Sicheres Online-Banking mit Bankix
Immer neue Viren, Würmer und Sicherheitslücken machen Online-Banking via Internet zu einem riskanten Spiel. Mit dem Linux-System c't Bankix erledigen Sie Ihre Geldgeschäfte sicher im Internet und verhindern wirkungsvoll, dass sich Kriminelle auf Ihrem Rechner einnisten.
Projekt c't Bankix ist eingestellt [1]
c't Bankix war ein von Ubuntu [2] abgeleitetes Live-Linux-Betriebssystem, das speziell für sicheres Online-Banking konzipiert wurde. Es wurde von Mitte 2008 bis 2016 entwickelt und unterstützt, genauere Informationen zum Projektende finden Sie in den Kommentaren [3]. Zum Ausprobieren genügte ein einfacher USB-Stick, auf den das ISO-Image übertragen wurde.
Für den regelmäßigen Einsatz ließ sich das System mitels Unetbootin oder Startmedienersteller auf einem USB-Stick mit Schreibschutzschalter oder einer SD-Karte zu installieren. Auch eine Installation auf einer DVD-R war möglich, aber umständlich, weil dazu eine Multi-Session-DVD erzeugt werden musste.
Bei der Entwicklung von c't Bankix stand im Vordergrund, Angreifern keine Möglichkeit zu bieten, sich im System einzunisten. Die wichtigste Sicherheitsfunktion ist, dass die im Rechner verbauten Festplatten (SATA, PATA) von c't Bankix aus unerreichbar sind – dazu haben wir eine spezielle Änderung in den Linux-Kernel integriert. Wechsellaufwerke, also alle CD- und DVD-Laufwerke sowie alle USB-Speichermedien, sind von unserer Änderung nicht betroffen und arbeiten ganz normal.
Damit sich ein Angreifer auch nicht in c't Bankix selbst einnisten kann, wurden umfangreiche Sicherheitsmaßnahmen getroffen. Den vollen Schutz erreichen Sie, indem Sie das System auf einem USB-Stick mit Schreibschutzschalter oder einer SD-Karte installieren. Beim ersten Start des Systems – noch mit deaktiviertem Schreibschutz – haben Sie dann die Möglichkeit, Updates und zusätzliche Programme einzuspielen sowie die Standardeinstellungen anzupassen. Vor dem nächsten Start verriegeln Sie das System, sodass keine Manipulationen mehr möglich sind.
Um auch die Gefahr von Manipulationen über Updates zu minimieren, akzeptiert c't Bankix lediglich Pakete aus zwei Quellen: Dem offiziellen Ubuntu-Repository sowie unserem eigenen Repository – die Authentizität aller Pakete wird dabei über Signaturen sichergestellt.
Mit dem optionalen Programm Hibiscus von Olaf Willuhn bietet c't Bankix neben herkömmlichem Online-Banking via Browser ein ausgewachsenes Finanzverwaltungsprogramm,das über die HBCI-Schnittstelle (Home Banking Computer Interface) auf Online-Konten zugreift, aber auch Umsätze von Offline-Konten wie Sparbüchern erfassen kann -- auf diese Weise bietet Ihnen Hibiscus einen beliebig genauen Überblick über Ihre Finanzsituation.
Wir empfehen, c't Bankix mittels UNetbootin [4] auf einem USB-Stick mit Schreibschutzschalter oder einer SD-Speicherkarte zu installieren – wobei es insbesondere bei SD-Karten entscheidend ist, den Schreibschutz zu überprüfen, da dessen Funktion einzig vom verwendeten Kartenleser abhängt. Alternativ können Sie das ISO-Image auf eine DVD brennen – unter Windows verwenden Sie dazu das Programm CDBurnerXP. Achten Sie darauf, dass die DVD erweiterbar bleibt, also nicht abgeschlossen wird.
Nach dem ersten Start von dem noch beschreibbaren USB-Stick bzw. der noch nicht abgeschlossenen DVD haben Sie die Möglichkeit, Updates sowie zusätzliche Programme einzuspielen, können im Firefox die Online-Banking-Seite Ihrer Bank als Lesezeichen oder Startseite hinterlegen, einen E-Mail-Account einrichten und nahezu beliebige Änderungen am Basissystem vornehmen. Wenn Sie fertig sind, speichern Sie die Systemeinstellungen über das entsprechende Icon im Launcher und fahren den Rechner herunter oder starten ihn neu. Beim Herunterfahren oder Neustart werden die zusätzlichen Pakete und die geänderten Einstellunge unter dem Dateinamen settings.squashfs auf dem USB-Stick gespeichert oder als finale Session auf die Multi-Session-DVD geschrieben. Anschließend ist die DVD nicht mehr veränderbar, beim USB-Stick müssen Sie entsprechend den Schreibschutz aktivieren.
Alle weiteren Änderungen am System wirken lediglich auf die aktuell laufende Sitzung von c't Bankix. Um Bookmarks oder ihre Hibiscus-Finanzdaten zu speichern, können Sie einen USB-Stick (ohne Schreibschutz) als Home-Laufwerk einrichten. Dann werden beim Herunterfahren sämtliche Benutzerdaten, darunter die Firefox-, Thunderbird- und Hibiscus-Einstellungen, auf dem USB-Stick gespeichert und beim nächsten Neustart beschreibbar als Home-Verzeichnis eingebunden, sodass Sie diese Einstellungen jederzeit aktualisieren können.
Download
Download
Die Entwicklung und der Support von c't Bankix sind eingestellt, das System wird auch nicht mehr zum Download angeboten.
Weitere aktuelle Fragen und Antworten zu c't Bankix finden Sie in c't 18/15 und online in der FAQ auf der nächsten Seite.
FAQ
FAQ
Bootparameter
c't Bankix bleibt beim Booten stehen oder der grafische Desktop erscheint nicht. Was kann ich tun?
Es gibt verschiedene Bootparameter, die sie ausprobieren können. Haben Sie von einem USB-Stick gebootet, erscheint das Bootmenü von UNetbootin. Dort müssen Sie vor Ablauf des Countdowns die Escape-Taste drücken. Dann erscheint unter dem Menü eine Zeile mit den standardmäßig voreingestellten Bootparametern. Ans Ende der Zeile fügen Sie, durch Leerzeichen getrennt, alle zusätzlichen Bootparameter an. Sind Sie fertig, drücken Sie die Enter-Taste und booten so c't Bankix.
Wenn Sie hingegen von CD starten und das c't-Bankix-Logo sehen, befindet sich die Zeile für die Bootparameter unterhalb des Logos. Geben Sie hinter dem Prompt "boot" ctbankix ein, gefolgt von den gewünschten zusätzlichen Bootparametern ein, wobei sie alles durch Leerzeichen trennen. Anschließend drücken Sie die Enter-Taste, um c't Bankix zu starten.
Der wichtigste Bootparameter ist acpi=off, damit wird das Advanced Configuration and Power Interface (ACPI) abgeschaltet, eine etwas harmlosere Variante ist acpi=pci. Damit verbrauchen zwar einige Notebooks deutlich mehr Strom, dies ist für das Online-Banking aber meist zu verschmerzen.
Weitere nützliche Parameter sind noapic sowie nolapic (Interrupt-Controller), vga=normal falls der Bildschirm beim Booten schwarz wird, [xforcevesa=xforcevesa], falls keine grafische Oberfläche erscheint sondern sich Ihr Monitor über ungültige Videofrequenzen beschwert, und nodma, falls Sie DMA-Fehlermeldungen beim Booten sehen oder das System etliche Minuten zum Booten braucht.
[5]Bootprobleme von CD nach Speichern der Systemeinstellungen
Ich habe wie im Artikel beschrieben nach dem Update die Systemeinstellungen speichern lassen. Fehlermeldungen habe ich beim Brennen der 2. Session nicht beobachten können. Allerdigns will die CD nun nicht mehr booten. Gibt es einen anderen Weg, die Einstellungen auf CD zu speichern?
Zum Speichern der Systemeinstellungen verlangt c't Bankix einen USB-Stick als temporären Zwischenspeicher. Auf diesem Stick wird im Verzeichnis ctbankix die Datei settings.squashfs abgelegt. Sie enthält sämtliche Einstellungen sowie die Updates und wird nicht automatisch gelöscht.
Warum die CDs bei manchen Rechnern nach dem Brennen der 2. Session mit den Systemeinstellungen nicht mehr startet, ist noch nicht geklärt. Sie können jedoch unter Windows zunächst als 1. Session einer neuen CD das c't-Bankix-ISO brennen und gleich im Anschluss die Datei settings.squashfs vom temporären USB-Stick als 2. Session anfügen und die CD dann abschließen, wobei die Datei im Hauptverzeichnis der CD stehen muss.
[6]USB-Sticks mit Schreibschutzschalter
Wo finde ich noch USB-Sticks mit Schreibschutzschalter? Bei den üblichen Discountern habe ich jedenfalls keine gesehen.
USB-Sticks mit einem Schreibschutzschalter, der Schreibzugriffe physisch unterbindet, gibt es nur noch selten im Handel. Eine gute Alternative sind SD-Karten, die in fast allen Digitalkameras zum Einsatz kommen: Sie verfügen fast immer über einen Schreibschutzschalter. Allerdings wirkt der Schreibschutzschalter der SD-Karten nicht direkt auf die Schreibleitung des Flash-Bausteins, es handelt sich also nicht um einen Hardware-Schreibschutz. Vielmehr signalisiert die Flash-Karte damit dem Kartenleser, dass die Daten schreibgeschützt sind – für die Umsetzung des Schreibschutzes ist aber allein der Kartenleser verantwortlich. Da es am Markt etliche Kartenleser gibt, die den Schreibschutzschalter ignorieren, sollten Sie vor der Installation von c't Bankix zunächst testen, ob der Kartenleser Ihres Rechners die Schreibzugriffe zuverlässig unterbindet.
Um ein aussagekräftiges Ergebnis zu bekommen, müssen Sie den Test unter Linux durchführen – unter Windows könnte die Schreibschutzfunktion über den Gerätetreiber implementiert und somit für andere Betriebssysteme unwirksam sein. Am besten starten Sie c't Bankix zunächst von einer CD und schieben die schreibgeschützte SD-Karte im laufenden Betrieb in den Kartenleser, woraufhin ein Fenster des Datei-Managers erscheint. Damit versuchen Sie, auf der SD-Karte ein neues Verzeichnis anzulegen (rechte Maustaste, Kontextmenü). Bemängelt der Datei-Manager, dass das Medium schreibgeschützt ist, ist alles in Ordnung -- andernfalls sollten Sie sich nach einem anderen Kartenleser in Form eines USB-Sticks umsehen. Diese gibt es schon für deutlich unter zehn Euro – etwa den Transcend P5 [7], den wir für unsere Tests verwenden und der den Schreibschutz korrekt umsetzt.
[8]Ominöse Internetverbindungen
Ich habe mir nach dem Start von c't Bankix mit dem Befehl netstat -n -t -c einmal angesehen, welche Netzwerkverbindungen es gibt – und bin unter anderem über eine offene Verbindung zum Ubuntu-Server gestolpert. Ich habe diese Verbindung weder aufgebaut noch sehe ich eine Notwendigkeit dafür. Wie kann ich das unterbinden? Ich möchte kein System, dass von sich aus Verbindungen zu irgend welchen Servern im Internet aufbaut.
Die Verbindung zum Ubuntu-Server geht auf das Init-Skript updatepackages zurück, das die Paketdatenbank via apt-get aktualisiert, um den Benutzer auf etwaige Updates aufmerksam machen zu können. Bei herkömmlichen Ubuntu-Systemen wird diese Aktualisierung einmal pro Tag durch den Update Manager ausgelöst – da c't Bankix bei den meisten Anwendern jedoch immer nur für einige Minuten laufen dürfte, würden nur selten Updates angeboten.
Sie können die Aktualisierung verhindern, indem Sie nach dem ersten Start, bevor Sie die Systemeinstellungen speichern lassen, in einer Textkonsole den Befehl sudo update-rc.d -f updatepackages remove eingeben.
[9]Zusätzliche Treiber
Ich habe gesehen, dass Gerät/Modem/WLAN-Stick XYZ unter einer anderen Linux-Distribution funktioniert. c't Bankix aber erkennt es nicht. Kann ich nicht einfach die Treiber rüberkopieren?
Das funktioniert in aller Regel nicht. Einmal benötigen Sie Treiber, die exakt zum Kernel von c't Bankix passen. Dies ist nur bei Ubuntu-Treibern der gleichen Basisdistribution, aktuell Jaunty Jackelope (Ubuntu 9.04) wahrscheinlich, aber auch nicht gesichert. Sollte es ein Ubuntu-Treiberpaket geben, sollten Sie es einfach über den Datei-Manager oder die Software-Verwaltung versuchen nachzuinstallieren.
Finanzverwaltung Hibiscus einrichten
Finanzverwaltung Hibiscus einrichten
Mit dem Finanzverwaltungsprogramm Hibiscus können Sie die Finanzdaten mehrerer Konten, auch bei verschiedenen Banken, abzurufen und lokal zu speichern, sowie Überweisungen vorzunehmen oder Daueraufträge einzurichten. Auch die Umsätze von Sparbücher und Konten, für die Sie keinen Online-Zugang haben, lassen sich mit Hibiscus manuell erfassen. Zudem können Sie die Kontoumsätze lassen sich in verschiedene Kategorien einteilen, sodass Sie einen guten Überblick über Ihre Finanzsituation erhalten.
Hibiscus verwendet das HBCI-Protokoll und unterstützt das PIN/TAN-Authentifizierungsverfahren (HBCI+) inklusive mTAN, SMS-TAN und Chip-TAN/Smart-TAN sowie Schlüsseldateien und Smartcards. Beim ersten Start muss zunächst das Sicherheitsmedium eingerichtet werden, wo Sie die Auswahl zwischen den genannten Verfahren haben.
HBCI+ mit PIN/TAN/mTAN/SMS-TAN/ChipTAN
Voraussetzung für HBCI+ ist, dass Ihre Bank dieses Verfahren anbietet und Ihr Konto entsprechend freigeschaltet ist. Je nach Bank müssen Sie dies über die Online-Kontenverwaltung vornehmen, bei anderen ist zuvor ein schriftlicher Antrag erforderlich.
Haben Sie PIN/TAN als Sicherheitsmedium in Jameica ausgewählt, werden Benutzerkennung, Kundenkennung und Bankleitzahl abgefragt. Wie sich die Benutzer- und Kundenkennung zusammensetzt, erfahren Sie aus der Liste [10] der gebräuchlichsten deutschen Banken.
Haben Sie alle Felder ausgefüllt, können Sie die Konfiguration testen lassen, wozu Ihr Online-Banking-Passwort abgefragt wird. Im unteren Teil des Jameica-Fensters finden Sie Statusinformationen, die im Fehlerfall hilfreich sein können.
HBCI mit Schlüsseldatei
Hibiscus unterstützt auch Schlüsseldateien im RDH-10-Format. Diese können Sie importieren, indem Sie als Sicherheitsmedium Schlüsseldiskette angeben und anschließend über den Datei-Browser die Datei auswählen.
Alternativ können Sie eine neue Schlüsseldatei anlegen, Hibiscus fragt Sie dann nach dem Dateinamen und dem Verzeichnis. Hier ist es wichtig, dass Sie als Verzeichnis das Home-Verzeichnis des Benutzers ctbankix, also /home/ctbankix, angeben. Sofern Sie nur Hibiscus nutzen möchten, können Sie das HBCI4Java-Format auswählen, wenn Sie die Schlüsseltdatei auch in andere Finanzverwaltungsprogramme importieren wollen, wählen Sie stattdessen das RDH-2-Format.
Anschließend müssen Sie, wie bei HBCI+, Benutzerkennung und Bankleitzahl eingeben sowie den Hostnamen des Bank-Servers. Diese Informationen erhalten Sie von Ihrer Bank, falls nicht, lohnt sich ein Blick in die Liste der bekannten Banken [11] sowie die PIN/TAN-Bankdaten [12].
Im nächsten Schritt zeigt Ihnen Hibiscus den Hash-Wert des Schlüssels Ihrer Bank an. Vergleichen Sie diesen Hash-Wert mit dem von der Bank in den Zugangsdaten angegebenen Hash-Wert. Anschließend können Sie den sogenannten INI-Brief drucken, der den Hash-Wert Ihres Schlüssels enthält. In jedem Fall sollten Sie diese Daten speichern lassen, damit Sie falls nötig später darauf zurückgreifen oder den Schlüssel in der Online-Kontoverwaltung Ihrer Bank hinterlegen können.
HBCI mit Smartcard
Die USB-Smartcard-Leser von ReinerSCT wurden erfolgreich mit c't Bankix 12.04.1 getestet. Sie müssen allerdings zuvor das Paket ctbankix-smartcards [13] mit Ihrem Browser herunterladen. Firefox öffnet dazu das Download-Fenster. Ist der Download abgeschlossen, doppelklicken Sie das Paket im Download-Fenster, woraufhin das Software-Center startet und Ihnen anbietet, das Paket zu installieren. Alternativ können Sie ctbankix-smartcards auch über die Synaptic-Paketverwaltung nachinstallieren. Für die Einbindung in Hibiscus konfigurieren Sie in den Hibiscus-Einstellugen die Chipkarte als neues Sicherheitsmedium und legen manuell einen neuen Kartenleser vom Typ ReinerSCT an.
Konten einrichten
Nachdem Sie Sicherheitsmedien für alle Bankverbindungen eingerichtet haben, lassen Sie Hibiscus die Kontoiinformationen automatisch aus den Informationen es Sicherheitsmediums ermitteln. In der Detailansicht des jeweiligen Kontos können Sie dann die Buchungsinformationen abrufen lassen. Um ein Offline-Konto wie ein Sparbuch anzulegen, wählen Sie im Dialog zur Einrichtung "Offline-Konto" unterhalb des Notizfelds. Hibiscus erfragt dennoch Kontonummer und Bankleitzahl.
Damit ist die grundlegende Einrichtung von Hibiscus abgeschlossen und Sie können Überweisungen anlegen, Daueraufträge einrichten und die Buchungen kategorisieren. (mid [14]) (mid [15])
URL dieses Artikels:
https://www.heise.de/-284099
Links in diesem Artikel:
[1] http://www.heise.de/forum/c-t/Kommentare-zu-c-t-Artikeln/Sicheres-Online-Banking-mit-Bankix/Projekt-c-t-Bankix-ist-eingestellt/posting-28527862/show/
[2] http:/www.ubuntu.com
[3] http://www.heise.de/forum/p-28527862/
[4] http://www.heise.de/download/unetbootin-universal-netboot-installer.html
[5]
[6]
[7] http://www.amazon.de/Transcend-High-Speed-Kartenleseger%C3%A4t-schwarz/dp/B001NS828K
[8]
[9]
[10] http://www.willuhn.de/wiki/doku.php?id=support%3Alist%3Abanken%3Amisc%3Apintan
[11] http://www.willuhn.de/wiki/doku.php?id=support%3Alist%3Abanken%3Amisc%3Ardh
[12] http://www.willuhn.de/wiki/doku.php?id=support%3Alist%3Abanken%3Amisc%3Apintan
[13] http://www.heise.de/ct/projekte/ctbankix/pool/precise/main/c/ctbankix-smartcards/ctbankix-smartcards_0.1_i386.deb
[14] mailto:mid@ct.heise.de
[15] mailto:mid@ct.de
Copyright © 2008 Heise Medien