Seit Jahrzehnten ist es in diversen Benutzerrichtlinien, Sicherheitsleitlinien oder wie es auch immer heißt, verankert:

• Schließe keine Firmenhardware an private Geräte oder Datennetze an.
• Nutze keine private Software und Datenträger in der Firma.
  
• Schließe keine private Hardware an Firmennetze oder Geräte an.

Damit sind wir Admins immer gut gefahren. Unsere Hardware ist nach unseren Vorstellungen konfiguriert und abgesichert, der User darf nur das tun, was wir ihm erlauben. Wechselmedien dürfen nur sehr restriktiv und von wenigen Benutzern an die Firmen-PCs angeschlossen werden. All das erhöht die Sicherheit und Integrität der firmeneigenen Daten und hilft uns Administratoren, der Herr im eigenen IT-System zu bleiben.

Irgendwann wurde der Ruf nach mobilem Zugriff auf E-Mail, Kalender und andere Daten laut. Mit einem Blackberry Enterprise Server hatte man auch jetzt als Admin die bestmögliche Kontrolle über die (immer noch firmeneigenen) mobilen Geräte, der Admin bestimmte, was auf den Geräten möglich war und was nicht.

Das Private für die Firma

Inzwischen gehört das private Smartphone bei vielen Mitarbeitern zum Alltag und es geistert ein neues Schlagwort durchs Internet und die Führungsetagen: "Bring your own device". Wenn die Mitarbeiter doch sowieso ein Smartphone nutzen, warum sollen sie dann nicht auch noch berufliche E-Mails und andere Daten auf dem Smartphone empfangen und so auch in Ihrer Freizeit für Firmenangelegenheiten erreichbar sein?

Für den Administrator ist das eine große Herausforderung in zweierlei Hinsicht. Zunächst müssen die verschiedenen Geräte technisch in die Firmen-IT eingebunden werden. Bei der Vielfalt der Geräte und Betriebssysteme keine einfache Aufgabe. Dann bleibt noch die Frage nach der Sicherheit. Der Admin hat keinen Einfluss mehr darauf, was der Mitarbeiter mit seinem Smartphone sonst noch anstellt. Das setzt eine gute Planung, Richtlinien und oftmals auch Kompromisse voraus. Eine gute Übersicht gibt der Artikel auf Heise-Mobil: Strategien für den sicheren Firmenzugang mit privaten Handys.

Bedeutung für die Work-Life-Balance

Diese neue Entwicklung hat meiner Meinung nach auch Auswirkungen auf die Art und Weise, wie wir Arbeit und Privates trennen und im Gleichgewicht halten. Wenn ich mit dem privaten Smartphone auch berufliche Aufgaben erledige, wird die Abgrenzung zwischen privatem und dienstlichem immer schwerer. Das ist für manchen vielleicht sogar erstrebenswert und hilft bei der Umsetzung von neuen Arbeits(zeit)modellen. Es kann aber auch dazu führen, dass das Privatleben zu kurz kommt. Ich bin zumindest froh, dass ich mein dienstliches Blackberry auch mal beiseite legen kann und bei manchen privaten Aktivitäten keine Störung durch dienstliche E-Mails habe.

Wie steht ihr zu dieser Entwicklung? Mich interessieren eure Meinungen, ob ihr nun durch die Administrator- oder die Userbrille schaut, ab damit in die Kommentare.

Disclaimer: Die in diesem Blogeintrag behandelte "VR-Networld-Software" wird im Finanzverbund der Volks- und Raiffeisenbanken vetrieben, dem auch mein Arbeitgeber angehört. Dieser Artikel stellt meine persönliche und private Meinung dar und ist keine offizielle oder beauftragte Darstellung meines Arbeitgebers.

Onlinebanking-Trojaner haben es momentan meist auf die Banking-Portale der Banken im Internet abgesehen. Nutzer von Finanzsoftware-Produkten sind momentan noch relativ sicher vor solchen angriffen. Die Nutzung der HBCI-Schnittstelle FIN/TS, die große Vielfalt der Softwareprodukte und die geringere Nutzerzahl stellt für die Entwickler von Schadsoftware noch einen zu hohen Aufwand im Vergleich zum möglichen Ertrag dar. Und doch ist es nur eine Frage der Zeit, bis auch Finanzsoftware-Produkte ins Visier der Betrüger geraten und mit entsprechenden Trojanern angegriffen werden. Denkbar wären zum Beispiel Programme, die eine eigene FIN/TS Schnittstelle mitbringen und die Masken der eigentlich genutzten Software nachahmen, um den Bediener in diesen Masken zur Eingabe von PIN- und TAN-Nummern zu bewegen.

Die VR-Networld-Software, die im Finanzverbund der Volks- und Raiffeisenbanken vertrieben wird, hat in der aktuellen Version 4.20 bereits Sicherheitsmechanismen eingebaut, die solche Trojaner-Attacken verhindern soll.

Mit Brief und Siegel

Alle sicherheitsrelevanten Dialoge werden mit einem Siegel gekennzeichnet, wie hier zum Beispiel die PIN-Eingabe bei einer Online-Transaktion.

Im Siegel wird in einer Laufschrift die gerade durchgeführte Aktion und ein vom Benutzer festgelegter individueller Text eingeblendet. Der individuelle Text wird beim ersten Start der Anwendung nach einer Neuinstallation oder nach dem Update auf die Version 4.20 abgefragt:

Der Laufschrift-Text wird zusätzlich noch in einem kleinen Banner am Mauszeiger angezeigt, wenn der Mauszeiger in der Dialogmaske positioniert ist. Das sieht man hier in der Maske zur Eingabe einer Überweisung (Klicken zum Vergrößern):

Das Banner am Mauszeiger kann in den Einstellungen der Software deaktiviert werden, da dieses Feature doch relativ störend bei der Eingabe von Daten sein kann.

Im Fokus

Bei der VR-Networld-Software öffnen sich Dialogmasken in eigenen Unterfenstern. Eine Schadsoftware könnte also eine eigene Maske in einem Fenster öffnen, das vom Benutzer nicht als "anwendungsfremdes" Fenster erkannt werden kann. Hierfür hat die Software in der unteren Statusleiste ein Icon implementiert, das mit einem gelben Ausrufungszeichen davor warnt, wenn die Anwendung nicht mehr den Fokus hat. Der nachfolgende Screenshot zeigt die VR-Networld Software und ein geöffnetes Notepad-Fenster im Vordergrund (Klicken zum Vergrößern):

Fazit

Die Hersteller von Finanzsoftware müssen Maßnahmen ergreifen, um Ihre Produkte vor zukünftigen Angriffen von Schadsoftware zu schützen. Wie diese Maßnahmen aussehen können, zeigt die neue Version der VR-Networld-Software. Andere Hersteller werden nachziehen oder haben bereits ähnliche Mechanismen in ihre Software eingebaut. Wenn Ihr Softwareprodukte kennt, die bereits solche Verfahren eingebaut haben, wäre ich für einen Hinweis in den Kommentaren dankbar.

Weiter geht es mit meiner Serie zu den Onlinebanking-Sicherungsverfahren. Die ersten drei Teile sind unten im Artikel verlinkt. Diesmal schreibe ich über die HBCI-Chipkarte.

Funktionsweise

Wie bei der HBCI-Kennung kommt bei der HBCI-Chipkarte ein asymmetrisches Verschlüsselungsverfahren zum Einsatz. Hier werden die Schlüsseldaten auf einer Chipkarte gespeichert. Zum Teil geben die Kreditinstitute personalisierte Chipkarten aus, auf denen die Bankverbindung und die Schlüsselpaare bereits gespeichert sind, andere Institute benutzen Blanko-Chips, auf denen die Bankverbindung und die Schlüssel noch gespeichert werden müssen. Auf beide Chiptypen können mehrere Bankverbindungen und Schlüsselpaare gespeichert werden. Die Daten auf dem Chip werden durch eine vom Kunden änderbare PIN geschützt.

Zum Auslesen des Chips wird ein Chipkarten-Lesegerät benötigt. Diese werden in 3 Klassen eingeteilt. Klasse I - Leser lesen den Chip, die PIN muss an der PC-Tastatur eingetippt werden und wird dann an den Kartenleser gesendet. Klasse II - Leser besitzen eine Tastatur, auf der die PIN eingegeben werden kann. Die Klasse III - Leser besitzen zusätzlich noch ein Display, auf dem Transaktionsdaten angezeigt werden können. Der Kartenleser wird heutzutage meist über USB angeschlossen und benötigt eine Treiberinstallation. Treiber gibt es für eigentlich für alle gängigen Betriebssysteme.

Hier sei noch erwähnt, dass die neue Lesergeneration inzwischen auch zum (kontaktlosen) Auslesen des neuen Personalausweises genutzt werden kann, so dass man dann kein zusätzliches Gerät mehr benötigt.

Teilweise kann dieses Verfahren nur in Verbindung mit einer Banking-Software genutzt werden, einige Banken bieten dieses Verfahren auch im Internetbanking an, doch auch in diesem Fall wird eine zusätzliche Softwarekomponente für die HBCI-Schnittstelle benötigt (z.B. DDBAC).

Bei allen Transaktionen fordert die Software die HBCI-Karte an und fragt die PIN ab. Diese wird an der PC-Tastatur oder direkt am Kartenleser eingegeben, danach wird die Transaktion verschlüsselt und an das Kreditinstitut übertragen. Weitere Sicherheitsmedien, wie z.B. TAN werden nicht benötigt.

Sicherheit

Durch das asymmetrische Verschlüsselungsverfahren ist eine sehr hohe Sicherheit beim Transport der Daten gewährleistet. Die Schlüssel sind sicher auf der HBCI-Karte abgelegt und können nur mit Eingabe der PIN genutzt werden. Es empfiehlt sich, mindestens einen Klasse II - Leser zu benutzen, damit die PIN-Eingabe nicht auf der PC-Tastatur erfolgen muss, wo sie über Keylogger mitgeschnitten werden könnte.

Es besteht ein Restrisiko für Man-In-The-Middle-Attacken. Eine Schadsoftware könnte die Transaktionsdaten vor dem Verschlüsseln mit der Chipkarte im Hintergrund manipulieren und dann die gefälschten Daten an das Kreditinstitut senden. Theoretisch funktioniert das, allerdings existiert wohl keine Schadsoftware "in the wild". Das Restrisiko wird durch Leser und Software eliminiert, die die Transaktionsdaten vor dem Verschlüsseln auf dem Display des Kartenlesers anzeigen, so dass sie durch den Kunden vor dem Senden geprüft werden können. Dieses Verfahren wird aber bisher von fast keinem Institut unterstützt. Wenn jemand ein KI kennt, ab in die Kommentare damit .

Kosten

Dieses Verfahren verursacht die höchsten Kosten für den Kunden. Ein Klasse II - Leser schlägt mit ungefähr 40 Euro zu Buche. Die HBCI-Chipkarte hat eine begrenzte Laufzeit und wird vom Kreditinstitut teilweise mit 5-10 Euro pro Jahr berechnet. Das ist aber bei den verschiedenen Banken ziemlich unterschiedlich.

Einsatzmöglichkeiten

Hier gilt das, was ich schon bei der HBCI-Kennung schrieb: Für das Verfahren wird immer ein speziell konfigurierter PC mit bestimmter Sofware benötigt. Für den Kartenleser muss ein Treiber eingerichtet sein. Die Kartenleser sind auch nicht gerade klein, bei Nutzung von mehreren Rechnern ist eventuell die Anschaffung von weiteren Lesegeräten sinnvoll, was aber auch weitere Kosten bedeutet. Das Verfahren eignet sich natürlich gut für Kunden mit vielen Transaktionen, da keine zusätzlichen TANs benötigt werden, was den Zahlungsverkehr schlank und schnell macht.

Fazit

Die HBCI-Chipkarte erfordert den höchsten Aufwand bei der Einrichtung und verursacht zusätzliche Kosten. Nach der Einrichtung ist es ein sicheres und professionelles Verfahren, das gerade bei hohem Transaktionsaufkommen seine Stärken ausspielt.

Wie immer können in den Kommentaren gerne noch weitere Aspekte beigesteuert werden, die ich vielleicht vergessen oder nicht vollständig dargestellt haben.

Hier noch die bisherigen Teile der Reihe:

1. Teil: SMS-TAN

2. Teil: Chip-TAN (SmartTAN)

3. Teil: HBCI-Kennung

Weiter geht es mit meiner kleinen Serie über die verschiedenen Sicherungsverfahren beim Onlinebanking. Heute geht es um das Chip-TAN-Verfahren, bei dem ein separater TAN-Generator verwendet wird.

Funktionsweise

Beim Chip-TAN-Verfahren (bei den Volks- und Raiffeisenbanken auch Smart-TAN genannt) benötigt man zur Erzeugung der TAN ein kleines Zusatzgerät, einen TAN-Generator. Der TAN-Generator ist mit einem Display, einer Zahlentastatur und teilweise auch mit einem optischen Sensor zum Auslesen eines "Flicker-Codes" ausgestattet.

Um die TAN zu erzeugen, benötigt der TAN-Generator einen Chip mit Seccos-Betriebssystem, wie er zum Beispiel auf den herkömmlichen Bankkarten (ehemals EC-Karten) fast aller Bankkunden vorhanden ist. Als erstes wird also der Onlinebanking-Zugang  mit einer Chipkarte des Kunden verbunden.

Der generelle Zugang erfolgt wieder über eine PIN-Nummer. Führt der Kunde eine Transaktion aus, werden die Daten der Transaktion zum Rechenzentrum gesendet. Das RZ erkennt, das der Kunde am Chip-TAN-Verfahren teilnimmt und lässt die Onlinebanking-Anwendung einen sogenannten Flicker-Code ausgeben. Der Flicker-Code besteht aus einer Reihe von schwarz und weiß blinkenden Kästchen. Der Kunde steckt nun seine Chipkarte in den TAN-Generator und hält diesen mit dem optischen Sensor vor den Flicker-Code. Jetzt werden die Eckdaten der Transaktion (Empfängerkontonummer und Betrag) an den Generator übertragen. Alternativ können die Eckdaten auch manuell über die Tastatur des Generators eingegeben werden. Die Eckdaten werden am Display des TAN-Generators angezeigt und müssen vom Kunden auf Richtigkeit geprüft werden. Der TAN-Generator errechnet eine TAN, die wiederum nur für diese Transaktion und für eine begrenzte Zeit gültig ist. Mit dieser TAN kann der Kunde dann die Transaktion autorisieren.

Eine Demo, die einen Transaktionsvorgang praktisch aussieht, kann man zum Beispiel auf der Homepage von Kobil anschauen, einem Hersteller von TAN-Generatoren.

Sicherheit

Beim Chip-TAN-Verfahren werden zwei voneinander Kommunikationswege benutzt. Eine gültige TAN kann nur mit dem unabhängigen TAN-Generator und der für den Onlinezugang freigeschalteten Chipkarte erzeugt werden. Bei richtiger Anwendung durch den Kunden (Kontrolle der Transaktionseckdaten auf dem Display des Generators), ist eine Manipulation der Transaktionsdaten durch einen Trojaner ausgeschlossen und Phishing wirkungslos.

Eine Schwachstelle war bis vor kurzem, das die Eckdaten bei der Ausführung einer Sammel-Transaktion nicht eindeutig auf dem TAN-Generator angezeigt wurden. Es wurden lediglich der Betrag und die Anzahl der Transaktionen angezeigt, was den Austausch der Kontonummern möglich machte, ohne das der Kunde das kontrollieren konnte. Die neue Sicherheitsspezifikation fordert, das Kontrollsummen der Empfängerkontonummern angezeigt werden, so dass auch diese Lücke nicht mehr ausgenutzt werden kann.

Das Chip-TAN-Verfahren bietet also bei richtiger Anwendung eine sehr hohe Sicherheit, Angriffsmethoden gegen die neueste Version des Verfahrens sind zur Zeit nicht bekannt.

Kosten

Die Anschaffungskosten für einen TAN-Generator liegen um die 10 Euro, eventuell werden die Kosten von den Kreditinstituten ganz oder teilweise übernommen, hier muss man wieder bei seinem Kreditinstitut nachfragen. Laufende Kosten entstehen nicht.

Einsatzmöglichkeiten

Das Chip-TAN-Verfahren ist flexibel und kann auch mobil gut eingesetzt werden. Die Nutzung ist sowohl beim Browserbanking als auch bei der Benutzung von Finanzsoftware möglich.  Die Benutzung ist auch auf Smartphones möglich. Allerdings muss der Kunde den TAN-Generator und seine Chipkarte immer mitführen, um auch von unterwegs Transaktionen ausführen zu können.

Fazit

Das Chip-TAN-Verfahren ist sehr sicher und flexibel, allerdings ist die Bedienung des TAN-Generators nicht ganz einfach und erklärungsintensiv. Ob sich das Verfahren in der Breite gegen die anderen Verfahren durchsetzen kann, werden die nächsten Monate zeigen.

Im nächsten Teil der Serie werde ich das Signaturverfahren mit einem HBCI-Schlüssel auf Datenträger vorstellen.

1. Teil: SMS-TAN

Nachdem ich mich ja Anfang diesen Jahres vom iTAN-Bogen verabschiedet habe, möchte ich in dieser kleinen Artikelserie mal die verschiedenen Alternativern bei den Sicherungsverfahren beim Onlinebanking vorstellen und Beleuchten. Hierbei werde ich auf die Funktion, die Vor- und Nachteile und auf die Einsatzmöglichkeiten eingehen. Beginnen werde ich mit dem SMS-TAN-Verfahren. Also los.

Funktionsweise

Beim SMS-TAN-Verfahren registriert der Bankkunde zunächst eine Handynummer für seine Onlinebanking-Kennung. Der grundsätzliche Zugang zum Banking erfolgt über eine PIN-Nummer. Führt der Kunde eine Transaktion aus - zum Beispiel eine Überweisung - sendet die Banking-Anwendung die Daten der Transaktion an das Bankrechenzentrum. Dort wird aus den Eckdaten der Transaktion eine TAN errechnet, die nur für diese Transaktionsdaten und nur für eine kurze Zeitspanne gültig ist. Das Bank-RZ sendet nun eine SMS mit den Eckdaten (Empfängerkontonummer und Betrag) und der TAN an die vom Kunden registrierte Handynummer, der Kunde prüft die Richtigkeit der Eckdaten und führt die Transaktion mit der erhaltenen TAN aus.

Sicherheit

Dadurch, dass das Verfahren zwei unabhängige Kommunikationswege nutzt, sind bei richtiger Anwendung (Prüfen der Eckdaten in der SMS) manipulierende Angriffe - etwa durch Man-In-The-Middle-Attacken - nahezu unmöglich. Auch Phishing macht bei diesem Verfahren keinen Sinn, da eine abgefischte TAN für den Phisher nicht nutzbar ist.

Eine Angriffsmöglichkeit zeigte im Oktober der Banking-Trojaner ZeusS auf. Voraussetzung für einen erfolgreichen Angriff ist neben dem Knacken des Onlinebanking-Zugangs auch die Installation der Trojanersoftware auf dem zugehörigen Handy. Der Aufwand hierfür ist momentan noch nicht lohnend, so dass ein solcher Trojaner "in the wild" noch nicht gesichtet wurde. Insofern bietet das  Verfahren einen hohen Sicherheitsgrad.

Kosten

Während einige Banken die SMS-TAN ohne Zusatzkosten anbieten, berechnen andere entweder geringe Monatspauschalen oder auch geringe Beträge pro SMS. Hier muss man sich bei seinem Kreditinstitut über die jeweiligen Preise informieren.

Einsatzmöglichkeiten

Die SMS-TAN ist ein sehr flexibles Verfahren. Ein Mobiltelefon und einen Standort mit Netzversorgung vorausgesetzt, kann man von überall Onlinebanking-Transaktionen vornehmen. Das Mitführen von Zusatzhardware oder TAN-Listen ist nicht notwendig.

Nicht nutzbar ist das Verfahren mit Smartphone-Anwendungen, da aufgrund des nicht vorhandenen zweiten Kommunikationsweges (Anwendung und SMS auf dem gleichen Gerät) die Sicherheit nicht gewährleistet ist.

Fazit

Das SMS-TAN-Verfahren ist flexibel und kostengünstig und bei korrekter Anwendung sehr sicher. Ich denke, dass dieses Verfahren der Standard für die meisten Benutzer in den nächsten Monaten werden wird.

Gern könnt ihr noch Ergänzungen oder eigene Erfahrungen (vielleicht auch Preise bei eurem Kreditinstitut) in den Kommentaren beisteuern. 

Im nächsten Teil der Serie nehme ich mir dann das ChipTAN-Verfahren mit TAN-Generator vor.