Konto-Knacken - ein Kinderspiel?
Inhalt
K-Tipp 6/2000
22.03.2000
SKS-Präsident Peter Vollmer zum Internet-Banking: "Banken schieben das Risiko auf ihre Kunden ab".
In Deutschland ist das Sicherheits-System geknackt, in der Schweiz ist dies nicht auszuschliessen: Wer seine Bankgeschäfte über das Internet abwickelt, kann das Opfer von Computer-Hackern werden.
Das Internet-Banking ist bequem, einfach und sicher. Dies zumindest verkünden Banken und Post.
Sie haben ein Interesse daran, dass möglichst viele Kundinne...
SKS-Präsident Peter Vollmer zum Internet-Banking: "Banken schieben das Risiko auf ihre Kunden ab".
In Deutschland ist das Sicherheits-System geknackt, in der Schweiz ist dies nicht auszuschliessen: Wer seine Bankgeschäfte über das Internet abwickelt, kann das Opfer von Computer-Hackern werden.
Das Internet-Banking ist bequem, einfach und sicher. Dies zumindest verkünden Banken und Post.
Sie haben ein Interesse daran, dass möglichst viele Kundinnen und Kunden ihre Bankgeschäfte online erledigen. So sparen die Geldinstitute Kosten und Personal.
Aber ist Internet-Banking tatsächlich so gut geschützt, wie die Banken behaupten? Allem Anschein nach nicht.
Die ARD-Sendung "Plusminus" deckte Beunruhigendes auf. Mit Hilfe eines Computer-Hackers ist es gelungen, von einem fremden Konto bei der Deutschen Bank Geld zu überweisen. Der Hacker hatte bei seinem Opfer ein Trojanisches Pferd (siehe Kasten) eingeschleust. Auf diese Weise kam er ohne weiteres an sämtliche notwendigen Zugangscodes des Bank-Kunden heran. Das Auslösen einer Zahlung war für den Hacker ein Kinderspiel.
"Jeder kann im Internet die nötigen Programme finden. Man braucht kein Spezialwissen. Diese Programme sind so gemacht, dass sie problemlos auch von den jüngsten Schülern bedient werden können", erklärte der deutsche Computer- und Sicherheits-Experte Axel Dunkel in "Plusminus".
Sind auch die Kunden der Schweizer Banken leichte Beute für Computer-Hacker? Um das herauszufinden, konfrontierte der K-Tip die drei grössten Schweizer Banken UBS, CS, ZKB sowie die Post mit den Aussagen aus der "Plusminus"-Sendung.
° UBS
Der Kunde muss ausser seiner Vertragsnummer und einem Passwort einen vierstelligen Zugangscode aus einer Streichliste eingeben, um online ein Geschäft zu erledigen. Hat er einen Zugangscode verwendet, streicht er ihn und nimmt für die folgende Sitzung mit seiner Bank den nächsten Code auf der Liste. Hält der Kunde die Reihenfolge bei den Codes auf der Streichliste nicht ein, funktioniert nichts.
"Hat der Kunde einen Trojaner aufgelesen, sind Manipulationen denkbar", sagt Alexis Barbic, zuständiger Leiter bei der UBS. Die Bank empfiehlt den Kunden, sich vor Viren und Trojanern zu schützen. Zudem müssen Kunden wachsam sein und bei ungewöhnlichen Meldungen sofort die Hotline* anrufen.
Noch dieses Jahr lanciert die Bank eine Chipkarte. "Das Sicherheitssystem befindet sich dann auf dem Chip und nicht mehr auf dem Computer. Dieses System wird alle heute bestehenden Systeme ablösen", sagt Barbic.
° CS
"Bei der CS arbeiten die meisten Kundinnen und Kunden mit einer Secur-ID-Karte", sagt CS-Pressesprecher Matthias Friedli. Diese Karte enthält einen Mikroprozessor, dessen Zufalls-Generator alle 60 Sekunden einen neuen Zugangscode generiert. Diesen Code liest der Benützer von einer Anzeige auf der Karte ab. Der Hacker müsste innerhalb von 60 Sekunden reagieren. Weil der Code ständig wechselt, erhöht die Secur-ID-Karte die Sicherheit.
Für Kunden, die noch die herkömmliche Streichliste mit den Zugangscodes verwenden, gilt: Manipulationen durch einen Hacker sind möglich.
° ZKB
Die Kunden müssen sich derzeit auf die gängige Streichliste mit den Zugangscodes verlassen. "Theoretisch ist es möglich, dass ein Hacker über ein ZKB-Konto eine Zahlung ausführen kann", sagt Pressesprecher Urs Ackermann. "Es muss sich beim Hacker jedoch um einen Profi handeln, der in der Lage ist, das Verhalten der ZKB-Internet-Lösung nachzubilden." Ausserdem beurteilt Ackermann die Chance, dass der Hacker entdeckt wird, als sehr gross.
° Post
Ebenfalls mit einer Streichliste arbeitet, wer seine Finanzgeschäfte mit Yellow Net abwickelt. "Das Risiko ist minim, dass ein Hacker die Sicherheitselemente eines Kunden ausspioniert, sich bei Yellow Net anmeldet und somit Zugriff auf die Konti erhält", meint Alex Josty, Pressesprecher von Postfinance. Aus Sicht der Post wäre aber ein "sehr ausgeklügeltes System" notwendig.
Trotzdem: Auch sie entwickelt derzeit eine Chipkarte, die grössere Sicherheit bietet.
° Fazit
Mit Hacker-Zugriffen muss man auch in de