ENISA rät: "Betrachten Sie alle PCs als infiziert"

Die European Network and information Security Agency (ENISA) rät Banken, besser davon auszugehen, dass die Rechner ihrer Kunden mit Online-Banking-Trojanern wie Zeus infiziert sind. Die Empfehlung findet sich in einer Analyse der Konsequenzen der gezielten Attacken im Rahmen der Operation High Roller und bezieht sich explizit auf die hier schon öfter zitierte Zeustracker-Statistik, nach der Antiviren-Software im Schnitt nur etwa 40 Prozent der Zeus-Trojaner erkennt.

Diesen Ratschlag weitet die Enisa auch auf die speziellen Geräte für sicheres Online-Banking aus. Viel zu oft arbeiten diese unter der Annahme, der PC des Kunden sei nicht infiziert. Doch: "angesichts des aktuellen Stands der PC-Sicherheit, ist diese Annahme gefährlich" heißt es ungewöhnlich deutlich. Es genüge nicht, eine Zwei-Faktor-Authentifizierung durchzuführen, die sich dann wieder durch Man-in-the-Browser-Angriffe austricksen lässt. Es sei vielmehr wichtig, bei Transaktionen Betrag und Empfänger auf einem sicheren Kanal gegenzuchecken. Einen solchen sicheren Kanal können Smartcard Reader mit separatem Display oder Mobiltelefone beziehungsweise Smartphones darstellen. (ju)