Fort-Knoxline: sicheres Online-Banking für lau

Wer fürchtet sich vor dem Algorithmus. Ich jedenfalls - deswegen gibt's die Gedanken zum sichereren Online-Banking...

WLAN, SMS-TAN, Handy, Laptop, Live-USB...

Meinen letzten Bank-Filialbesuch hielt ich vor gefühlten zehn Jahren ab. Sämtlicher Rechts- und Kontoverkehr mit meiner Bank / meinen Banken findet seit über einem Jahrzehnt online bzw im schlimmsten Fall per Post statt. Online-Banking bei der Hausbank, Online-Depot beim Broker – alles ohne face-to-face Nuancen. Die Legitimation erfolgt über Login-Daten und SMS-TAN. Dies ist angenehm, bequem, schnell, nützlich aber bietet auch Angriffspunkte für computeraffine Bytewichte. Deswegen die Frage vor ein paar Wochen an mich selbst – wie sicher bin ich oder offeriere ich mich als Online-Opfer?


Grundsätzliche Angriffspunkte:

Nehmen wir an, dass wir die social engineering Probleme wie bspw Phishing aufgrund weit genug geschrittener Aufgeklärtheit nicht als Sicherheitslücke wahrnehmen. Wie biete ich einem (gewieften) Onlinedieb Angriffspunkte:

- WLAN abgehört
- Handy gehackt
- Laptop gehackt (Trojaner, Keylogger)


1. WLAN abgehört:

Selbst ausprobiert. In einem öffentlichen WLAN (oder mittels App im Nu ins eigene, wenig weil bisher standardgesicherte zu Hause hineingehackt) ist es (mit einem weiteren App) problemlos möglich, sämtlichen Datenverkehr abzufangen und auszulesen. Beispielsweise ist das Auslesen von http-Seiten und darauf eingegeben Login-Daten ohne weiteres Zutun möglich (die Eingabe des Usernames und Passwortes wird unverschlüsselt abgefangen und ausgelesen – jeder im gleichen Netzwerk kann mitlesen). https-Seiten (das s steht sicher für so etwas wie Schlüssel, oder safety, oder sicher, secure) machens einem da schon schwerer. Dennoch bietet ein Funkverkehr, ein WLAN, einen Angriffspunkt und Angreifer kann jeder im gleichen Netz sein! Für mich faszinierend, dass ein Laie wie ich nach kurzem Googeln aus dem Playstore Apps runterladen kann, mit denen ich ohne jegliche Fachkenntnisse in mein eigenes WLAN eindringen und sämtlichen Datenverkehr auslesen konnte. Öffnete mir die Augen und veranlasste mich, mich etwas einzulesen und folgende Schritte zu setzen:

- Kein öffentliches WLAN für sensible Daten nutzen
- WLAN Passwort und SSID nachbessern (WPA2)
- Eigenes Gäste WLAN einrichten
- WLAN SSID abschalten (eigenes WLAN-unsichtbar machen)
- Nur gelistete MAC-Adressen zulassen
- Auf https-Verbindung bei sensiblen Daten achten
- WLAN-Reichweite aufs Nötigste begrenzen

 
2. Handy gehackt: 

Die meisten Online-Banking System verwenden dzt ein Zwei-Phasen-Autorisierungssystem via mTAN (die TAN Codes werden nach Aufforderung bspw per SMS zugestellt). Grundsätzlich ein sicheres System, da es erfordert, einerseits die Login-Daten des Bankaccounts abzugreifen und zeitnah die SMS-TAN am Handy auszulesen. Man müsste demnach beide Systeme infiltrieren. Es sei denn – man geht via App am Handy onlinebanken – also greift vom selben Handy aus einerseits aufs Onlinekonto zu und erhält auf diesem Handy ebenfalls die SMS-TAN. Quasi ein Selbststeller, wenn man das Zwei-Phasen-System aushebelt und es plötzlich für einen Angreifer ausreicht, sich Zugriff nur auf ein Gerät verschaffen zu müssen. Deswegen:

- Gerätetrennung für Online-Banking-Account und SMS-TAN
- Handyvirensoftware (AVG - gibt's gratis – angeblich brauchbar)


3. Laptop gehackt (Keylogger und Trojaner):

Haben wir die Geräte fürs Online-Banking und TAN-Empfang getrennt, müsste ein Bösewicht also beide Geräte einsehen können. Am Laptop bieten sich dafür Trojaner und Keylogger an. Trojaner könnten bspw vorgaukeln, dass man sich auf der Bank-Seite befindet und bereitwillig den Login eingibt, obwohl jemand anderer mitliest. Keylogger zeichnen die Tastenanschläge auf bzw fertigen Screenshots an (Stichwort: virtuelle Tastatur) und übermitteln die Daten an den Eindringling weiter. In beiden Fällen hat plötzlich jemand anders Zugang zu unserem Online-Bank-Account. Grundsätzlich kein Weltuntergangs-Malheur, wenn jemand auf unseren Account zugreifen kann – er müsste ja auch die SMS-TANS abfangen und auslesen können um tatsächlich einen Geldtransfer zu starten – dennoch brauchen wir sowas nicht. Was hilft:

- Anti-Keylogger Software für Laptop (SpyShelter Free Anti-Keylogger)
- Virensoftware für Laptop (AVG, Avast)
- SMS-TAN genau lesen (passt die Überweisung?)
- Den heiligen Grahl benutzen!


Der heilige Grahl – Fort Knoxline: Live-USB

Zusammengefasst sind die Angriffspunkte WLAN, Handy und Laptop. Das WLAN kann man zur Festung ausbauen, das Handy ist quasi nur ein TAN-Empfänger und nicht Primärziel, doch den Laptop zu infizieren sollte am leichtesten gelingen und für einen Hacker/Cracker der an unser Geld will Primärziel sein, bevor man sich dem Handy widmet. Folglich wären Bösewicht-Software und Online-Banking-Nutzung auf derselben Festplatte am Laptop vereint und im schlimmsten Fall unbemerkt von uns. Die gedankliche Lösung: umgehe die Festplatte – schaffe ein „reines“ Online-Banking-System – boote die Schadsoftware erst gar nicht!

Eine Live-CD bzw Live-USB (man bootet das Betriebssystem direkt von der CD bzw vom USB-Stick) welchen man ausschließlich fürs Online-Banking verwendet, schafft so ein unbeflecktes System. Ich habe mir dazu von c’t Bankix zurechtgelegt. Ein gratis Ubuntu-Linux Betriebssystem das auf einen 1 GB USB-Stick passt und zeitschnell bootet. Der Zugriff auf die Festplatte des Laptops ist blockiert und der USB-Stick schreibgeschützt. Schadsoftware zu installieren bzw Login-Daten auszulesen wird damit echt schwer und Online-Banking sicherer.

Was man braucht:

- einen USB-Stick mit physischem(!) Schreibschutzschalter: meinen bei Amazon bestellen
Bankix runterladen
- Unetbootin runterladen
- Online-Banking nur noch vom Live-USB-Stick aus betreiben

So habe ich mir mein Fort-Knoxline geschaffen und mein Bedürfnis nach Sicherheit gestillt. Die propagierte 100%ige Sicherheit ist natürlich eine Illusion. Auch Fort-Knox dürfte mit genug Feuer- und Panzerkraft stürmbar sein. Aber wieso als Einbrecher die Eisentür aufbrechen, wenn der Nachbar den Schlüssel stecken lässt. In diesem Sinne (dont be the most stupid user), kann man sich mit wenigen Tipps aus der Opferrolle befreien und als Angriffsziel uninteressant machen.

Liebe Grüße
Euer Geldexperiment