Stellungnahme PlusMinus

Stellungnahme zum Beitrag "Kontenklau",
der am 28.01.97 im ARD-Magazin PlusMinus gezeigt wurde.

Datum: 03.02.97

Am Dienstag, den 28.01.1997 ist im ARD-Magazin PlusMinus ein Beitrag über die Schwachstellen im Online-Banking mit dem Tenor "Kontenklau" gesendet worden. In dem Bericht wurde gezeigt, wie mit dem Internet-Zugangsprogramm von Microsoft, dem Browser "Internet Explorer", dank der neuen Microsoft-Technologie "ActiveX" ein PC quasi ferngesteuert wurde, ohne daß der unerfahrene PC-Nutzer die Manipulation entdeckte. Mit ActiveX können kleine Software-Programme geschrieben werden, die die Funktionalität des Microsoft Internet Explorer erweitern, nach dem Laden über das Internet sich automatisch auf dem Kundenrechner installieren und theoretisch vollen Zugriff auf den Kunden-Rechner haben. In dem PlusMinus-Beitrag lud sich ein unerfahrener Online-Banking-Kunde durch Anklicken einer manipulierten Internet-Seite, beispielsweise mit dem Titel "Millionär in fünf Minuten", ein getarntes Virus-ActiveX-Programm auf seinen PC. Anschließend startete das Programm unbemerkt vom PC-Besitzer: Es aktivierte die Sammelüberweisungsfunktion der Intuit-Finanzverwaltungssoftware "Quicken", erzeugte einen Überweisungsauftrag über 20.- DM und stellte ihn in die Sammelüberweisungsdatei ein. Bei der nächsten Sammelüberweisung des Kunden wurde die Überweisung vom Kunden ungewollt mit ausgeführt. Voraussetzung für die Manipulation war, daß alle Sicherheitsvorkehrungen, wie die manuelle Passworteingabe, innerhalb der Quicken-Software ausgeschaltet waren und daß die Ausführung von ActiveX-Programmen im Microsoft-Browser vom Kunden erlaubt war.

Dieser Computer-Virus-Angriff wurde auf dem Chaos Communication Congress 96 des Chaos Computer Clubs in Hamburg ausgetüftelt und anschließend in Thüringen von zwei Hackern in Zusammenarbeit mit dem mdr sendereif gemacht. Unrichtig ist die Verallgemeinerung dieses Angriffs in der Weise, daß damit jetzt alle 2 Millionen Online-Banking-Kunden in Deutschland vor Manipulationen Angst haben müßten. Insbesondere wurden in dem PlusMinus-Beitrag Internet-Seiten der Deutschen Bank und der Direkt Anlage Bank gezeigt, die Java-basierte Internet-Banking-Lösungen von Brokat Systeme (http://www.brokat.de) einsetzen. Der damit geweckte Eindruck, daß auf die Brokat-Lösungen ähnlich einfach Angriffe durchgeführt werden können, ist falsch.

Grundsätzlich unterscheiden sich die Brokat-Lösungen von einer Finanzverwaltungssoftware wie Intuit "Quicken" oder Microsoft "Money" dahingehend, daß der Internet-Kunde für Internet-Banking außer einem Internet-Browser, der Anwendungen in der Programmiersprache "Java" verarbeiten kann, keine zusätzliche Software oder Hardware auf seinem Kundenrechner installieren muß. Will der Kunde Home-Banking machen, lädt er sich direkt vom Bank-Rechner kleine Java-Home-Banking-Programme, sogenannte Applets, in seinen Browser und bringt im Browser die Applets zur Ausführung. Die Java-Home-Banking-Applets von Brokat ermöglichen dabei eine hochsichere Verschlüsselung von vertraulichen Bank-Transaktionen über das Internet. Eine Fremdbedienung der Java- Home-Banking-Applets durch Computer-Viren ähnlich zu dem gezeigten mdr-Angriff ist ausgeschlossen; theoretisch denkbar sind höchstens Manipulationen im Verlauf einer tatsächlichen Bedienung der Java-Anwendung durch den Kunden. Praktische Virus-Angriffssenarien sind bisher nicht bekannt und dürften wenn überhaupt wesentlich schwieriger zu realisieren sein.

Bisher wird die Kundenidentifizierung bei den Brokat-Lösungen durch das aus dem BTX-Banking bekannte PIN/TAN-Verfahren vorgenommen. Mögliche Virenangriffe auf einem Kundenrechner um in den Besitz der Persönlichen Identifikationsnummer (PIN) und ungenutzter Transaktionsnummern (TANs) zu kommen, sind ein beliebtes Thema in Hackerkreisen. Trotzdem T-Online bereits seit geraumer Zeit seinen Kunden neben einem BTX-Zugang auch einen Internet-Zugang bietet, sind entsprechende Angriffe auf BTX-PIN/TANs aus einem theoretischen Stadium nie herausgekommen. Dennoch wird in naher Zukunft das PIN/TAN-Verfahren der Brokat-Lösungen durch digitale Kunden-Signaturen ersetzt, wie sie gegenwärtig auch im Gesetzesentwurf zur digitalen Signatur (Signaturgesetz - SigG) diskutiert werden.

Die Microsoft-Technologie ActiveX wird wie die "Plug-in"-Technologie von Netscape dazu genutzt kleine Programme zu schreiben, die die Funktionalitäten der jeweiligen Browser erweitern, bei Microsoft der Internet Explorer und bei Netscape der Navigator. Problem bei ActiveX-Programmen ist, daß sie nach dem Laden über das Internet ohne Prüfung automatisch und damit eventuell vom Kunden unbemerkt auf dem Kundenrechner installiert werden. Netscape Plug-ins dagegen müßen nach ihrem Laden explizit noch gestartet werden, um sie auf dem Kundenrechner zu installieren. Damit ist die Gefahr einer unbemerkten Virus-Installation ausgeschlossen. Beide Technologien lassen einen Zugriff auf das Betriebssystem des Kunden-Rechners zu. Oft wird die Microsoft-Programmiersprache ActiveX zu Unrecht mit der Programmiersprache Java verglichen. Java-Programme werden nie auf dem Betriebssystem des Kunden installiert, sondern werden im Browser selbst zur Ausführung gebracht. Sie werden als Software-Ergänzung zu der bekannten Internet-Dokumentensprache HTML gesehen. Java-Programme können vom Browser aus nicht auf das Betriebssystem oder andere Anwendungen des Kunden zugreifen. Heute wird das für Java-Applets erst über zusätzliche ActiveX- oder Plug-In-Programme möglich. Künftig werden Java-Applets auch als Ganzes digital signierbar sein. Diese "signed Applets" lassen sich dann eindeutig Ihrem Absender zuordnen und können bei Bedarf auch direkt auf die Anwendungen des Kundenrechnerszugreifen. In Java geschriebene Viren-Programme können damit schon rein theoretisch einen viel geringeren Schaden anrichten als Viren, die in ActiveX- oder Plug-In-Programmen versteckt sind.

Einen höheren Schutz gegen Virusangriffe auf Kunden-Rechnern läßt sich mit Hardware-geschützten Tastatur-Verschlüsselungs-Lösungen (TVL) realisieren. Dies wird dadurch erreicht, daß eine TVL vertrauliche Tastatureingabe einer bestimmten Länge, nach Ihrer Eingabe direkt durch die TVL verschlüsselt wird, ohne daß die Eingaben noch einmal in den Kunden-PC eingespielt werden. Der Befehl zur Aufzeichnung und Verschlüsselung dieser Tastatureingaben kommt dabei von einer speziellen Home-Banking-Software auf dem jeweiligen Kunden-PC. Letztlich bietet auch eine solche Lösung keinen absoluten Schutz vor Virusangriffen. Grundlage eines potentiellen Virusangriffs ist die Tatsache, daß ein Kunde seine Tastatureingaben nur auf der Basis von Bildschirmanweisungen durchführt:

  1. Der Virus gelangt auf den PC des Kunden, beispielsweise in Form eines getarnten ActiveX-Controls.
  2. Der Virus ist zunächst inaktiv
  3. In dem Moment, wo die TVL von der TVL-Home Banking-Software der Befehl zum Starten des Tastatur-Verschlüssels mit der Zahl für die Eingabe der Zeilkontonummer gesendet wird, greift der Virus ein. Er ersetzt die Original-Bildschirmanzeige eines Überweisungsformulars durch eine andere Anweisungs-Anzeige, die den Nutzer zur Eingabe einer vorgegebenen Zahlungskombinationen auffordert, z. B. " Vor Eingabe Ihrer Kontonummer geben Sie bitte zur Freischaltung des Bank-Rechners die Kennziffer 234385 ein." In Wirklichkeit gibt der Kunde mit dieser Kennziffer eine andere Zielkontonummer ein. Die TVL signiert und verschlüsselt die vorgetäuschte Kennziffer und schickt diese an den Bank-rechner, der die Kennziffer als Zielkontonummer interpretieren wird.
  4. Nach der Eingabe der Kennziffer ersetzt der Virus die Anweisung-Anzeige durch die Original-Bildschirm-Anzeige und deaktiviert gleichzietig die Tastatur-Verschlüsselung über die Anzahl der Zeichen der Zeilkontonummer. Die jetzt vom Kunden richtig eingegebene Zielkontonummer wird nicht von der TVL erfaßt und eine weitere Durchreichung an den Bank-Server vom Virus verhindert.
  5. Ähnlich würde der Virus verfahren, wenn der Befehl zum Starten der Tastaur-Verschlüsselung mit der Anzahl der für die Eingabe der Zielbankleitzahl gesendet wird. Die vorgetäuschte Anweisungsanzeige könnte hierbei lauten "Bitte bestätigen Sie die Freischaltung mit der Kennziffer 30070010".

Die weiteren Daten gibt der Kunde wie von der TVL-Home-Software vorgegeben ein. Der Bankserver führt die Überweisung durch und schreibt das Geld dem vorgetäuschten Viruskonto gut.

Welches Sicherheitssystem eine Bank beim Online Banking implementiert, entscheidet sich nicht an der Betrachtung seiner absoluten Sicherheit, sondern seiner "Sicherheitsrentabilität", ein Begriff, der vermutlich erstmalig von Brokat so definiert worden ist. Zu ihrer Erinnerung stellen die Banken die Aufwände, die durch den potentiellen Mißbrauch einer abgesicherten Online-Banking-Lösung entstehen können, den mit den Schutzmaßnahmen verbundenen Aufwänden für Einrichtung, Logistik, Betrieb, Wartung, Endkundenservice und Aufrüstung gegenüber. Das Ergebnis ist die relative Sicherheit. Besonders gegenüber investitionsintensiven hardwaregeschützten Tastatur-Verschlüsselungs-Lösungen oder aufwendig zu installierender, serviceintensiver traditioneller Verschlüsselungs-Software weisen die Java-basierten Brokat-Internet-Banking-Lösungen meistens das beste Rentabilitätsverhältnis auf, was die Anzahl der bisherigen Referenzinstallationen bestätigt.

zur ckzurück © 1996-2024 Lutz Donnerhacke @ IKS GmbH Jena Friday | 29.Mar.2024