Anzeige

Bank

Die IT-Sicherheit von Banken lässt häufig zu wünschen übrig, schlägt IT-Sicherheitsexperte Christian Heutger Alarm. Der Geschäftsführer der PSW GROUP begründet: „Eingesetzte Verfahren zur vermeintlich sicheren und vertraulichen E-Mail-Kommunikation suggerieren Sicherheit, die diese aber nicht leisten können.“

„So bedeutet E-Mail Verschlüsselung keinesfalls, beispielsweise nur E-Mail Anhänge passwortgeschützt zu senden, so wie es die Volksbank Reutlingen praktiziert“, mahnt Heutger. Diese versendet unter dem Schlagwort „E-Mail-Verschlüsselung“ E-Mails mit passwortgeschütztem PDF-Anhang, welcher sich nur mit einem separat per E-Mail zugesandten oder telefonisch übermittelten Passwort öffnen lässt. „In solchen Fällen wird dem Kunden ein hohes Maß an IT-Sicherheit vorgegaukelt, was aber nicht vorhanden ist. Zwar muss der Absender dem Empfänger ein Kennwort mitteilen. Allerdings nicht per E-Mail, denn da könnte man sich die Verschlüsselung gleich sparen“, zeigt sich Heutger verärgert über solch nachlässigen Umgang mit hochsensiblen Daten.

Was die Bank möglicherweise nicht bedacht hat: E-Mails können abgefangen werden. Sind sie unverschlüsselt, können sie ganz einfach mitgelesen werden – und Dritte erhalten auf diese Weise das korrekte Passwort für den eigentlich passwortgeschützten Anhang. „Bei einer echten E-Mail-Verschlüsselung muss die gesamte E-Mail mindestens auf ihrem Transportweg zwischen den Servern, besser noch zusätzlich auf den Servern selbst, verschlüsselt und damit für Dritte nicht lesbar, sein. In letzterem Fall spricht man von einer Ende-zu-Ende Verschlüsselung“, erklärt Christian Heutger.

Jedoch nutzen nicht nur VR-Bank Filialen fragwürdige Methoden, wenn es um IT-Sicherheitsverfahren und Passwörter geht: Auch die Passwort-Wahl der Sparkasse ist verbesserungswürdig. Hier ist für das Passwort beim Online-Banking ein fünfstelliger Code aus Groß- und Kleinbuchstaben sowie Zahlen und Sonderzeichen möglich. „Die Option der Nutzung von Groß- und Kleinbuchstaben und Sonderzeichen lässt vermuten, dass das Passwort sicher sei. 5-stellige Passwörter sind aber vor allem eines: Zu kurz und damit innerhalb von einer bis zwei Sekunden zu knacken“, mahnt der IT-Sicherheitsexperte.

Ein wirklich sicheres Passwort hat eine optimale Länge von mindestens 16 Zeichen, bei der Nutzung von Online-Banking wären zumindest acht Zeichen zu erwarten. Weiterhin sollte ein sicheres Passwort so komplex wie möglich sein, auf Begriffe und Namen verzichten und Buchstaben, Ziffern sowie auch Sonderzeichen verwenden. Ein solches Passwort würde aufgrund seiner Komplexität Jahrhunderte an Rechenzeit benötigen. „Mein Rat für Sparkassen-Kunden: Wählen Sie ein Passwort, dass auch bei der Begrenzung auf schwache 5 Zeichen so sicher wie möglich ist, indem mindestens alle Zeichenarten – Groß- und Kleinbuchstaben, Sonderzeichen und Ziffern – verwendet werden.“

Sichere Kommunikation mit der Bank: So funktioniert´s

Es liegt offenbar einmal mehr am Bankkunden selbst, die eigenen Daten zu schützen. Verbraucher müssen selbst aktiv werden, um sich von falschen Sicherheitsversprechen unabhängig zu machen.

Die folgenden Tipps helfen bei diesem Vorhaben:

  • Passwörter anfordern: Wer in die Situation kommt, ein passwortgeschütztes PDF seiner Bank öffnen zu müssen, sollte das Passwort idealerweise telefonisch erfragen. „Es ist völlig sinnlos, Passwörter in unverschlüsselten E-Mails zu versenden – Unbefugte können es so erlangen. Der sichere Weg ist das Telefon. Aber auch das Anfordern per SMS kann sinnvoll sein“, rät Heutger.
     
  • Sichere Passwort-Wahl: Wer die Möglichkeit hat, selbst ein Passwort auszuwählen, sollte ein komplexes Passwort mit einer hohen Zeichenanzahl und allen möglichen Zeichenarten wählen.
     
  • Aufpassen beim Online-Banking: Um Verbindungen abzusichern, sind SSL-Zertifikate eine sinnvolle Lösung. „Ob die Hausbank ihr Online-Banking verschlüsselt, ist leicht an der grünen Adressleiste und dem vorangestellten Schloss in der Adressleiste zu erkennen. Ein Klick darauf liefert nähere Informationen über die Verschlüsselung und die Bank“, erklärt der Experte.
     
  • Verschlüsselter E-Mail-Versand: „Mein Rat ist, immer selbst aktiv zu werden und eines der gängigen Verfahren für die Ende-zu-Ende-Verschlüsselung zu nutzen – also E-Mails mit PGP-Schlüssel oder – noch besser – mit S/MIME-Zertifikat zu versenden“, so Heutger.

Weitere Informationen unter: https://www.psw-group.de/blog/it-sicherheit-bei-banken-kunden-wiegen-sich-in-falscher-sicherheit/6837

www.psw-group.de
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Schlüsselloch

Windows XP Quellcode wurde angeblich geleaked

Einigen Medienberichten zufolge zirkuliert derzeit der Quellcode von Microsofts Windows XP frei zugänglich im Internet. Den Quellen zufolge erschien das knapp 43 Gigabyte große Datenpaket zunächst auf 4chan und wird derzeit über Torrents im Internet…
Ransomware

Maze-Ransomware jetzt noch gefährlicher

Seit fast eineinhalb Jahren treibt die Ransomware Maze ihr Unwesen. Bereits im Mai warnte das Sicherheitsunternehmens Sophos in einem Bericht vor den Machenschaften der Cyberkriminellen. Diese begnügen sich nicht damit, die Daten ihrer Opfer zu verschlüsseln,…
RDP

Hacker: Täglich millionenfache RDP-Angriffe auf Home-Offices

Die Sicherheitsexperten von ESET schlagen Alarm: Seit dem Corona-bedingten Umzug in das Home-Office hat sich die Anzahl der täglichen Hacker-Angriffe auf Remote-Desktop-Verbindungen (RDP) im DACH-Raum mehr als verzehnfacht. Allein im Juni 2020 verzeichnete…
Cybercrime

eCrime nimmt an Volumen und Reichweite weiter zu

CrowdStrike, ein Anbieter von Cloud-basiertem Endpunktschutz, gab heute die Veröffentlichung des CrowdStrike Falcon OverWatchTM 2020 Threat Hunting Report bekannt.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!