Blog

Mangelndes Vertrauen in die Sicherheit von Onlinebanking ist der wichtigste Grund, diesen Service nicht zu verwenden. Drei von fünf Bankkunden, die nicht über die Datenleitung mit ihrem Kreditinstitut kommunizieren, nennen das hohe Datenrisiko als Grund für die Ablehnung.

Aber auch für die Kunden, die Onlinebanking nutzen, sind Sicherheitsverbesserungen ein wichtiges Thema: Zwei Drittel von ihnen würden beispielsweise Kartenlesegeräte zur eindeutigen Identifikation einsetzen, wenn ihre Bank diese kostenfrei zur Verfügung stellte. Bisher vernachlässigen deutsche Kreditinstitute diese Marketingoption. Dies ergab die Trendstudie Bankpräferenzen des Beratungs- und Softwarehauses PPI AG in Kooperation mit handelsblatt.com, wiwo.de und dem IMWF Institut für Management- und Wirtschaftsforschung.

Kartenleser, die die Sicherheit im Vergleich zum PIN/TAN-Verfahren deutlich erhöhen, gibt es bereits seit längerem. Allerdings nutzt erst jeder dreizehnte Kunde dieses Authentisierungsverfahren. Der Grund: Bisher müssen die Kosten für die Geräte privat getragen werden. Dies lehnen vier von fünf Privatkunden ab. Sie erwarten, dass ihre Bank ihnen die Sicherheitsverbesserungen kostenlos zu Verfügung stellt. Kreditinstitute, die ein solches Angebot machen, haben gute Aussichten, Kunden zum Wechsel zu bewegen.

Neben den Anschaffungskosten standen bislang aber auch vielschichtige Kundenwünsche einem Marktdurchbruch der Kartenleser im Wege: Die Banken sollen höchstmögliche Sicherheit gewährleisten; zugleich möchten aber vier von fünf Onlinebanking-Nutzern problemlos von jedem Computer aus auf ihr Konto zugreifen können. Deshalb akzeptiert nur ein kleiner Teil der Kunden fest installierte Sicherheitshilfen auf Software- oder Hardwarebasis. Hier können Kartenleser Abhilfe schaffen, die portabel sind und ohne vorherige Installation an einen USB-Port angeschlossen werden können.

Bei der Wahl ihrer Bank sollten Kunden darauf achten, dass diese ein moderneres Sicherheitsverfahren als die überholte Autorisierung mit PIN und TANs anbietet. Als Alternative zu den Kartenlesegeräten nennt der Verband der deutschen Internetwirtschaft BITKOM auch das iTAN-Verfahren, in dem die Bank per Zufallsgenerator auswählt, welche TAN zur Autorisierung benutzt wird. Noch sicherer sind mTANs, die erst kurz vor der Transaktion generiert werden, nur kurze Zeit gültig bleiben und dem Kunden per SMS auf sein Handy zugestellt werden.

PPI Aktiengesellschaft

Die PPI Aktiengesellschaft ist seit über 20 Jahren an den Standorten Hamburg, Kiel und Frankfurt erfolgreich für die Finanzbranche tätig. 2006 erwirtschaftete das Unternehmen mit seinen 200 Mitarbeitern über 26 Millionen Euro Umsatz in den drei Geschäftsfeldern Consulting, Software Factory und Electronic-Banking-Produkte. Im E-Banking liegt der Schwerpunkt auf sicheren und wirtschaftlichen Standardprodukten für die Kommunikation zwischen Firmenkunden beziehungsweise Privatkunden und ihrer Bank. In der Software-Entwicklung stellt PPI durch professionelle und verlässliche Vorgehensweise eine hohe Qualität der Ergebnisse und absolute Budgettreue sicher. Das Consulting-Angebot erstreckt sich von der strategischen über die bankfachliche bis zur IT-Beratung.

Webroot-Bericht macht Zunahme und Schwere der weltweiten Malware-Bedrohungen im Internet deutlich

Mehr als 40% aller Unternehmen haben Geschäftsausfälle aufgrund von Malware zu verzeichnen; mehr als 60% verfügen über keine Securitypolicy

Webroot Software, Inc., ein führender Anbieter von Internet-Sicherheitssoftware für Verbraucher, mittelständische Betriebe und Großunternehmen, veröffentlichte heute einen Bericht, der Unternehmen nachdrücklich auf die Zunahme und wachsende technische Raffinesse von Malware hinweist. Nach Angaben des Webroot® State of Internet Security Reports hatten 43% der Befragten Störungen des Geschäftsbetriebs aufgrund von Malware zu verzeichnen. Der Bericht erläutert, welche Kosten und potenziellen rechtlichen Folgen bei unzureichendem Malware-Schutz auf Unternehmen zukommen können, und zeigt Maßnahmen, mit denen sich Verletzungen der Datensicherheit verhindern lassen.

Aufgrund des hohen Organisationsgrads, der schnellen Zunahme und Massivität der Cyberkriminalität weist das Federal Bureau of Investigation (FBI) nach eigenen Angaben den IT-Verbrechen mittlerweile die dritthöchste Prioritätsstufe zu - gleich nach der Terror- und Spionageabwehr. Und Untersuchungen von Webroot, die mithilfe des Spyware-Erkennungssystems PhileasTM durchgeführt wurden, haben ergeben, dass 1,7 Prozent (4,2 Millionen) der 250 Millionen URLs weltweit mit Malware verseucht sind. Allein 2006 wurden 3 Mio. bösartige Websites entdeckt.

“Unsere Untersuchungen belegen, dass Angriffsmethoden, die noch vor kurzem als raffiniert galten, inzwischen gang und gäbe sind. Das zeigt, wie schnell sich die heutigen Bedrohungen zu einem weltweiten Sicherheitsproblem entwickeln”, erklärte Peter Watkins, CEO von Webroot Software, Inc.

Mehr als 40% der Unternehmen erklärten, dass sie schon einmal geschäftliche Verluste erlitten haben, die durch Spyware verursacht wurden. Am beunruhigendsten ist dabei die Feststellung, dass 26% angaben, aufgrund von Spyware seien vertrauliche Informationen kompromittiert worden. Was diesen Trend  alarmierend macht, sind die Spyware-Infektionen:

- 39% der Unternehmen meldeten Trojaner-Angriffe;
- 24% meldeten Angriffe mit System-Monitoren; und
- 20% meldeten Pharming- und Keylogger-Angriffe.

Trotz dieser Zahlen zeigte der jüngste Bericht des Small Business Technology Institute, dass 20% aller Unternehmen nicht einmal über angemessenen Virenschutz verfügen, zwei Drittel keine IT-Sicherheitspolicy haben und viele Unternehmen erst reagieren, wenn sie Schäden erlitten haben.

“Dies macht deutlich, dass sich Unternehmen weltweit in einem trügerischen Gefühl von Sicherheit wiegen. Angesichts der Auswirkungen, die mangelnder Benutzerschutz auf die Gewinne und den Ruf eines Unternehmens haben könnten, sollten proaktive Sicherheitsmaßnahmen in jeder Firma höchste Priorität genießen”, so Watkins weiter. “Um die Einleitung entsprechender Maßnahmen zu erleichtern, beschreibt der State of Internet Security Report Maßnahmen, durch die sich Unternehmen besser vor Malware schützen können.”

Dieser Report ist unter www.webroot.com/soisreport verfügbar
(Registrierung erforderlich)

Forscher: “WEP-Standard aus heutiger Sicht nicht mehr haltbar”

Informatikern der TU Darmstadt http://www.tu-darmstadt.de ist es gelungen, das WLAN-Verschlüsselungsverfahren WEP (Wired Equivalent Privacy) innerhalb von 60 Sekunden zu knacken. “Damit ist bewiesen, dass das Verfahren mittlerweile sehr unsicher ist”, meint Johannes Buchmann, Professor für Kryptologie an der TU Darmstadt, im Gespräch mit pressetext. WLAN-Netze mit dieser vermeintlichen Absicherung sind nach wie vor weit verbreitet. Die Forscher gehen davon aus, dass bis zu fünfzig Prozent aller drahtlosen Netze in Deutschland davon betroffen sind. “Wir empfehlen allen WEP-Nutzern dringend auf den Nachfolgestandard WPA (Wi-Fi Protected Access) umzusteigen”, sagt Buchmann.

Die theoretische Idee hinter der Methode, mit der die Nachwuchsforscher in kürzester Zeit in der Lage waren, Zugriff zu solchen Netzen zu erlangen, basiert auf einer Analyse der RC4-Stromchiffre. Diese wurde schon vor zwei Jahren von dem Mathematiker Andreas Klein veröffentlicht. Mit Hilfe einer mathematischen Weiterentwicklung dieser Analyse gelang es den Forschern, einen Angriff gegen WEP zu implementieren, der unter realistischen Bedingungen in der Lage ist, den geheimen Schlüssel in über fünfzig Prozent der Fälle in einer Zeit von unter einer Minute zu berechnen. “Der Knackpunkt war diese Methode, bei der deutlich weniger Information als bisher benötigt wird, um den Schlüssel zu brechen”, erklärt Buchmann.

WEP gilt seit Jahren als unsicherer Standard. Bereits 2001 wurden erste Angriffe vorgestellt, die zeigten, dass WEP auch in der Praxis angegriffen werden kann. Der bis jetzt beste Angriff aus dem Jahre 2004 braucht in der Regel mindestens zehn bis 40 Minuten, um den geheimen Schlüssel zu ermitteln. Die Entdeckung der Darmstädter Forscher zeigt, dass es für Personen mit entsprechenden Kenntnissen und genügend krimineller Energie praktisch keine Hürde gibt, in WEP-Netzwerke einzubrechen. “Wer sich auf diese Weise unbefugt Zugang zu einem Laptop oder Netzwerk verschafft, kann zum Beispiel unbemerkt private Nachrichten mitlesen oder den Internetzugang des ahnungslosen Besitzers benutzen”, warnt einer der WEP-Knacker, Erik Tews.

“Der WEP-Standard ist aus unserer Sicht nach dem heutigen Tag als Verschlüsselungsmethode nicht mehr haltbar”, betont Buchmann und weist darauf hin, dass viele Hersteller bereits zusätzlich zu WEP noch WPA als Sicherungsmethode von WLAN-Netzwerken anbieten. WPA wird aber häufig aus Bequemlichkeitsgründen nicht eingesetzt, da der Konfigurationsaufwand höher ist. Er basiert auf dem Verschlüsselungsstandard AES (Advanced Encryption Standard) und ist daher deutlich sicherer als WEP, so Buchmann. Zwar ist davon auszugehen, dass auch diese Methode eines Tages geknackt wird - wann es soweit sein wird, sei allerdings schwer zu prognostizieren. “Aufgrund der Erfahrungen mit den bisherigen Verschlüsselungsmethoden gehe ich davon aus, dass WPA in den nächsten zehn Jahren sicher sein wird”, so Buchmann abschließend gegenüber pressetext.

Aussender: www.pressetext.de

Auf der Hackerkonferenz Shmoocon hat der US-Sicherheitsexperte Billy Hoffmann mit “Jikto” ein Java-Script vorgestellt, das jeden Computer für seine kriminellen Handlungen einspannen kann, ohne dass Antivirensoftware dies bemerkt.

Das von Hoffmann selbst als “äußerst gefährlich” beschriebene Programm ist mittlerweile gegen den Willen des Autors im Internet aufgetaucht und verbreitet sich unkontrolliert.

Hoffmann ist Forscher bei der Web-Security-Firma SPI Dynamics http://www.spidynamics.com. Jikto wurde von ihm ursprünglich als Sicherheitsprogramm entwickelt, das nach Schwachstellen in Webseiten suchen soll, damit sie behoben werden können. Diese Suchfunktion kann jedoch ebenfalls von Hackern für ihre Zwecke missbraucht werden. Die im Web-Browser ausführbare JavaScript-Anwendung kapert die Rechner ahnungsloser Anwender und führt einen Portscan durch. Gefundene Schwachstellen werden als Angriffsziele zurück übermittelt.

Auf der Shmoocon-Konferenz demonstrierte Hoffmann, dass die Applikation funktioniert. Dazu musste er sie online verfügbar machen. Währende eines Folienwechsels war der gesamte Link zum Programm kurzfristig lesbar. Zuhörer und Hacker Mike Schroll konnte ihn abschreiben und veröffentlichte den Quellcode daraufhin in seinem Blog. Auf Bitten von Hoffmann entfernte er diesen Eintrag nach einigen Stunden wieder. Damit lies Schroll jedoch seinen Hackerkollegen genug Zeit - der Code wurde mehrere Hundert Mal abgefragt.

Am Wochenende tauchte Jikto schließlich erneut im Web auf - diesmal in einem Hacker-Forum. Sicherheitsexperten äußern nun Befürchtungen, dass Kriminelle das erhebliche Schadpotenzial des Tools ausnutzen könnten. Jikto-Erfinder Hoffmann sieht die Veröffentlichung gelassen. “Spätestens in einigen Monaten hätten Hacker das Programm selbst entwickelt. Ich mache Schroll keinen Vorwurf - auch ich verdiene mein Geld mit Neugier”, meint Hoffmann.

Aussender: www.pressetext.at