Anzeige

Anzeige

VERANSTALTUNGEN

ACMP Competence Days Wien
15.05.19 - 15.05.19
In WAGGON-31, Wien

e-Commerce Day
17.05.19 - 17.05.19
In Köln, RheinEnergieSTADION

ACMP Competence Days Dortmund
04.06.19 - 04.06.19
In SIGNAL IDUNA PARK, 44139 Dortmund

Aachener ERP-Tage 2019
04.06.19 - 06.06.19
In Aachen

ACMP Competence Days Zürich
11.06.19 - 11.06.19
In Stadion Letzigrund, Zürich

Anzeige

Anzeige

Bank

Die IT-Sicherheit von Banken lässt häufig zu wünschen übrig, schlägt IT-Sicherheitsexperte Christian Heutger Alarm. Der Geschäftsführer der PSW GROUP begründet: „Eingesetzte Verfahren zur vermeintlich sicheren und vertraulichen E-Mail-Kommunikation suggerieren Sicherheit, die diese aber nicht leisten können.“

„So bedeutet E-Mail Verschlüsselung keinesfalls, beispielsweise nur E-Mail Anhänge passwortgeschützt zu senden, so wie es die Volksbank Reutlingen praktiziert“, mahnt Heutger. Diese versendet unter dem Schlagwort „E-Mail-Verschlüsselung“ E-Mails mit passwortgeschütztem PDF-Anhang, welcher sich nur mit einem separat per E-Mail zugesandten oder telefonisch übermittelten Passwort öffnen lässt. „In solchen Fällen wird dem Kunden ein hohes Maß an IT-Sicherheit vorgegaukelt, was aber nicht vorhanden ist. Zwar muss der Absender dem Empfänger ein Kennwort mitteilen. Allerdings nicht per E-Mail, denn da könnte man sich die Verschlüsselung gleich sparen“, zeigt sich Heutger verärgert über solch nachlässigen Umgang mit hochsensiblen Daten.

Was die Bank möglicherweise nicht bedacht hat: E-Mails können abgefangen werden. Sind sie unverschlüsselt, können sie ganz einfach mitgelesen werden – und Dritte erhalten auf diese Weise das korrekte Passwort für den eigentlich passwortgeschützten Anhang. „Bei einer echten E-Mail-Verschlüsselung muss die gesamte E-Mail mindestens auf ihrem Transportweg zwischen den Servern, besser noch zusätzlich auf den Servern selbst, verschlüsselt und damit für Dritte nicht lesbar, sein. In letzterem Fall spricht man von einer Ende-zu-Ende Verschlüsselung“, erklärt Christian Heutger.

Jedoch nutzen nicht nur VR-Bank Filialen fragwürdige Methoden, wenn es um IT-Sicherheitsverfahren und Passwörter geht: Auch die Passwort-Wahl der Sparkasse ist verbesserungswürdig. Hier ist für das Passwort beim Online-Banking ein fünfstelliger Code aus Groß- und Kleinbuchstaben sowie Zahlen und Sonderzeichen möglich. „Die Option der Nutzung von Groß- und Kleinbuchstaben und Sonderzeichen lässt vermuten, dass das Passwort sicher sei. 5-stellige Passwörter sind aber vor allem eines: Zu kurz und damit innerhalb von einer bis zwei Sekunden zu knacken“, mahnt der IT-Sicherheitsexperte.

Ein wirklich sicheres Passwort hat eine optimale Länge von mindestens 16 Zeichen, bei der Nutzung von Online-Banking wären zumindest acht Zeichen zu erwarten. Weiterhin sollte ein sicheres Passwort so komplex wie möglich sein, auf Begriffe und Namen verzichten und Buchstaben, Ziffern sowie auch Sonderzeichen verwenden. Ein solches Passwort würde aufgrund seiner Komplexität Jahrhunderte an Rechenzeit benötigen. „Mein Rat für Sparkassen-Kunden: Wählen Sie ein Passwort, dass auch bei der Begrenzung auf schwache 5 Zeichen so sicher wie möglich ist, indem mindestens alle Zeichenarten – Groß- und Kleinbuchstaben, Sonderzeichen und Ziffern – verwendet werden.“

Sichere Kommunikation mit der Bank: So funktioniert´s

Es liegt offenbar einmal mehr am Bankkunden selbst, die eigenen Daten zu schützen. Verbraucher müssen selbst aktiv werden, um sich von falschen Sicherheitsversprechen unabhängig zu machen.

Die folgenden Tipps helfen bei diesem Vorhaben:

  • Passwörter anfordern: Wer in die Situation kommt, ein passwortgeschütztes PDF seiner Bank öffnen zu müssen, sollte das Passwort idealerweise telefonisch erfragen. „Es ist völlig sinnlos, Passwörter in unverschlüsselten E-Mails zu versenden – Unbefugte können es so erlangen. Der sichere Weg ist das Telefon. Aber auch das Anfordern per SMS kann sinnvoll sein“, rät Heutger.
     
  • Sichere Passwort-Wahl: Wer die Möglichkeit hat, selbst ein Passwort auszuwählen, sollte ein komplexes Passwort mit einer hohen Zeichenanzahl und allen möglichen Zeichenarten wählen.
     
  • Aufpassen beim Online-Banking: Um Verbindungen abzusichern, sind SSL-Zertifikate eine sinnvolle Lösung. „Ob die Hausbank ihr Online-Banking verschlüsselt, ist leicht an der grünen Adressleiste und dem vorangestellten Schloss in der Adressleiste zu erkennen. Ein Klick darauf liefert nähere Informationen über die Verschlüsselung und die Bank“, erklärt der Experte.
     
  • Verschlüsselter E-Mail-Versand: „Mein Rat ist, immer selbst aktiv zu werden und eines der gängigen Verfahren für die Ende-zu-Ende-Verschlüsselung zu nutzen – also E-Mails mit PGP-Schlüssel oder – noch besser – mit S/MIME-Zertifikat zu versenden“, so Heutger.

Weitere Informationen unter: https://www.psw-group.de/blog/it-sicherheit-bei-banken-kunden-wiegen-sich-in-falscher-sicherheit/6837

www.psw-group.de
 

GRID LIST
Trojaner

Der Trojaner Emotet ist weiterhin nicht zu stoppen

Der gefährliche Trojaner „Emotet“ hält Unternehmen, Behörden und Privatpersonen auf Trab.…
Tb W190 H80 Crop Int 97c30d94fa4781aa0faf0e0519d1928e

TajMahal: Spionageplattform mit 80 schädlichen Modulen

Die Experten von Kaspersky Lab haben ein technisch ausgereiftes Cyberspionage-Framework…
Scam Alert

Scam-Welle - Sex sells?

Cyberkriminelle versuchen derzeit im großen Stil, mit Fake-Mails Geld von ahnungslosen…
Hacker WhatsApp

Trojaner nutzt Android-Schwachstelle und liest bei WhatsApp mit

Die Virenanalysten von Doctor Web haben den gefährlichen Trojaner Android.InfectionAds.1…
Tb W190 H80 Crop Int 59fff81447714b973594e81d9ea35005

Neue Malware Scranos auf dem Vormarsch

Bitdefender Lab hat Informationen über die Verbreitung der neuen Malware „Scranos“…
Zero-Day-Exploit

Kritische Schwachstelle im Windows-Betriebssystem

Kaspersky Lab hat eine zuvor unbekannte Schwachstelle – eine so genannte…