Was kann der Anwender tun?
CW: Wie kann man denn als Online-Surfer solche Klippen umschiffen?
Porada: Man müsste Transaktionen selber signieren und kombinieren mit den inhaltlichen Daten, um das Verfahren sicherer zu machen. Solch ein Verfahren findet aber meines Wissens nach - zumindest in Deutschland - noch nicht statt.
CW: Alles, was Sie sagen, hört sich so an, als ob Gunnar Porada Online-Banking nicht empfiehlt.
Porada: Nein, ich möchte Online-Banking nicht mehr missen. Ich kann aber im Schadensfall meiner Bank auch nachweisen, dass ich Opfer bin. Beziehungsweise kann ich denen zeigen, was man tun muss, um illegal Geld via Online-Transaktion abzubuchen.
Ich weiß, gerade im Bankenumfeld gibt es viele Fälle, da tut es geradezu weh, wie viel Geld illegal abgebucht wird. Ich weiß auch, dass Banken nach Alternativen suchen, die das Verfahren sicherer machen. Aber das dauert.
CW: Was macht Herr Porada, um für sich Online-Banking sicher zu machen?
Porada: Ehrlich gesagt mache ich genau das, was meine Bank mir sagt. Ich achte auf die Zertifikate. Ich habe meine Konten allerdings auch im Ausland, weil ich dort lebe. In der Schweiz gibt es andere Verfahren, die ein Stück weit sicherer sind als die in Deutschland.
CW: Was sollte, müsste der deutsche Onine-Banking-Kunde tun?
Porada: Da muss ich zunächst einmal den Verbrauchern ins Gewissen reden: Ich höre von Banken immer wieder, dass sie verstehen, sichere Verfahren einführen zu müssen. Aber der Kunde will das nicht zahlen. Und hier müssen sich Menschen einfach klar machen, dass Sicherheit Geld kostet. Das heißt, der Kunde muss für sein Online-Banking-Kit schon etwas investieren. Nur ein Beispiel von verschiedenen Möglichkeiten: Für eine Smartcard mit Klasse-3-Reader und Display, der die Transaktion selber signiert, muss man schon bis zu 100 Euro bezahlen.
CW: Das ist vielleicht nicht für jeden lohnenswert, insbesondere, wenn ich nur geringe Summen bewege.
Porada: Das stimmt schon. Aber ich kann mit der Bank auch alternativ vereinbaren, dass es ein Transaktionslimit gibt, das nicht überschritten werden darf. Dann wird im Schadensfall nur bis zu dieser Grenze Geld abgeschöpft. Aber Kunden sollten nicht von vornherein sagen, dass sie nicht bereit sind, Geld für Sicherheit zu zahlen.
Solch eine Smartcard-Lösung hätte noch den Vorteil, Sicherheit auch dann zu bieten, wenn Sie bereits Viren auf dem Rechner haben. Da gäbe es keine Chance für die Viren, den Transaktionsvorgang zu manipulieren. Wenn schon Viren auf dem System sind, würde die Transaktion nicht mehr ausgeführt. Im schlimmsten Fall würde das Online-Banking dann abgebrochen, aber zumindest wäre das Geld noch da.
CW: Welche Banken bieten solch einen Klasse-3-Reader an?
Porada: Meines Wissens und meinen Erfahrungen nach bietet - zumindest in Deutschland - noch keine Bank einen Smartcard-Reader der Klasse 3 an, der Transaktionen auch tatsächlich in einem externen Gerät signiert, das zudem über ein Display verfügt. Wichtig: Es geht nicht nur darum, eine Smartcard zu haben, um eine Verschlüsselung zu realisieren. Diese Smartcard verschlüsselt alles, was man ihr zur Transaktion vorgibt - also auch einen Trojaner. Dessen Daten sehe ich dann aber nicht mehr.
Ich brauche also unbedingt ein externes Hardwaregerät mit einem Display, auf dem ich tatsächlich die Transaktion sehe. Habe ich nur ein Zusatzgerät ohne Display, zeigt mir der PC-Monitor nur kompromittierte Inhalte an. Übrigens gilt dieses Problem natürlich auch für Handys, über die ich Online-Banking betreibe.
Es gibt ein Schweizer Unternehmen, das einen Transaktions-Signing-Token anbietet, der an den Monitor gehalten wird und der so die Transaktion signieren kann. Es gibt darüber hinaus noch diverse Sicherheitsverfahren, die alle mehr Sicherheit bieten.
CW: Sind Internet-Anwender Übelwollenden heute hilflos ausgeliefert?
Porada: Ja, das ist meiner Beobachtung nach so. Und das weitere Problem ist: Sie merken gar nicht, wenn Sie Opfer eines Angriffs geworden sind. Viele - übrigens auch Firmen - glauben, sie sind noch nicht Gegenstand von Attacken geworden, dabei haben sie es nur nicht gemerkt. Und es lässt sich auch nur schwer rückverfolgen, was da passiert ist. Denn man kann seine Spuren im Web komplett der Zuordnung entziehen. Für Unternehmen wie für Privatpersonen heißt das, man muss sich ständig um die Sicherheit kümmern.
CW: Was bedeutet das beispielsweise für einen Privatanwender? Was muss er tun?