Schweizer Lagebericht kritisiert unsicheres Online-Banking
Gegen die steigende Zahl von Angriffen mit spezieller Schadsoftware bieten PIN/TAN und auch Token keinen Schutz. Keine ernstzunehmende Gefahr sieht die Schweizer Melde- und Analysestelle Informationssicherung hingegen durch herkömmliches Phishing.
Während im ersten Halbjahr 2007 "klassische" Phishing-Angriffe auf Schweizer Finanzdienste erstmals stark zurückgegangen seien, habe die Zahl der erfolgreichen Angriffe mit Malware stark zugenommen, meldet die Schweizer Melde- und Analysestelle Informationssicherung (Melani).
Unter "klassischen Phishing-Angriffen" verstehen die Eidgenossen die Angriffe, bei denen der Kunde per Mail aufgefordert wird, Zugangsdaten für das E-Banking-System einzugeben. Die wenigen beobachteten Angriffe nach diesem Muster seien erfolglos geblieben. Das teilweise "diletantische" Vorgehen weise auf wenig professionelle Täter hin.
Anders sieht es aus, wenn der Rechner des Anwenders mit Schadsoftware infiziert wurde, die er sich entweder über E-Mail oder im Web eingefangen hat. Diese Art der Angriffe habe stark zugenommen und sei darüber hinaus äußerst erfolgreich, weil das einmal infizierte Opfer so gut wie keine Chance mehr hat.
So berichtet Melani von Vorfällen, in denen sich ein solches Schadprogramm im Browser einnistet und dort vor der verschlüsselten Übertragung der Überweisungsdaten Namen und Kontonummer des Empfängers und auch den Betrag manipuliere. Selbst die Bestätigung der Bank wird abgefangen und falsch angezeigt. Die Bundesbehörde kommt somit zu dem Schluss: "Zwei-Faktor-Authentisierungssysteme (z.B. Streichlisten, SecurID, usw) bieten keinen Schutz gegen solche Angriffe und müssen als unsicher betrachtet werden, sobald der PC des Kunden mit Malware verseucht worden ist."
Und auch für die Zukunft sehen die Schweizer ziemlich schwarz: An der Verbreitung von Malware-Angriffen dürfte sich wenig ändern "so lange international keine besser koordinierte Vorgehensweise bei der Strafverfolgung sowie eine harmonisierte Gesetzeslage implementiert werden können und keine technischen Verbesserungen im Bereich der Sicherheit von E-Banking-Lösungen umgesetzt werden", befürchten die Sicherheitsexperten. Bei den konkreten Maßnahmen zur Verbesserung der Situation bleibt der Lagebricht allerdings weitgehend im Vagen.
Siehe dazu auch:
- MELANI - Halbjahresbericht 2007/1 der Schweizer Melde- und Analysestelle Informationssicherung (PDF)
(ju)
