Wie erkennen Banken «Man-in-the-middle»-Angriffe?

Wie hoch sind die Schäden, die durch Betrug im Online-Banking jährlich entstehen? Die Banken sind recht diskret und lassen möglichst wenige Berichte über geschädigte Kunden an die Öffentlichkeit dringen. Doch lässt die Intensität, mit der PCs mit verschiedenen Methoden angegriffen werden, vermuten, dass die Erträge der Internet-Kriminellen nicht allzu klein sind.
 
«Man-in-the-middle»-Angriffe
Während man heute die E-Banking-Applikationen und Infrastrukturen der Banken recht gut schützen kann und neuere Sicherheitsvorkehrungen wie etwa das Kartenlesegerät der Postfinance auch vor «Phishing» (Entlocken von Zugangsdaten) schützt, ist man noch ziemlich machtlos gegen so genannte «Man-in-the-middle»-Angriffe. Dabei wird der PC des Bankkunden gekapert. Der Dieb wartet dann, bis sich der Kunde seine E-Banking-Session korrekt und unter Einhaltung aller Sicherheitsvorkehren eröffnet hat. Erst dann werden die Räuber aktiv und verändern über den (virtuellen) «Mann-in-der-Mitte» die übermittelten Daten – zum Beispiel das Empfängerkonto einer Zahlung.
 
Angriff auf Kunden-PC’s
Angegriffen werden nicht die Systeme der Banken und auch nicht deren Authentisierungsmechanismen wie beim Phishing sondern die PCs der Kunden, über die die Banken keinerlei Kontrolle haben.
 
Transaktionen-Analyse und Vergleich mit bekannten Mustern
Urs Rufer von terreActive Schweiz schlägt nun in einem Artikel in der neuen Ausgabe des Informationsmagazins von Security-Zone relativ einfache Massnahmen gegen die gefürchteten Angriffe durch die «Männer in der Mitte» vor. Ein Ansatz ist gemäss Rufer die Erkennung von Missbrauch durch die Analyse der Transaktionen und der Vergleich mit bekannten Mustern. Erkennt das System verdächtige Transaktionen muss sofort eine Reaktion seitens der Bank ausgelöst werden. Man könnte also den Kunden telefonisch kontaktieren und die laufende E-Banking-Sitzung unterbrechen.
 
Rufer schlägt relativ einfache Massnahmen vor. So können auf der Zugangsebene, wo sich der Kunde identifiziert und die gesamte Kommunikation verschlüsselt ist, technische Details aufgezeichnet werden. Bei der nächsten Session würden diese dann verglichen und bei Abweichungen eine Warnung ausgegeben werden, die einen «Security-Event» auslösen würde. (Christoph Hugenschmidt)

Schreibe einen Kommentar