Sichere Geldtransaktionen im Internet

Electronic Banking bietet für den Bankkunden einen unbestreitbaren Vorteil: Er spart sich den Weg zur Bank und ist nicht mehr von deren kurzen Öffnungszeiten abhängig. Für die Geldinstitute bringt die automatische Verarbeitung der Aufträge eine deutliche Kosteneinsparung. Beide Parteien profitieren von der schnellen Datenübertragung und der geringeren Fehlerquote bei der Auftragserfassung. Liegen die Kontodaten von Anfang an in digitaler Form vor, so können sie Privatkunden wie Unternehmen ohne fehlerträchtige Neueingabe für Analysen oder Bilanzen nutzen.

Zugriffsschutz

Damit Onlinebanking sichere, schriftlich erteilte Aufträge ersetzen kann, muss es kompromisslos sicher gegen unbefugten Zugriff sein. Dies setzt eine verlässliche Identifikation des Benutzers voraus. Hat ein berechtigter Benutzer eine Verbindung zum Bankportal aufgebaut, muss diese Verbindung gegen das Ausspionieren der übertragenen Daten ebenso gewappnet sein wie gegen deren Verfälschung.

Das Internet bietet keine physikalisch abgeschirmte Verbindung zwischen Sender und Empfänger. Der Weg der Daten ist für den Absender nur in sehr eingeschränktem Umfang kontrollierbar. Die Datenpakete für die Verkehrssteuerung sind in keiner Weise gegen Verfälschung geschützt, da in den 70er Jahren, als das Internet entstand, niemand mit böswilliger Manipulation rechnete.

Speist ein Angreifer zum Beispiel zusätzliche Routing-Informationen in Form gefälschter ARP- oder DNS-Pakete ein, so kann er oftmals den Datenstrom über bestimmte Knotenrechner lenken. Damit ist er in der Lage, einen unverschlüsselten Datenstrom mitzuhören und zu manipulieren. Die Attraktivität dieser Angriffsart beruht zum großen Teil darauf, dass der Angreifer seine Attacke von überall her ausführen kann. Erschwerend kommt hinzu, dass insbesondere Windows über das Netz empfangene Daten teilweise ungefragt als Programmcode ausführt. Damit stehen einem Angreifer alle Möglichkeiten für die Manipulation von Software zur Verfügung.

Damit Electronic Banking trotz unsicherer Übertragungswege sicher bleibt, muss es drei Forderungen erfüllen:

• Authentifizierung: Beide Kommunikationspartner müssen
  zweifelsfrei feststellen können, mit wem sie es am jeweils
  anderen Ende der Verbindung zu tun haben.
• Kryptographische Absicherung: Die Daten müssen
  während der Internet-Übertragung so kodiert sein, dass
  sie sich weder lesen noch verfälschen lassen.
• Absicherung gegen Computersabotage: Die Computersysteme beider
  Seiten müssen gegen Angriffe aus dem Netz resistent sein.

Selbst wenn die Technik sicher ist, bleibt als Risikofaktor immer noch der Mensch und sein mangelndes Sicherheitsbewusstsein. Dem Autor fällt als Beispiel eine Bankkundin ein, der eine Bankmitarbeiterin 2006 geholfen hatte, die Felder einer Phishing-Mail richtig auszufüllen. Bei der Volksbank in Kiel soll es eine interne Anweisung gegeben haben, Kunden vom sicheren HBCI-Banking abzuraten, da es mit dem Webportal weniger Probleme gebe. Allerdings datieren diese Anekdoten in die Vergangenheit. Gegenwärtig, so scheint es, haben zumindest Banken mit großen zentralen Rechenzentren wie die Volksbanken und Sparkassen eklatante Sicherheitmängel behoben. Auch das Problembewusstsein der Mitarbeiter ist gewachsen.

Einfach gemacht

Das einfachste Verfahren für Internet-Banking ist die unverschlüsselte Verbindung zwischen Kunden- und Bankrechnern über eine HTTP-Verbindung. Auf der Kundenseite kommt ein Browser zum Einsatz, der ohnehin auf dem Kundenrechner vorhanden ist. In der Praxis ist dies oft der Internet-Explorer. Noch vor fünf Jahren war nicht einmal sebstverständlich, dass die Web-Portale der Banken mit Linux-Browsern funktionierten [1].

Als Identifikation für den Kunden dient ein Passwort (PIN). Als Berechtigungsnachweis für einzelne Transkationen dient ein einmalig zu verwendendes Zusatzpasswort (TAN), dass für jede Überweisung zusätzlich einzugeben ist. Der Rechner der Bank identifiziert sich überhaupt nicht. Der Kunde kann sich nur darauf verlassen, dass er die richtige URL eingegeben hat, und dass das DNS-System die Verbindung korrekt hergestellt hat. Der einzige Anhaltspunkt um dies zu prüfen ist die Optik der Seite.

Für einen Angreifer ist es nach erfolgreicher Umleitung des Datenverkehrs leicht, die Daten so zu verfälschen, dass die Überweisung auf das Konto eines Geldwäschers erfolgt, der nach Abzug seiner Provision das Geld meist per bar auszahlbarer Western-Union-Anweisung in das Zielland transferiert. Wegen der explosionsartig anwachsenden Schadenssumme aus dieser Art von Computerbetrug führten die Banken zunächst eine verschlüsselte Verbindung über das HTTPS-Protokoll ein.

Die verschlüsselte Datenübertragung ändert aber nichts an den entscheidenden Schwachstellen des PIN/TAN-Verfahrens: Die Authentifizierung des Kunden erfolgt lediglich über geheim zu haltendes Wissen, nämlich die PIN- und TAN-Nummern. Für die Authentifizierung der Bank sorgt das HTTPS-Protokoll.

Sie verlässt sich damit auf eine von etwa 100 weltweit tätigen und vom Browser-Hersteller als vertrauenswürdig eingestuften Firmen, die die Identität des Servers bestätigt hat. Solche Bestätigungen sind gegen ein Fax mit Briefkopf und einer gültigen E-Mail-Adresse erhältlich. Ob jede der über hundert Zertifizierungsstellen, denen die gängigen Browser vertrauen, die Identität der antragstellenden Firmen verlässlich prüft, ist fraglich. Die Verschlüsselungsstärke des HTTPS-Protokolls ist zudem variabel und kann von schwach (40 Bit) bis "nach dem Stand der Technik nicht zu brechen" (128 und mehr Bit AES) ausfallen. Client und Server handeln dies ohne Zutun des Benutzers aus. Ein direkter Angriff gegen die Verschlüsselung lohnt sich aber im allgemeinen auch bei schwacher Verschlüsselung nicht. Viel effizienter ist der Man-in-the-Middle-Angriff, bei dem der Angreifer dafür sorgt, dass die Kommunikation seine eigenen Schlüssel verwendet.