Anzeige

Bank

Die IT-Sicherheit von Banken lässt häufig zu wünschen übrig, schlägt IT-Sicherheitsexperte Christian Heutger Alarm. Der Geschäftsführer der PSW GROUP begründet: „Eingesetzte Verfahren zur vermeintlich sicheren und vertraulichen E-Mail-Kommunikation suggerieren Sicherheit, die diese aber nicht leisten können.“

„So bedeutet E-Mail Verschlüsselung keinesfalls, beispielsweise nur E-Mail Anhänge passwortgeschützt zu senden, so wie es die Volksbank Reutlingen praktiziert“, mahnt Heutger. Diese versendet unter dem Schlagwort „E-Mail-Verschlüsselung“ E-Mails mit passwortgeschütztem PDF-Anhang, welcher sich nur mit einem separat per E-Mail zugesandten oder telefonisch übermittelten Passwort öffnen lässt. „In solchen Fällen wird dem Kunden ein hohes Maß an IT-Sicherheit vorgegaukelt, was aber nicht vorhanden ist. Zwar muss der Absender dem Empfänger ein Kennwort mitteilen. Allerdings nicht per E-Mail, denn da könnte man sich die Verschlüsselung gleich sparen“, zeigt sich Heutger verärgert über solch nachlässigen Umgang mit hochsensiblen Daten.

Was die Bank möglicherweise nicht bedacht hat: E-Mails können abgefangen werden. Sind sie unverschlüsselt, können sie ganz einfach mitgelesen werden – und Dritte erhalten auf diese Weise das korrekte Passwort für den eigentlich passwortgeschützten Anhang. „Bei einer echten E-Mail-Verschlüsselung muss die gesamte E-Mail mindestens auf ihrem Transportweg zwischen den Servern, besser noch zusätzlich auf den Servern selbst, verschlüsselt und damit für Dritte nicht lesbar, sein. In letzterem Fall spricht man von einer Ende-zu-Ende Verschlüsselung“, erklärt Christian Heutger.

Jedoch nutzen nicht nur VR-Bank Filialen fragwürdige Methoden, wenn es um IT-Sicherheitsverfahren und Passwörter geht: Auch die Passwort-Wahl der Sparkasse ist verbesserungswürdig. Hier ist für das Passwort beim Online-Banking ein fünfstelliger Code aus Groß- und Kleinbuchstaben sowie Zahlen und Sonderzeichen möglich. „Die Option der Nutzung von Groß- und Kleinbuchstaben und Sonderzeichen lässt vermuten, dass das Passwort sicher sei. 5-stellige Passwörter sind aber vor allem eines: Zu kurz und damit innerhalb von einer bis zwei Sekunden zu knacken“, mahnt der IT-Sicherheitsexperte.

Ein wirklich sicheres Passwort hat eine optimale Länge von mindestens 16 Zeichen, bei der Nutzung von Online-Banking wären zumindest acht Zeichen zu erwarten. Weiterhin sollte ein sicheres Passwort so komplex wie möglich sein, auf Begriffe und Namen verzichten und Buchstaben, Ziffern sowie auch Sonderzeichen verwenden. Ein solches Passwort würde aufgrund seiner Komplexität Jahrhunderte an Rechenzeit benötigen. „Mein Rat für Sparkassen-Kunden: Wählen Sie ein Passwort, dass auch bei der Begrenzung auf schwache 5 Zeichen so sicher wie möglich ist, indem mindestens alle Zeichenarten – Groß- und Kleinbuchstaben, Sonderzeichen und Ziffern – verwendet werden.“

Sichere Kommunikation mit der Bank: So funktioniert´s

Es liegt offenbar einmal mehr am Bankkunden selbst, die eigenen Daten zu schützen. Verbraucher müssen selbst aktiv werden, um sich von falschen Sicherheitsversprechen unabhängig zu machen.

Die folgenden Tipps helfen bei diesem Vorhaben:

  • Passwörter anfordern: Wer in die Situation kommt, ein passwortgeschütztes PDF seiner Bank öffnen zu müssen, sollte das Passwort idealerweise telefonisch erfragen. „Es ist völlig sinnlos, Passwörter in unverschlüsselten E-Mails zu versenden – Unbefugte können es so erlangen. Der sichere Weg ist das Telefon. Aber auch das Anfordern per SMS kann sinnvoll sein“, rät Heutger.
     
  • Sichere Passwort-Wahl: Wer die Möglichkeit hat, selbst ein Passwort auszuwählen, sollte ein komplexes Passwort mit einer hohen Zeichenanzahl und allen möglichen Zeichenarten wählen.
     
  • Aufpassen beim Online-Banking: Um Verbindungen abzusichern, sind SSL-Zertifikate eine sinnvolle Lösung. „Ob die Hausbank ihr Online-Banking verschlüsselt, ist leicht an der grünen Adressleiste und dem vorangestellten Schloss in der Adressleiste zu erkennen. Ein Klick darauf liefert nähere Informationen über die Verschlüsselung und die Bank“, erklärt der Experte.
     
  • Verschlüsselter E-Mail-Versand: „Mein Rat ist, immer selbst aktiv zu werden und eines der gängigen Verfahren für die Ende-zu-Ende-Verschlüsselung zu nutzen – also E-Mails mit PGP-Schlüssel oder – noch besser – mit S/MIME-Zertifikat zu versenden“, so Heutger.

Weitere Informationen unter: https://www.psw-group.de/blog/it-sicherheit-bei-banken-kunden-wiegen-sich-in-falscher-sicherheit/6837

www.psw-group.de
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Trojaner

Trojaner Metamorfo greift Banken mit DLL-Hijacking an

Bitdefender hat eine Familie von Trojanern analysiert, die Banken mit einer neuen Angriffstechnik ins Visier nimmt und unerkannt Daten exfiltriert. Diese Daten können anschließend für Bankbetrug genutzt werden. Die Malware-Kampagne nutzt DLL-Hijacking um…
Cyber Crime

Cyberkriminalität stieg 2019 um 50%

Die Zahl der Fälle von Cyberkriminalität stieg in 2019 weiter stetig an. 75% aller Unternehmen in Deutschland waren Ziel von Angriffen. Besonders stark betroffen ist der Mittelstand.
Hacker Russland

Russische Hacker nutzen Exim-Schwachstelle aus

Am Donnerstag, den 28. Mai 2020, veröffentlichte die NSA eine Sicherheitswarnung über Cyberattacken gegen E-Mail-Server, die von einer russischen Cyber-Spionagegruppe durchgeführt wurde. Ein Kommentar von Satnam Narang, Staff Research Engineer, Tenable.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!