Der Chaosknoten Chaos Computer Club e.V.

          suche

ist das Logo des CCC
Deutsch English


FAQ - Online-Banking und Kartenzahlung

05. März 2004 (padeluun)
CCC FAQ Part 9: Online-Banking und Kartenzahlung

Bankgeschäfte übers Netz

F: Wenn ich meine Überweisungen übers Internet mache, ist das dann sicher?

A: Das lässt sich nicht in einem Satz beantworten. Das Problem ist vielschichtig.

Zuerst einmal gilt: Kein Netz ist in sich "sicher". Das heißt, es gibt verschiedene Angriffsmöglichkeiten bei der Abwicklung von Bankgeschäften über das Netz. Allgemein gesehen sind das:

  • Ausspähen von Daten bedeutet das z.B. jemand Kontoauszüge und Transaktionen "mitliest". Das kann für sich genommen schon schlimm genug sein, z.B. als Ansatzpunkt für Erpressungen ("ich sag' der Steuer/dem Ehepartner/... was du auf dem und dem Konto hast..."). Außerdem ist das Ausspähen Basis für weitergehende Maßnahmen. Dieser Angriff beruht darauf, dass Daten offen im Netz übertragen werden.
  • Betrug: Greift z.B. jemand auf ein fremdes Konto zu, um sich oder andere zu bereichern. Der Täter überweist Geld von dem angegriffenen Konto auf irgendein anderes. Der Täter ändert die Postadresse des Kontoinhabers kurz vor dem Versand der neuen Bankkarten und Geheimzahlen. Dieser Angriff beruht darauf, dass keine Sicherheit über die Identität des Datensenders besteht, und dass nicht gewährleistet ist, dass Daten "unterwegs" nicht verfälscht wurden.
  • "Denial of service" (DOS): Der Täter verhindert durch die Attacke den Zugriff auf den Bankrechner allgemein oder ein bestimmtes Konto (z.B. durch dauernde Anmeldeversuche ohne gültige PIN/Passwort). Auch das kann zumindest lästig sein, aber auch recht gravierende Folgen haben, wenn man z.B. zur Fälligkeit von wichtigen Zahlungen nicht an sein Konto kommt (Mahngebühren, Kündigung von Krediten, Versicherungen, Telefon abgestellt). Dieser Angriff beruht darauf, dass das Netz nicht gegen beliebigen technischen Missbrauch gesichert ist. Zum Teil werden bekannte technische Mängel bestimmter Netzkomponenten ausgenutzt, zum Teil Eigenheiten des Banksystems (bewusste Falscheingabe der PIN sperrt den Zugang). Bezogen auf das Internet als Transportmedium bedeutet das: Das "Mitlesen" und Verändern von Daten ist an vielen Stellen (Internet-Service-Provider des Kunden und der Bank, Router, Knotenrechner) technisch einfach und de facto nicht festzustellen. Diese Stellen werden im Internet nicht zentral verwaltet, sondern gehören den unterschiedlichsten Organisationen.

F: Das hört sich nicht gerade sicher an. Kann ich mich schützen und wie?

A: Zuallererst einmal durch gesundes Misstrauen allen Transaktionen im Netz gegenüber. Kontoauszüge sollten regelmäßig auf Papier angefordert und überprüft werden. Gegen die oben beschriebenen Angriffsmöglichkeiten solltest Du folgendes unternehmen:

  • Ausspähen: Grundsätzlich hilft zuverlässig nur "starke" Verschlüsselung der Daten. Diese verhindert, dass über die Verbindungsdaten (wer kommuniziert wann mit wem wie viel - allein schon wertvolle Information!) hinaus Information bekannt wird. Wichtig ist, neben einem starken Algorithmus (Triple-DES oder IDEA), eine ausreichende Schlüssellänge. 56 Bit (DES) oder gar 40 Bit (SSL in der US- exportfähigen Variante) ist nicht ausreichend! 128 Bit kann als sinnvolle Anforderung angesehen werden. Vorsicht vor nicht spezifizierten und offen gelegten Verfahren! Nur Algorithmen, die über Jahre veröffentlicht sind und daher von weltweit anerkannten Experten untersucht wurden, können als "vermutlich sicher" gelten.
  • Betrug: Der Zugang zum Konto ist meist mit einer PIN oder einem Passwort gesichert. Das reicht nicht, da Ausspäher an diese Daten gelangen können - entweder direkt durch Mitlesen im Netz oder durch Eingriffe (z.B. ActiveX, Viren) auf dem Rechner des Bankkunden. Außerdem können echte Überweisungen während der Übertragung verfälscht werden (anderer Betrag, anderes Konto). Kryptographische Verfahren ("elektronische Unterschrift", Prüfsummen) können sowohl die Identität des Absenders bestätigen, als auch Veränderung der Daten verhindern.
  • DOS: Gegen Attacken gegen den Kundenrechner helfen sie nur bedingt, da der eigentliche Angriff ja nicht während der Bankverbindung, sondern vorher erfolgt. Teilweise werden diese Verfahren in Software (z.B. Brokat), teilweise in Hardware ("Me-Chip", Chipkarten) implementiert. Die Hardware ist schwerer zu knacken, da maliziöse Software im Kundenrechner die externe Hardware nicht manipulieren kann. Dafür ist ein Austausch der Hardware bei Verbesserung der kryptographischen Technik schwer und teuer. Ist mehr ein Problem der Bank als des Kunden. Der Kunde sollte immer noch über einen weiteren Weg zu seinem Konto als nur das Internet verfügen - dies gebietet schon der gesunde Menschenverstand.

Kartenklau

F: Ich muss meine Kreditkarte sperren. Könnt Ihr helfen?

A: Ja, wir haben hier ein paar Telefonnummern:

  • Zentraler Sperrdienst: 01805-021021
  • Master/Eurocard: 069-79331910
  • American Express: 069-75764000
  • Diners Club: 069-2605350
  • EC-Karte: 069-740987 (01805-021021)
  • VisaCard: 0800-814-9100 (Karte wird sofort nach Anruf gesperrt)
  • VisaCard vom Ausland aus: kostenloses R-Gespräch: 001-410/581/3836
  • Barclaycard 040-89099877
  • BBBank (während der Geschäftszeiten) 0721-141309
  • T-Card: 0130-0149 (ungültig, wie lautet die neue Nummer?)

F: Meine Karte ist im Ausland geklaut und mein Konto leer geräumt worden!

A: Grundsätzlich muss zwischen Kreditkarten und Kundenkarten unterschieden werden.

Bei Kreditkarten reicht eine einfache Fälschung der Unterschrift, um die Abrechnung zu bewerkstelligen. Bei Unstimmigkeiten sollte die Kreditkartenzentrale unter der oben angegebenen Rufnummer kontaktiert und der Fall geschildert werden.

Bei Kundenkarten wird meist die Eingabe der PIN verlangt. In manchen Fällen, wenn es sich um den Nachfolger "Maestro" des zum Jahreswechsel 2002 ausgedienten EC-Karten-Systems handelt, reicht ebenso eine Unterschrift.

Laut BKA häufen sich jedoch die Fälle, in denen mit der Eingabe der PIN, z.B. an Bankautomaten, Geld ergaunert wurde. Wir stehen hier vor einem Rätsel, denn das PIN-System wurde 1997 sicherer gemacht und inzwischen sind keine alten Karten mehr im Umlauf.

Der häufigste Fall wird jedoch sein, dass die PIN unachtsam aufbewahrt (z.B. auf der Rückseite der Karte notiert oder ein Zettel mit in die Geldbörse gelegt) oder ausgespäht wurde. Das geht schließlich recht einfach, denn viele PIN-Eingabegeräte sind ohne ordentlichen Sichtschutz ausgestattet oder die PIN wird mit einem Finger im "Adler-Such-System" eingetippt. Der Dieb braucht sich also nur die PIN zu merken und kurze Zeit später sein Opfer berauben.

Uns sind jedoch Fälle bekannt bei denen (z.B. in Tankstellen) die Karte beim Einlesen durch ein manipuliertes Lesegerät direkt kopiert wurde. Die PIN wurde durch eine auf das Eingabefeld ausgerichtete Überwachungskamera ausfindig gemacht. So brauchten die Daten der Karte nur auf einen "Karten-Rohling" gebracht werden und schon konnte der Dieb am nächsten Automaten mit der PIN das Konto leer räumen.

Ein anderer Fall ist das Ausland. Innerhalb Deutschlands werden alle Transaktionen "live", also mit direkter Abfrage bei der Bank, durchgeführt. Im Ausland ist die Technik oft noch nicht soweit und so kann es vorkommen, dass die Daten bei Banken und Händlern zwischengespeichert werden. Es ist ein Leichtes, diese Daten zu manipulieren und so mehr abzubuchen.

Von daher sollten ein paar Sicherheitsaspekte bei der Benutzung von Kartenzahlung beachtet werden:

  • Niemals die PIN mit der Karte aufbewahren und niemandem weitergeben!
  • Bei der Eingabe der PIN darauf achten, dass niemand über die Schulter schaut und das Tastenfeld mit der Hand abdecken, sowie mehrere Finger zur Eingabe benutzen.
  • Im Ausland lieber mit Bargeld zahlen und nur an vertrauenswürdigen Banken Geld abheben.


Kabelsalat ist gesund.