehr Sicherheit
Onlinebanking ist längst nicht so bequem, wie man es sich wünschen würde. Der Anwender ist zu einem grossen Teil für die Sicherheit seiner Daten verantwortlich. Und das erfordert, dass er den Kopf bei der Sache hat.
Erst denken, dann (nicht) klicken: Klicken Sie niemals auf eine Internetadresse, von deren Harmlosigkeit Sie nicht absolut überzeugt sind. Das gilt speziell für Links, die in E-Mails oder auf Facebook angeblich von Ihren Bekannten gepostet werden. Fahren Sie per Maus über einen Link, sehen Sie meist in der Statusleiste, wo er hinführt. Finger weg heisst es z.B. bei unbekannten Domains, besonders wenn diese eine Top-Level-Domain haben, die Sie von sich aus nicht besuchen würden, etwa .cn für China oder .ru für Russland. Wenn der Link statt der Domain nur eine IP-Adresse zeigt, sollten Sie ebenfalls vom Klick Abstand nehmen.
Zurückfragen: Fragen Sie Ihre Bekannten, worum es sich beim Link handelt. Wenn diese von nichts wissen oder in einer für sie unüblichen Art antworten, ist vom Klick ebenfalls abzuraten.
Phishing-Seiten: Es gibt Webseiten, die scheinbar bestimmte Dienste für soziale Netzwerke anbieten. So zum Beispiel jene, die behaupten, sie könnten aufzeigen, welche Facebook- oder MSN-Freunde Sie gesperrt haben. Solche Seiten wollen nur eines: Ihre Zugangsdaten in Empfang nehmen und damit Angriffe auf Ihre Bekannten starten.
Endlich sichere Passwörter: Ein sicheres Passwort ist mindestens acht Zeichen lang. Es besteht ausserdem aus einem zufälligen Mix aus Gross- und Kleinbuchstaben, Sonderzeichen und Ziffern. Wählen Sie unbedingt für jeden Dienst ein anderes Passwort.
Passwortverwaltung: Wird Ihnen das Auswendiglernen Dutzender sicherer Passwörter zu viel? Verwenden Sie das Gratisprogramm KeePass, das es in einer installierbaren und in einer portablen Version gibt.
Erst zum Update, dann zur Bank: Gewöhnen Sie sich an, jedesmal zuerst die Windows-, Browser- und Plug-In-Updates zu installieren, bevor Sie überhaupt daran denken, eine Banking-Seite anzusurfen. Dabei hilft Ihnen das für Privatanwender kostenlose Programm Secunia PSI.
NoScript für Firefox: Richtig angewendet, erhöht das NoScript-Add-On die Sicherheit von Firefox. Damit können Sie z.B. Scripts einer besuchten Domain temporär zulassen, während z.B. per IFRAME eingeschleuste bösartige Scripts aussen vor bleiben.
Virenscanner und Firewall: Setzen Sie einen Virenscanner und eine Firewall ein. Aber noch wichtiger: Seien Sie sich bewusst, dass solche Software heute nur noch einen Teil der Angriffe erkennen und abwehren kann.
Nicht auf dem Schmuddel-PC: Beim Surfen auf einem Fremd-PC verzichten Sie am besten konsequent aufs Eintippen von Benutzerdaten, wenn Sie nicht absolut sicher sind, dass der PC gut gewartet wird.
Formatieren statt reparieren: Sollte sich auf Ihrem PC einmal ein Schädling eingenistet haben, reicht es heute nicht mehr, bloss den Schädling zu entfernen. Es ist viel sicherer, wenn Sie die Festplatte formatieren und danach Windows und die Anwendungen neu installieren. Natürlich ist hierbei eine möglichst aktuelle Sicherung Ihrer Dokumente, Bilder etc. von Vorteil. Die können Sie danach wieder zurückspielen.
Auf mehreren Seiten lesen
Artikel drucken
Gaby Salvisberg
Kommentare
Avatar
Gaby Salvisberg
26.11.2010
Ich habe schon mehrere Antivirenlabor-Mitarbeiter getroffen, welche die Kombination von Firefox+NoScript für sicherer halten als den IE. Gruss Gaby
Avatar
Piranha
26.11.2010
Das grosse Problem ist hier eigentlich immer der, welcher vor dem PC sitzt.
Avatar
kek-kex
27.11.2010
Das grosse Problem ist hier eigentlich immer der, welcher vor dem PC sitzt. jup, und dies wird sich auch niemals ändern.
Avatar
gastrohost
29.11.2010
Ich habe schon mehrere Antivirenlabor-Mitarbeiter getroffen, welche die Kombination von Firefox+NoScript für sicherer halten als den IE. Gruss Gaby Was soll ich mit NoScript in meinem E-Banking? Sehr viele Banken setzen auf Aktive Inhalte im E-Banking. (z.B. um die IBAN direkt zu Prüfen und einer Bank zu zu ordnen). Theoretisch ist sogar Safari und Google Chrom sicherer als Firefox... Das Expolitenrisiko steigt mit der grösseren Verbreitung eines Browsers. (Ein Cracker währe ja blöd wenn er mühsam einen Expolit für den Browser "K-Meleon" schreiben würde um einen Rechner zu Infizieren, wenn er mit dem beinahe gleichen Aufwand tausende PC's mit Internet Explorer kapern könnte) Tatsache ist auch, dass viele Sicherheitslücken erst gefunden werden, wenn diese ausgenutzt werden. Das ist auch bei Firefox so. Nur weil keine Angriffe auf den Browser stattfinden, heisst das noch lange nicht dass da keine Sicherheitslecks sind! Und da sind wir wieder beim Paradoxum: Windows 98 ist derzeit eines der sichersten Betriebssysteme das es gibt. Da es nur noch von einer kleinen Minderheit eingesetzt wird, ist kaum noch Schadsoftware dafür im Umlauf... (Dieses Zitat habe ich von einem GData Entwickler) Das ist meine Meinung zur Sicherheit und Unsicherheit gewisser Browser. Zur Sicherheit beim E-Banking: Meine Bank hat als E-Banking-Lösung vor kurzem wieder eine Client-Software eingeführt, die nur mit dem dazu passenden USB-Stick und einem PIN-Code eingesetzt werden kann. Die Verbindung ist SSL-Verschlüsselt. Zudem wird per Hash ständig geprüft ob das Programm resp. teile davon nicht manipuliert wurde. Ein Tip für sicheres E-Banking: Linux oder einen Mac verwenden! Linux hat dank seiner geringen Verbreitung im Home-Computer-Sektor ein sehr, sehr kleines Infektionsrisiko... Bei Linux reicht es wenn man mit VirtualBox oder VirtualPC einen Virtuellen Rechner anlegt und dann die Live-CD der Lieblings-Distri mountet. Nach dem Reboot der VM ist alles wieder beim Alten...
Avatar
skyzem
29.11.2010
Tipps für ein Linux (virtuell) in Windows zu starten? Also, ich such eigentlich eine vernüftige VM, die 1. gratis, 2. einfach zu bedienen und 3. nicht zu viel ressourcen braucht. Es soll auch einem relativ leistungsschwachen PC laufen können. Kann man bei VM nicht einstellen wie viel RAM und Speicherplatz zugeteilt werden? Dachte ich zumindest. Welches wären gute Eckwerte, gerade eben für online Banking? Kann ich den VM-Speicher auf einen NAS auslagern, so dass der PC nur noch rechnen muss, aber keinen speicherplatz benötigt. Auch dass die Distri von mehreren PCs angesprochen werden kann? Evtl. sogar gleichzeitig? So viele Fragen... evtl. wäre ein gescheiter Link zum nachlesen auch ganz hilfreich. :) Danke und Gruss.
Avatar
Gaby Salvisberg
29.11.2010
Was soll ich mit NoScript in meinem E-Banking? Sehr viele Banken setzen auf Aktive Inhalte im E-Banking. (z.B. um die IBAN direkt zu Prüfen und einer Bank zu zu ordnen). Welchen Browser du für E-Banking nimmst, ist doch völlig wurscht. Wenn übers normale Surfen ein Schädling auf der Platte landet, kann er später mit hoher Wahrscheinlichkeit egal welche Browsersession übernehmen. Nur weil keine Angriffe auf den Browser stattfinden, heisst das noch lange nicht dass da keine Sicherheitslecks sind! Jetzt tust du grad so, als hätte ich das behauptet. Linux oder einen Mac verwenden! Linux hat dank seiner geringen Verbreitung im Home-Computer-Sektor ein sehr, sehr kleines Infektionsrisiko... Das stimmt nicht unbedingt, auch wenn es die Mac- und Linux-User (letzteres bin ich auch selbst) immer wieder behaupten. Bei jenen Usern wird auch nicht das OS angegriffen, sondern die darauf laufende Software. Und das ist welche? Genau: Adobe Reader, Firefox, VLC Player usw. Gruss Gaby
Avatar
gastrohost
29.11.2010
@skyzem Ich empfehle dir VirtualBox. Ist Opensocurce und findest du unter www.virtualbox.org. Die Eckdaten bestimmt natürlich die eingesetzte Distri. DSL z.B. läuft theortetisch schon auf einem 486DX mit 16 MB Ram. In der VM würde ich so 150 MB Ram setzen. Speicherpaltz braucht das Linux auch kaum, da man ja nur das CD-Image und keine Virtuelle festplatte mountet. Bei DSL sind das gerade mal 50 MB. Du kannst diese 50 MB theoretisch auf einem NAS hosten. Musst jedoch ggf. dann den Netzwerkpfad als Laufwerk Mappen... Ach ja. DSL hat nichts mit der gleichnamigen Internetverbindung zu tun sondern steht für Damm Small Linux (Etwa: Verdammt kleines Linux) http://www.damnsmalllinux.org/index_de.html @Gaby Salvisberg Zitat: Linux oder einen Mac verwenden! Linux hat dank seiner geringen Verbreitung im Home-Computer-Sektor ein sehr, sehr kleines Infektionsrisiko... Das stimmt nicht unbedingt, auch wenn es die Mac- und Linux-User (letzteres bin ich auch selbst) immer wieder behaupten. Bei jenen Usern wird auch nicht das OS angegriffen, sondern die darauf laufende Software. Und das ist welche? Genau: Adobe Reader, Firefox, VLC Player usw. Programme und Tools welche für Windows, Linux und Mac verfügbar sind, sind trotz gleichem Aussehen grundverschieden. Sie werden speziell für das jeweilige Betriebsystem zugeschnitten. So sind die Sicherheitslücken die z.B, Firefox unter Windows hat unter Linux resp. MacOS gar nicht verfügbar. Und wenn auch, Sicherheitslücken werden nur benötigt um Schadcode auf das Opfer zu übertragen und dort auszuführen. Auch wenn die Sicherheitslücke unter Windows und Linux vorhanden währe, müsste der Angreifer für Windows und Linux einen unterschiedlichen Schadcode entwickeln um beide Systeme übernehmen zu können. Im weiteren sind Linuxrechner keine sehr schönen Ziele. Es gibt ja nicht "Das Linux" sondern es gibt X Distributionen die sich technisch sehr stark unterscheiden. Eine Masseninfektion ist also nicht wirklich möglich. Zudem ist bei Linux und den meisten anderen Unix-Derivaten (MacOSX basiert auf BSD und ist somit auch unixoid) der Kernel monolythisch. Wirklich gefährliche Angriffe sind also nur über Root-Kits möglich. Doch ob es sich lohnt für jede Distribution ein eigenes Root-Kit zu entwickeln?
Avatar
skyzem
30.11.2010
Danke. Auf VirtualBox bin ich gestern gestossen. Habs mir auch gleich mal installiert. Danke auch für den Hinweis auf DSL. Kannte ich schon, ist aber wieder in vergessenheit geraten.
Bitte loggen sie sich ein, um einen Kommentar zu verfassen.