Online-Banking: Keine sichere Bank

CW: In Ihren Vorträgen zeigen Sie immer wieder, dass Online-Banking alles andere als sicher ist. Banken behaupten das genaue Gegenteil. Was stimmt denn nun?

Porada: Es gibt kein sicher oder unsicher. Es geht immer nur um Wahrscheinlichkeiten. Die Frage ist einfach: Wie hoch ist der Aufwand, um mit Attacken etwas zu erreichen.

CW: Sie haben in Ihrem Vortrag auf der CeBIT auch dargelegt, dass Hacker einem Anwender vorgaukeln, er würde online mit seiner Bank kommunizieren. In Wirklichkeit befindet er sich aber auf einer ganz anderen Seite.

Porada: Das ist richtig: Man kann einen Computer so umbiegen, dass er gar nicht mehr mit der Bank kommuniziert, sondern mit einem Hacker-Server. Um sich davor zu schützen, müsste der Anwender in der Lage sein, solch eine Attacke zu erkennen. Die Bank sagt, das könnte man anhand eines Zertifikats. Wenn ich aber in meinen Vorträgen das Zertifikat zeige und das Publikum frage, ob sie dieses Zertifikat lesen können, meldet sich in aller Regel niemand. In diesem Zertifikat bescheinigt mir eine Vertrauensperson, dass ich bei dieser oder jener Bank gelandet bin. Ich frage dann die Leute: "Wer von Ihnen kennt überhaupt die Vertrauensinstanz?" Keiner kennt die. Wenn ich aber die Vertrauensinstanz nicht einmal kenne, wie soll ich ihr dann vertrauen?

Wir haben in Windows über hundert Certification Authorities (CA) mit drin, die einem bestätigen, dass diese Zertifikate gültig sind. Nur sind diese CAs teilweise in verschiedenen Ländern und wir wissen nicht, wer dahinter steckt. Das ist bei weitem nicht vertrauenswürdig. Und wer soll bei solch einer Situation noch in der Lage sein zu erkennen, ob sein Rechner kompromittiert ist oder nicht? Wer dann seine PIN und seine TAN eingibt, der macht dies vielleicht auf der Seite eines Hackers. Und da kann es sehr gut sein, dass sein Konto leer geräumt wird.