Schutz vor Trojanern in Banking-Software

Disclaimer: Die in diesem Blogeintrag behandelte "VR-Networld-Software" wird im Finanzverbund der Volks- und Raiffeisenbanken vetrieben, dem auch mein Arbeitgeber angehört. Dieser Artikel stellt meine persönliche und private Meinung dar und ist keine offizielle oder beauftragte Darstellung meines Arbeitgebers.

Onlinebanking-Trojaner haben es momentan meist auf die Banking-Portale der Banken im Internet abgesehen. Nutzer von Finanzsoftware-Produkten sind momentan noch relativ sicher vor solchen angriffen. Die Nutzung der HBCI-Schnittstelle FIN/TS, die große Vielfalt der Softwareprodukte und die geringere Nutzerzahl stellt für die Entwickler von Schadsoftware noch einen zu hohen Aufwand im Vergleich zum möglichen Ertrag dar. Und doch ist es nur eine Frage der Zeit, bis auch Finanzsoftware-Produkte ins Visier der Betrüger geraten und mit entsprechenden Trojanern angegriffen werden. Denkbar wären zum Beispiel Programme, die eine eigene FIN/TS Schnittstelle mitbringen und die Masken der eigentlich genutzten Software nachahmen, um den Bediener in diesen Masken zur Eingabe von PIN- und TAN-Nummern zu bewegen.

Die VR-Networld-Software, die im Finanzverbund der Volks- und Raiffeisenbanken vertrieben wird, hat in der aktuellen Version 4.20 bereits Sicherheitsmechanismen eingebaut, die solche Trojaner-Attacken verhindern soll.

Mit Brief und Siegel

Alle sicherheitsrelevanten Dialoge werden mit einem Siegel gekennzeichnet, wie hier zum Beispiel die PIN-Eingabe bei einer Online-Transaktion.

PIN-Eingabe VR-Networld

Im Siegel wird in einer Laufschrift die gerade durchgeführte Aktion und ein vom Benutzer festgelegter individueller Text eingeblendet. Der individuelle Text wird beim ersten Start der Anwendung nach einer Neuinstallation oder nach dem Update auf die Version 4.20 abgefragt:

Abfrage des individuellen Siegeltextes

Der Laufschrift-Text wird zusätzlich noch in einem kleinen Banner am Mauszeiger angezeigt, wenn der Mauszeiger in der Dialogmaske positioniert ist. Das sieht man hier in der Maske zur Eingabe einer Überweisung (Klicken zum Vergrößern):

Eingabemaske mit Banner am Mauszeiger

Das Banner am Mauszeiger kann in den Einstellungen der Software deaktiviert werden, da dieses Feature doch relativ störend bei der Eingabe von Daten sein kann.

Im Fokus

Bei der VR-Networld-Software öffnen sich Dialogmasken in eigenen Unterfenstern. Eine Schadsoftware könnte also eine eigene Maske in einem Fenster öffnen, das vom Benutzer nicht als "anwendungsfremdes" Fenster erkannt werden kann. Hierfür hat die Software in der unteren Statusleiste ein Icon implementiert, das mit einem gelben Ausrufungszeichen davor warnt, wenn die Anwendung nicht mehr den Fokus hat. Der nachfolgende Screenshot zeigt die VR-Networld Software und ein geöffnetes Notepad-Fenster im Vordergrund (Klicken zum Vergrößern):

Notepad im Vordergung

Fazit

Die Hersteller von Finanzsoftware müssen Maßnahmen ergreifen, um Ihre Produkte vor zukünftigen Angriffen von Schadsoftware zu schützen. Wie diese Maßnahmen aussehen können, zeigt die neue Version der VR-Networld-Software. Andere Hersteller werden nachziehen oder haben bereits ähnliche Mechanismen in ihre Software eingebaut. Wenn Ihr Softwareprodukte kennt, die bereits solche Verfahren eingebaut haben, wäre ich für einen Hinweis in den Kommentaren dankbar.

Soziale Netze vernetzen keine Inhalte

Normalerweise vergeht ja kein Jahr, ohne dass mindestens einmal die Blogs tot gesagt werden. Diesmal ist es Google+, das den Blog den endgültigen Todesstoß versetzen soll. Die ersten Blogger verlassen fluchtartig Ihre Blog-Plattformen und verkünden, dass Sie jetzt nur noch bei Google+ veröffentlichen, wo man unbegrenzt lange Texte posten kann und das Kommentieren und "PlusEinsen" von Artikeln superschnell, einfach und dynamisch funktioniert. Also wozu noch ein eigenes Blog betreiben?

Die Debatte hierüber geht zur Zeit durch die deutsche Bloglandschaft:

Robert analysiert wie immer routiniert den Sinn und Zweck von Blogs in der heutigen Social Media Landschaft. Herr Larbig sieht "Perspektiven für die Blogdebatten" und Heiko hält ein "Plädoyer für Blogs".

Ein Aspekt fehlt mir bisher in der Blogdebatte. Soziale Netze können sehr gut Menschen vernetzen (Facebook, Google+), Nachrichten schnell verbreiten (Twitter, auch Google+) und ermöglichen schnelle und dynamische Kommunikation und Diskussion. Soziale Netze verbinden Menschen und transportieren Nachrichten. Aber vernetzen Sie auch Nachrichten?

Hier sehe ich einen klaren Vorteil von Blogs, und zwar durch die Trackback- bzw. Pingback-Technologie. Ein Artikel, der entsprechend auf andere Blog bezug nimmt und diese verlinkt, erscheint normalerweise bei den verlinkten Artikeln als Trackback in den Kommentaren. Hierdurch hat der Leser die Möglichkeit, andere Artikel zur gleichen Thematik zu finden und sich so (hoffentlich) durch eine große Vielfalt von Meinungen und Aspekten zu einer Thematik zu klicken.

Natürlich kann man auch bei Google+ oder Facebook zu einem Thema quasi einen anderen Aspekt oder eine andere Sichtweite über die Kommentarfunktion beisteuern. Diese Kommentare gehen aber im Stream irgendwann unter. Außerdem werden Kommentare nicht nur unter einem Post veröffentlicht, sondern auch bei anderen Postern, die einen Link retweeten, teilen oder zitieren. Somit ist ein Blogartikel immer noch ein zentraler Sammelpunkt für Kommetare und Links zu anderen Inhalten, die sich mit dem gleichen Thema beschäftigen.

Um aktuelle Nachrichten und die neuesten Hypes im Internet mit zu bekommen, ist der Stream der sozialen Netze oder Twitter bestens geeignet. Was im Netz oder in der Welt gerade Trendy ist, bekomme ich auf dem Silbertablett serviert. Allerdings sind diese Nachrichten und die Reaktionen darauf flüchtig und schon nach wenigen Tagen nicht mehr so einfach nachzuvollziehen. Ideal wäre natürlich, wenn man die Reaktionen und Kommentare in den sozialen Netzwerken auch zentral beim jeweiligen Blogartikel sammeln würde, hier muss Blogsoftware noch bessere Funktionen anbieten.

Die dauerhafte und nachhaltige Vernetzung von Inhalten funktioniert meines Erachtens nach noch nicht in den sozialen Netzwerken, sondern immer noch am besten in unseren Blogs, umso besser, je mehr wir uns untereinander verlinken. Und so beende ich diesen Blogeintrag auch mit einem etwas älteren Link auf den Artikel von Anil Dash: "If you didn't blog it, it didn't happen".

tweetbackcheck