Artikel mit Tag finanzsoftware

IT Dienstleister und ihre Angst vor Banking Software

Alle paar Wochen ruft mich ein Kunde an, der eine Banking-Software nutzt und nun einen neuen Computer bekommen hat. Ja, der IT-Dienstleister hat alle Daten vom alten Rechner gesichert, aber jetzt ist die Banking-Software weg.

Verdammt, ich frage mich immer, wieso es ein professioneller Dienstleister nicht hinbekommt, eine Software mit den zugehörigen Daten von einem PC zum anderen zu transferieren. Ich habe manchmal den Eindruck, so eine Finanzsoftware ist für manche Dienstleister wie so ein heißes Eisen, das man lieber nicht anfasst. Es ist doch gar nicht so schwer, darum hier eine kurze Universalanleitung:

Jedes Bankingprogramm bietet eine Backup-Funktion an. Nutzt die einfach und speichert die Daten auf ein externes Speichermedium. Auf dem neuen Rechner wird die Software dann neu installiert. Ja, ich weiß, oftmals hat der Kunde die Original-CD der Software nicht mehr oder weiß nicht, wie die Software jemals auf seinen Rechner gekommen ist. Tipp: Meistens haben die Kunden einen Kontakt zur ihrer Bank, der eventuell mit einer CD oder einem Download-Link aushelfen kann. Wenn eine Software von CD installiert wird, muss man meist noch ein Online-Update durchführen, um diese auf den neuesten Stand zu bringen. Danach die Datensicherung vom externen Speichermedium zurücksichern und der Kunde kann wieder mit seiner Software arbeiten.

Und wenn ihr euch unsicher seid: Ruft doch den EBL-Berater des Kunden bei seiner Bank an und fragt nach bevor ihr den alten Rechner entsorgt oder platt macht. Ist immer noch besser, als den Kunden ohne seine Software und ohne seine alten Daten sitzen zu lassen. Dieser ruft dann nämlich bei uns an und wir müssen das ganze dann gerade biegen.

Ja ich weiß, eigentlich ist der Kunde ja für seine Datensicherung selbst verantwortlich und sollte auch wissen, wo er seine Originaldatenträger aufbewahrt. Aber als Dienstleister könnt ihr da ja auch etwas für den Kunden mitdenken. Und wir in der Bank sind euch auch dankbar, wenn wir nicht alles beim Kunden zeitaufwendig neu installieren und einrichten müssen, was mit einer Datensicherung in ein paar Minuten erledigt gewesen wäre.

Danke. ;-)

PS: Ich weiß natürlich, dass viele IT-Dienstleister das natürlich so machen und einen PC-Tausch so abwickeln, dass der Kunde nachher wie gewohnt weiter arbeiten kann. Aber oft habe ich bei mir mit Kunden zu tun, wo das eben nicht so toll klappt. Und deswegen wollte ich hier grad mal meinen Frust loswerden. Dafür ist so ein Blog ja auch mal ganz gut.

Schutz vor Trojanern in Banking-Software

Disclaimer: Die in diesem Blogeintrag behandelte "VR-Networld-Software" wird im Finanzverbund der Volks- und Raiffeisenbanken vetrieben, dem auch mein Arbeitgeber angehört. Dieser Artikel stellt meine persönliche und private Meinung dar und ist keine offizielle oder beauftragte Darstellung meines Arbeitgebers.

Onlinebanking-Trojaner haben es momentan meist auf die Banking-Portale der Banken im Internet abgesehen. Nutzer von Finanzsoftware-Produkten sind momentan noch relativ sicher vor solchen angriffen. Die Nutzung der HBCI-Schnittstelle FIN/TS, die große Vielfalt der Softwareprodukte und die geringere Nutzerzahl stellt für die Entwickler von Schadsoftware noch einen zu hohen Aufwand im Vergleich zum möglichen Ertrag dar. Und doch ist es nur eine Frage der Zeit, bis auch Finanzsoftware-Produkte ins Visier der Betrüger geraten und mit entsprechenden Trojanern angegriffen werden. Denkbar wären zum Beispiel Programme, die eine eigene FIN/TS Schnittstelle mitbringen und die Masken der eigentlich genutzten Software nachahmen, um den Bediener in diesen Masken zur Eingabe von PIN- und TAN-Nummern zu bewegen.

Die VR-Networld-Software, die im Finanzverbund der Volks- und Raiffeisenbanken vertrieben wird, hat in der aktuellen Version 4.20 bereits Sicherheitsmechanismen eingebaut, die solche Trojaner-Attacken verhindern soll.

Mit Brief und Siegel

Alle sicherheitsrelevanten Dialoge werden mit einem Siegel gekennzeichnet, wie hier zum Beispiel die PIN-Eingabe bei einer Online-Transaktion.

PIN-Eingabe VR-Networld

Im Siegel wird in einer Laufschrift die gerade durchgeführte Aktion und ein vom Benutzer festgelegter individueller Text eingeblendet. Der individuelle Text wird beim ersten Start der Anwendung nach einer Neuinstallation oder nach dem Update auf die Version 4.20 abgefragt:

Abfrage des individuellen Siegeltextes

Der Laufschrift-Text wird zusätzlich noch in einem kleinen Banner am Mauszeiger angezeigt, wenn der Mauszeiger in der Dialogmaske positioniert ist. Das sieht man hier in der Maske zur Eingabe einer Überweisung (Klicken zum Vergrößern):

Eingabemaske mit Banner am Mauszeiger

Das Banner am Mauszeiger kann in den Einstellungen der Software deaktiviert werden, da dieses Feature doch relativ störend bei der Eingabe von Daten sein kann.

Im Fokus

Bei der VR-Networld-Software öffnen sich Dialogmasken in eigenen Unterfenstern. Eine Schadsoftware könnte also eine eigene Maske in einem Fenster öffnen, das vom Benutzer nicht als "anwendungsfremdes" Fenster erkannt werden kann. Hierfür hat die Software in der unteren Statusleiste ein Icon implementiert, das mit einem gelben Ausrufungszeichen davor warnt, wenn die Anwendung nicht mehr den Fokus hat. Der nachfolgende Screenshot zeigt die VR-Networld Software und ein geöffnetes Notepad-Fenster im Vordergrund (Klicken zum Vergrößern):

Notepad im Vordergung

Fazit

Die Hersteller von Finanzsoftware müssen Maßnahmen ergreifen, um Ihre Produkte vor zukünftigen Angriffen von Schadsoftware zu schützen. Wie diese Maßnahmen aussehen können, zeigt die neue Version der VR-Networld-Software. Andere Hersteller werden nachziehen oder haben bereits ähnliche Mechanismen in ihre Software eingebaut. Wenn Ihr Softwareprodukte kennt, die bereits solche Verfahren eingebaut haben, wäre ich für einen Hinweis in den Kommentaren dankbar.