Online-Banking
Grafik Blue Coat Photos, thx! (CC BY 2.0)

Online-Banking – aber sicher! Was muss man beachten?

Online-Banking: Eigentlich müsste für alle Banken die Sicherheit ihrer Kunden am wichtigsten sein. Geht das mit einer PIN mit fünf Zeichen?

Die Sicherheit beim Online-Banking ist wahrscheinlich eine der wichtigsten Maßnahmen im Internet überhaupt. Eigentlich müsste für alle Banken die Sicherheit ihrer Kunden die höchste Priorität haben. Tja, eigentlich. Wir haben einmal beim Deutschen Sparkassen- und Giroverband e.V. in Berlin nachgefragt, wie es bei maximal fünf Zeichen für die PIN um die Sicherheit ihrer Kunden steht. Ein Gastbeitrag von Marcel aka Leibi133.

Wenn schon Online-Banking, dann bitte sicher!

Wer mittels der PIN einmal Zugang zum Account hat, kann mindestens alle Umsätze einsehen, ein Profil der Person erstellen und ganz genau wissen, wann sie wie liquide ist. Kriminelle könnten darüber hinaus erfahren ob und wann es sich lohnt, eine Person zu überfallen oder sich das Geld anzueignen. Wer den Zugang zum Online-Banking knacken konnte, weiß, wo die entsprechende Person gerne einkauft, wofür sie sich interessiert und den Staat oder Ehepartner betrügt. Aus diesem Grund hat der Schutz dieser Daten höchste Priorität. Die Umsetzung der Sicherheitsmaßnahmen ist für die Banken genauso wichtig.

Wird bei Kunden in ihr Benutzerkonto eingebrochen und entsteht dadurch sogar Schaden, wirft das ein schlechtes Licht auf die Organisation – das Vertrauen ist zerstört. Darum versuchen die Banken diese Gefahr so gut wie möglich zu verbannen. Was mich bei meinen Recherchen stutzig machte: Bei meinem Geldinstitut, der Sparkasse, kann man nur ein Passwort bestehend aus maximal fünf Zeichen verwenden (Stand August 2015).

Sicher oder doch unsicher?

Laut dem Pressesprecher des Deutschen Sparkassen- und Giroverbandes e.V. in Berlin, Alexander von Schmettow, wurden diverse Sicherheitsmaßnahmen implementiert, die solch ein kurzes Passwort angeblich als „ausreichend sicher“ einstufen. Seine Antwort auf unsere Anfrage im O.-Ton:

Die Internet Filiale der Sparkassen-Finanzgruppe stellt aktuell einen Zeichenvorrat  von 62 alphanumerischen und 7 Sonderzeichen zur Verfügung. Legt man die aktuelle Passwortlänge von 5 Zeichen zugrunde, so sind mit diesem Zeichenvorrat rund 1,56 Mrd. Kombinationen an Passwörtern möglich.

Neben dem großem Zeichenvorrat werden weitere Sicherheitsmaßnahmen implementiert, beispielsweise

– wird bei dreimaliger Fehleingabe der Zugriff auf das Konto gesperrt
– werden einfach zu erratende Passwörter (wie beispielsweise 11111, 12345, abcde etc.) systemseitig nicht zugelassen
– werden Anwendern Tipps zur Erstellung eines Passwortes gegeben (Kombination aus Groß- und Kleinbuchstaben, Kombination aus Buchstaben und Ziffern etc.).

Damit ist die Wahrscheinlichkeit, einen „6-er im Lotto“ zu haben über 100-mal größer als mittels Brute-Force-Angriff (systematisches Passwort erraten) ein Passwort im Online-Banking zu erraten. Unter Risikogesichtspunkten, insbesondere aber unter wirtschaftlichen Gesichtspunkten wird daher das 5-stellige Passwort aktuell als ausreichend sicher eingestuft und von den meisten Kreditinstituten in Deutschland angewandt.“

Online-Banking. Foto: Michael Losch/KOMU News, thx! (CC BY 2.0)
Foto: Michael Losch/KOMUnews, thx! (CC BY 2.0)

Gutes Passwort wichtig!

Somit wäre eine Brute-Force- und eine Wörterbuch-Attacke ziemlich nutzlos. Die Wahrscheinlichkeit, das richtige Passwort zu treffen, wäre viel zu gering und das Konto wäre nach dem dritten Versuch sowieso gesperrt. Mir als Informatiker mit über zwölfjähriger Erfahrung zum Thema IT-Sicherheit und großen Interesse an Usable Security sträuben sich trotzdem die Haare, da das Erraten von Passwörtern nicht die einzige Angriffsmöglichkeit im Internet ist – es gibt etliche mehr. Kommen wir später darauf zurück und belichten erst einmal die E-Mail.

Die „Tipps zur Erstellung eines Passwortes“ befinden sich direkt auf der Seite zum Ändern desselben. Trotz der Hinweise ist ein rein numerisches oder alphabetisches Passwort unter Ausschluss von bestimmten Zahlen-/Buchstabenfolgen (12345, abcde, 11111) möglich. Die Passwörter „ijklm“, „bcdef“, „123ab“ und „12321“ können Cyberkriminelle erfolgreich übernehmen, „23456“, „98765“ und „56789“ nicht.

Das lässt darauf schließen, dass es sich bei dem Ausschluss gewisser Folgen nur um eine geringe Anzahl vordefinierter Phrasen und einen kleinen Code für Zahlen handelt, nicht jedoch um einen Algorithmus zum Errechnen dieser „offensichtlichen alphabetischen Passwörter“ („bcdef“, „cdefg“). Einen Brute-Force-Angriff rechtfertigt diese Tatsache nicht, jedoch hilft jede kleine Information beim Shoulder Surfing oder anderen Methoden: „Es sah aus, als würde er die Zahlen 1 bis 5 eintippen, aber das kann nicht sein. Demnach ist vielleicht eine Zahl anders.“.

Sechser im Lotto wahrscheinlicher als ein Brute-Force-Angriff?

Die „wirtschaftlichen Gesichtspunkte“ seien dabei laut einem Mitarbeiter der Sicherheitsabteilung des Sparkassenverlages vor allem die Usability (Bedienbarkeit) für die Anwender, die scheinbar zu großen Teilen aus Senioren bestehen. Nachvollziehbar ist es, jedoch sind Brute-Force- und Wörterbuch-Attacken nicht die einzigen Angriffsszenarien für das Erlangen eines Passwortes. Weitere Möglichkeiten sind:

  • Shoulder Surfing
  • Phishing
  • Sniffing (SSL interception & decryption)
  • Tastatur-Monitoring (physikalische Keylogger)
  • Social Engineering („Ich wette mit dir, dein Passwort besteht nur aus Zahlen! Ist bestimmt voll einfach zu erraten, hab ich Recht?“)

Wäre das Passwort länger, würde „Shoulder Surfing“ unwahrscheinlicher werden. Alle anderen Vektoren hielten stand.

Shoulder Surfing schwierig bei langen Passwörtern

Um diesen Angriffen wirklich entgegenzuwirken, bedarf es mehr als nur jener Sicherheitsmaßnahmen, die getroffen wurden. Eine Zwei-Faktor-Authentifizierung wäre das Mindeste. Für die Änderung der Online-PIN, der Anschrift oder eine Überweisung wird bei der Sparkasse bereits das pushTAN-, smsTAN- oder chipTAN-Verfahren verwendet. Gälte dies für das Login und die damit bereits benutzbaren Funktionen, gäbe es nicht nur zwei Geräte, die begutachtet werden müssten, sondern gleich drei. Einem Angreifer kann es sicher nicht unmöglich gemacht werden, aber man könnte die Kunden der Banken so weit absichern, dass es Kriminellen weitaus schwerer gelingen würde an die Daten zu kommen. Der aktuelle Standard mag für viele Anwender ausreichen. Ich bin mir jedoch sicher, dass es sich bei einigen dieser Personen lohnen würde einen Kontoauszug anzuschauen, entweder aus wirtschaftlichen oder persönlichen Gründen.

Darüber hinaus steht fest, dass die Kunden dieses sowie anderer Geldinstitute kein Problem damit hätten, wenn sie nicht nur ein einziges Passwort eingeben müssten. Geldangelegenheiten sind jedem wichtig und jeder ist sich dessen bewusst, dass das Geschäft abgesichert sein sollte.

Wenn es aus technischen Gründen nicht möglich wäre, dann müsste man Online-Banking von Grund auf neu entwickeln. Die Möglichkeit einer Zwei-Faktor-Authentifizierung ist definitiv technisch umsetzbar, selbst Social Media-Netzwerke bieten die Technologie seit ein paar Jahren an. Warum nicht auch die Bank, der Ort, an dem unser Geld liegt und somit gezwungenermaßen ein Ort unseres Vertrauens ist? Sicherheit und Bedienbarkeit sind freilich zwei Themen, die sehr schwer vereinbar sind. Im Falle Online-Banking sollte man jedoch besser von der Bequemlichkeit absehen und mich als Kunde umständlicher einloggen als bisher. Psychologisch gesehen würden sich die Anwender zudem sicherer fühlen.

Foto: William Iven, thx!
Foto: William Iven, CC0, thx!

Online-Banking: Kunden müssen zu mehr Sicherheit erzogen werden

IT Security Awareness ist auch ein wichtiger Punkt, der bereits ansatzweise umgesetzt wird. Auf dem Usable Security Day am Fraunhofer-Institut für Sichere Informationstechnologie in Darmstadt war dort von einer Expertin zu hören, dass das reine Hinweisen auf sicherheitsrelevante Informationen in den seltensten Fällen zum Erfolg verhilft. Vielmehr müsse man die Anwender dazu erziehen und Schritt für Schritt mit etlichen Wiederholungen lernen, worauf sie achten müssen. Die aktuelle Situation sieht hingegen nicht einmal vor, das Wissen des Nutzers über vermeintliche Sicherheit beim Online-Banking zu prüfen. Wer hat da gepatzt?

Am Ende der Recherche bleiben einige Fragen unbeantwortet:

Wäre eine Zwei-Faktor-Authentifizierung wirklich nicht umsetzbar, oder fehlt dafür einfach die Notwendigkeit einer Absicherung durch einen Präzedenzfall?

Sollte einem Senioren, der gerade mal Solitär spielen kann, wirklich die Möglichkeit des Online-Bankings gegeben werden?

Sind den Geldinstituten, die nicht die Möglichkeit eines langen Passworts bieten, bereits Schäden dadurch entstanden, die uns unbekannt sind man darüber lieber nicht spricht? Wenn es schon zu Schäden kam, in welcher Höhe?

Ein Gastbeitrag von Marcel, bei Twitter bekannt als Leibi133, danke!

Tarnkappe.info