 |
(0)
|
saldo hat zehn Schweizer Online-Banken-Portale auf ihre Sicherheit überprüfen lassen. Fazit: Nicht alle Anbieter sind auf dem neusten Stand der Technik.
Online-Banking ist praktisch: Der Kunde kann seine Geldgeschäfte zu jeder Tageszeit und von überall aus erledigen. Auf der anderen Seite versuchen Hacker alles, um an das Geld der E-Banking-Nutzer zu kommen. In den letzten Jahren waren etwa die Migrosbank, die Zürcher Kantonalbank oder Postfinance Opfer von Angriffen. Betroffen waren jeweils eine Handvoll Nutzer.
Darum fragen sich viele Bankkunden, ob Online-Banking wirklich sicher ist. saldo wollte es genau wissen und hat darum die deutsche Sicherheitsfirma Syss GmbH beauftragt, bei zehn Schweizer Banken Schwachstellen und Programmierfehler ausfindig zu machen. Der Sicherheitscheck bestand aus drei Punkten:
Dieser Sicherheitscheck wurde bei folgenden Banken durchgeführt: Bank Coop, Basler Kantonalbank (BKB), Credit Suisse, Migrosbank, Neue Aargauer Bank, Postfinance, Raiffeisen, UBS, Valiant und Zürcher Kantonalbank (ZKB).
ZKB: Schwachstelle sofort behoben
Die gute Nachricht: Die Experten wurde nur bei der ZKB fündig. Die hier entdeckte Schwachstelle hätte es Betrügern erlaubt, die Website der Bank zu manipulieren. Die ZKB-Pressestelle bezeichnet in ihrer Stellungnahme die Schwachstelle als einen «absolut exotischen Fall». Die Lücke sei auf einer Seite gefunden worden, die nur bei schwerwiegenden technischen Fehlern auftrete, etwa bei Netzwerk- oder Hardware-Problemen. Die Session werde dann jeweils automatisch beendet: «Wir glauben deshalb, dass die Schwachstelle nur begrenzt ausgenutzt werden könnte», so ZKB-Sprecher Diego Wider. Trotzdem habe man das Problem sofort behoben.
Syss-Testexperte Alexander Brachmann hält jedoch fest, dass bei einem gezielten Angriff die veränderte Seite jederzeit auch ohne Fehler angezeigt werden könnte. «Die Kunden würden getäuscht und die Benutzerdaten wären an den Täter übermittelt worden.»
Wichtig sind neben einem sicheren Online-Portal der Bank geschützte Login-Verfahren. Hier kommen die Syss-Experten zu folgender Einschätzung.
Dank dieser Trennung von den übrigen Internetprogrammen auf dem Computer ist das System geschützt. Die Migrosbank verspricht, dass schon bald sämtliche Kunden vom neuen Login-System profitieren könnten. Wöchentlich würden 5000 Kunden zusätzlich ausgerüstet.
Valiant kündigt an, 2009 ein ähnliches System wie die Migros einzuführen. Auch die BKB und die Bank Coop wollen die Authentifizierungs-Möglichkeiten gegen Ende 2009 erweitern.
Sichere Verbindung lässt sich nochmals überprüfen
Bei vielen Betrugsversuchen arbeiten die Drahtzieher mit Websites, die dem Original sehr ähnlich sehen. Für den Kunden gibt es jedoch eine Möglichkeit, die Echtheit der Seite zu überprüfen. Dazu muss er die gesicherte Verbindung (SSL-Verbindung) genauer anschauen. Dies ist möglich, indem er sich das Sicherheitszertifikat der Website anzeigen lässt (siehe unten). Dieses enthält neben Angaben zum Inhaber des Zertifikats einen digitalen Fingerprint. Beim Fingerprint handelt es sich um einen langen Code aus Zahlen und Buchstaben, der nicht gefälscht werden kann. Diesen kann der Kunde mit dem Fingerprint abgleichen, den er von der Bank erhält oder anfordern kann.
Fingerprint-Test nicht bei allen Banken möglich
Die Stichprobe hat gezeigt, dass nicht alle Banken es den Kunden ermöglichen, diese Prüfung tatsächlich durchzuführen. Bei der Credit Suisse, der Bank Coop, der Neuen Aargauer Bank und bei Valiant war es während des Testzeitraums nicht möglich, den digitalen Fingerprint zu überprüfen, weil sich nirgends auf der Website Informationen zum Fingerprint fanden.
Die Unternehmen reagieren unterschiedlich auf diese Feststellung. Die Credit Suisse und deren Tochter, die Neue Aargauer Bank, halten den Abgleich für zu kompliziert und aufwendig für den Kunden und verzichten daher darauf. Bank Coop und Valiant dagegen wollen ihre Seiten überarbeiten und den Abgleich künftig ermöglichen.
So prüfen Sie die Website Ihrer Bank
01. Dezember 2008 | Mirjam Fonti
