Sicherer Zahlungsverkehr für KMU

Der elektronische Zahlungsverkehr, sprich Online-Banking, ist wohl aus keinem Unternehmen mehr wegzudenken. Zu bequem und komfortabel ist der zeitunabhängige und direkte Zugriff auf die unternehmenseigenen Finanzen.

Aufgrund seiner direkten Bereicherungsmöglichkeit stellt das Online-Banking aber auch für Angreifer ein begehrtes Ziel dar. Von Phishing-Angriffen über Social-Engineering-Attacken bis hin zu spezifisch programmierter Online-Banking-Schadsoftware sind die Angriffsvektoren vielfältig.

Die Finanzinstitute selbst schützen die Daten und Finanzen der Kunden umfassend mit modernen und neuen Sicherheitssystemen.

Sichere Datenaufbewahrung

Schweizer Finanzinstitute verfügen im internationalen Vergleich über einen sehr hohen Sicherheitsstandard. Geschützte Rechenzentren und Sicherheitssysteme gewährleisten, dass die Daten und Finanzen der Kunden sicher aufbewahrt werden. Externe Kontrollstellen und ISO-Normen garantieren dabei die Standardisierung.

Geschützter Datenzugriff

Die Finanzinstitute gewährleisten bereits bei der Anmeldung (dem Log-in) der Kunden in das E-Banking grösstmögliche Sicherheit. In der Regel findet ein mehrstufiges System Anwendung. Angreifer müssen jede einzelne Sicherheitshürde erfolgreich überwinden können, um an die Daten und Finanzen des Kunden zu gelangen. Im Detail weichen die Anmeldeverfahren voneinander ab, was sicherheitstechnisch einen Vorteil darstellt: Angriffsversuche sind nicht eins zu eins vom einen auf das andere E-Banking-System übertragbar.

Finanzinstitute bieten den Kunden in der Regel die Wahl zwischen verschiedenen Anmeldeverfahren, dies oft aufgrund der Historie oder verschiedener Kundenanforderungen.

Sichere Datenübermittlung

Die Daten zwischen dem E-Banking-Server und dem Gerät des Kunden werden in beide Richtungen mindestens mit einem 128-Bit-Schlüssel verschlüsselt. Diese moderne und weit verbreitete Technologie garantiert einen hohen Sicherheitsstandard, welcher die erfassten und übermittelten Daten vor Manipulation schützt.

Transaktionsüberwachung

Sofern ein Finanzinstitut über eine Transaktionsüberwachung verfügt, durchlaufen vom Kunden übermittelte Zahlungen ein spezielles Regelwerk von Prüfroutinen, bevor sie ausgeführt werden. Unübliche Überweisungen, zum Beispiel Auslandszahlungen, werden dabei vor der Ausführung speziell unter die Lupe genommen.

Des Weiteren ist es von grosser Wichtigkeit, dass auch die Bankkunden sowohl ihre Computer wie auch ihre Infrastruktur angemessen schützen sowie grundlegende Verhaltensregeln beachten.

Um Online-Banking sicher zu betreiben, sind nebst einer sicheren Infrastruktur beim Einloggen, während des Online-Bankings und auch beim Ausloggen folgende wichtigen Punkte zu beachten:

Beim Einloggen:

• Sichere Navigation zum Finanzinstitut: Die Adresse zum Online-Banking des Finanzinstituts sollte immer manuell in der Adresszeile des Browsers eingegeben werden. Niemals sollte ein Link verwendet werden, schon gar nicht, wenn er z.B. per E-Mail zugestellt wurde! Ausserdem sollte Online-Banking nur von einem bekannten und sicheren Computer aus benutzt werden (d.h. nicht in Internet-Cafés, an öffentlichen Hotelcomputern usw.).
• Überprüfen der sicheren Verbindung: Es muss darauf geachtet werden, dass ausschliesslich über eine «sichere» TLS-Verbindung auf das Online-Banking zugegriffen wird und dass das Zertifikat echt und gültig ist. (vgl. Abschnitt «Zertifikatsprüfung»).
• Achtung bei Systemunterbruch oder ungewöhnlichen Fehlermeldungen: Kommt es bei der Anmeldung zum E-Banking zu einem Systemunterbruch (z.B. plötzlich auftretender weisser Bildschirm) oder treten ungewöhnliche Fehlermeldungen auf (z.B. «Das System ist derzeit überlastet. Bitte haben Sie etwas Geduld und probieren Sie es später noch einmal»), sollte die Verbindung sofort beendet und das Finanzinstitut benachrichtigt werden.

Während des Online-Bankings:

Konzentriert bei der Sache bleiben: Während der aktiven E-Banking-Sitzung sollte auf ungewöhnliche Vorkommnisse wie selbsttätige Eingaben, unerklärlich geänderte Transaktionen, unaufgefordert aufscheinende Bestätigungsmeldungen oder Ähnliches geachtet werden. Ausserdem sollten offene E-Banking-Sitzungen nie unbeaufsichtigt gelassen werden, um nichtlegitimierten Dritten keine Gelegenheit für einen Missbrauch zu bieten.

Beim Ausloggen: 

• Korrektes Beenden der Online-Banking-Sitzung: Die Online-Banking-Sitzung sollte immer korrekt über die dafür vorgesehene Funktion (meist mit «Abmelden», «Log-out» oder «Beenden» gekennzeichnet) beendet werden.
• Löschen des Browser-Caches: Nach jeder Abmeldung der Online-Banking-Sitzung sollte der Browser-Cache gelöscht werden. Unter https://www.ebas.ch sind weitere praxisnahe und aktuelle Informationen zu notwendigen Massnahmen und Verhaltensregeln für eine sichere Anwendung von Online-Banking-Applikationen zu finden.

Zertifikatsprüfung

Jeder Browser verifiziert beim Aufbau einer verschlüsselten Verbindung (TLS) die Zertifikatseigenschaften «Vertrauenswürdigkeit des Ausstellers des Zertifikats», «Gültigkeit des Zertifikats» und «Adresse des Webservers». Wenn diese drei Überprüfungen erfolgreich durchgeführt werden konnten, zeigt der Browser beim Aufbau der TLS-Verbindung keine Fehlermeldungen an.

Eine korrekt aufgebaute TLS-Verbindung zur richtigen Webseite, die auf einem echten und gültigen Zertifikat basiert, lässt sich anhand der folgenden drei eindeutigen Browser-Merkmale erkennen:

1. Schloss-Symbol in der Adresszeile: Die Verbindung wurde mit gültigem SSL-Zertifikat verschlüsselt.
2. Richtiger Name des Finanzinstituts (wird entweder neben dem Schloss oder nach einem Klick auf das Schloss unter «Ausgestellt für:» angezeigt): Die Identität des Zertifikatsbesitzers (Bank) wurde bestätigt.
3. Korrekter Domänen-Name in der Adresse: Sie befinden sich wirklich auf der Seite des Finanzinstituts.

Die Echtheit des der Verbindung zugrunde liegenden Zertifikates kann auch manuell überprüft werden. Dazu wird der Fingerabdruck des Zertifikats verifiziert. Der Fingerabdruck ist eine Zeichenfolge, bestehend aus den Buchstaben A bis F (wobei nicht zwischen Gross- und Kleinbuchstaben unterschieden wird) und den Ziffern 0 bis 9. Die Verifikation des Fingerabdrucks erfolgt durch einen Vergleich dieser Zeichenfolge mit einer Referenzfolge, die der Benutzer vom Finanzinstitut erhalten hat. Stimmt die aus dem Zertifikat herausgelesene Zeichenfolge mit der vom Finanzinstitut erhaltenen Zeichenfolge überein, ist das Zertifikat echt.

Anmeldeverfahren / Authentisierungsmittel

Für die Anmeldung am Online-Banking kommen verschiedene Anmeldeverfahren und Technologien zum Einsatz. Standard ist die Zwei-Faktor-Authentifizierung, bei der zusätzlich zur Vertragsnummer und zum Passwort (erster Faktor «Wissen») meist auf einem zweiten Gerät (Token) oder einer Smartcard (zweiter Faktor «Haben») ein einmaliger Zugangsschlüssel bereitgestellt wird.

Transaktionsbestätigung / Transaktionssignierung 

Für den Schutz vor unbeabsichtigten Zahlungen wird oftmals die sogenannte Transaktionsbestätigung (auch Zahlungsbestätigung oder Transaktionssignierung genannt) eingesetzt. Dabei müssen gewisse ausgehende Zahlungen vor der Überweisung durch den Benutzer zusätzlich überprüft und explizit zur Ausführung freigegeben werden. Die Prüfung kann Elemente wie Währung, Betrag sowie Teile der Kontonummer des Zahlungsempfängers umfassen.

Offline-Zahlungssoftware

Mit einer Offline-Zahlungssoftware können Zahlungen ohne Internetverbindung erfasst und dann gesammelt im standardisierten ISO-20022-Format an das Finanzinstitut übermittelt werden. Des Weiteren bieten diese Programme oft auch Schnittstellen zu verschiedenen Buchhaltungsprogrammen und Finanzinstituten, was die Arbeit in dieser Hinsicht erheblich erleichtert und weniger fehleranfällig macht.

Umsetzung und Kontrolle

Die Infrastruktur, welche für das Online-Banking benutzt wird, muss angemessen geschützt sein. (vgl. Kapitel 5.5 «Einsatz von Arbeitsplatz-Clients», Informationssicherheitshandbuch, ISBN: 978-3-033-07646-4)

Der Benutzerkreis für das Online-Banking muss so weit wie möglich eingeschränkt und die Verantwortlichkeiten müssen klar geregelt sowie dokumentiert werden. Zudem müssen die Online-Banking-Benutzer für den sicheren Umgang geschult werden. Ein besonderes Augenmerk sollte dabei auf den Anmeldeprozess und die Handhabung des damit verbundenen Authentisierungsmittels gelegt werden. Nach Möglichkeit sollte für jeden Benutzer ein eigener Online-Banking-Zugang eingerichtet werden – Gruppen-Accounts oder gemeinsam genutzte Zugänge sind zu vermeiden.

Die Einführung und Verwendung einer Offline-Zahlungssoftware ist zu prüfen.

Die Kontrolle sieht wie folgt aus:

• Wird für das Online-Banking angemessen geschützte Infrastruktur verwendet?
• Ist der Online-Banking-Benutzerkreis so weit wie möglich eingeschränkt und sind die Verantwortlichkeiten klar geregelt und dokumentiert?
• Wird das den Anforderungen entsprechend sicherste Anmeldeverfahren (Authentisierungsmittel) eingesetzt?
• Sind die Online-Banking-Benutzer geschult, und werden die Verhaltensregeln für das Ein- und Ausloggen beim Online-Banking konsequent angewendet?
• Werden die allenfalls benötigten Authentisierungsmittel (Token, Smartcard usw.) sicher angewendet und aufbewahrt?
• Falls vom Finanzinstitut angeboten: Ist die Transaktionsbestätigung aktiviert?
• Wurde die Einführung/Verwendung einer Offline-Zahlungssoftware geprüft?

Infos im www

• Hochschule Luzern, Plattform «eBanking – aber sicher!»: https://www.ebas.ch
• Eidgenössische Finanzmarktaufsicht: https://www.finma.ch
• Payment-Standards.ch: https://www.paymentstandards.ch
• ISO 20022: https://www.iso20022.org

Unternehmen sind gut beraten, sich angemessen zu schützen. Eine Anleitung dazu bietet das Informationssicherheitshandbuch für die Praxis (Online-Bestellung: www.sihb.ch). Die komplett überarbeitete und aktualisierte Auflage ist kürzlich erschienen. Der obige Artikel stammt aus dem Kapitel «Sicherer Zahlungsverkehr (Online-Banking)».

Autor

Oliver Hirschi, Dozent und Leiter «eBanking – aber sicher!», Hochschule Luzern. Er hat diese HSLU-Dienstleistung mit aufgebaut und leitet die Plattform seit über zehn Jahren. Ausserdem ist er nebenberuflich Inhaber und Geschäftsführer der SecAware GmbH. Er ist ferner Mitautor der 9. Auflage des «Informationssicherheitshandbuch für die Praxis»