Hallo
Also gut, vielleicht sollte ich einfach mal damit beginnen, worum es mir ging. Ich selbst brauche im Grunde kein „besonders sicheres Banking“, mein Rechner ist gesichert, die Verbindung ist stabil, ich betreibe mein Homebanking nur von meinem Rechner zu Hause aus und mir ist es im Grunde gleich, welches Verfahren ich verwende.
Nur: In meinem Verwandtenkreis gibt es einige ältere Leute und wenn die Krank sind oder vielleicht dauerhaft krank werden, dann haben die ggf. Probleme Ihre Bankgeschäfte noch per Internet zu machen. Meinen Eltern zum Beispiel haben ich und mein Bruder mit viel Zeit nun den Zugang zum Internet eingerichtet und erklärt und die haben sich auch schon ans Homebanking rangetraut. Aber da diese wegen Sehschwächen auch gerne die Vergrößerung des Bildschirms verändern ist zum Beispiel der Tan-Generator einfach nur eine Frickelslösung, die sie dann irgendwann genervt wieder aufgegeben haben.
Wenn man eine Lösung sucht für Leute, die bereits viel Mühe darin verwenden, sich selbst zu helfen, dann – so war meine Auffassung – könnte ein solcher Chipkartenleser eine Möglichkeit sein. Da ich selbst aber ungerne etwas empfehle, was ich nicht selbst nutze, habe ich mir das Gerät gekauft und sogar die Bank gewechselt (nicht nur deswegen).
Was ist das Hauptproblem bei diesen Dingen? Personen, die über 80 Jahre alt sind, das Internetten mit viel Mühe selbst erlernt haben oder eben beigebracht bekamen, die sind an einer Stelle verwundbar. Mit einem falschen Klick an die falsche Stelle, kann schnell eine Schadsoftware eingeschleust werden. Und dann können schnell Überweisungen trojanergesteuert umgelenkt werden. Ich brauche also ein Homebanking, das auch bei MitM-Angriffen zuverlässig arbeitet. Das sind im Grunde alle echten Zweigwegsysteme. Zu diesem gehören die SMS-Tan (Absicherung geht über die Handy-Verbindung) und genau besehen auch der Tan-Generator (Hier ist es eine Verbindung zur Kontokarte, die im Generator steckt).
Chipkartenleser sind im Grunde ungeschützt gegen MitM-Atacken mit einer möglichen Ausnahme und das sind Geräte der Sicherheitsklasse 3. Es ist keine zwingenden Ausnahme, sondern nur eine mögliche Ausnahme. Damit die Geräte wirklich gegen MitM-Angriffe schützen, ist es wichtig, dass diese eine eigene https-Verbindung zum Bankrechner aufbauen. Sie dürfen also nicht von der wie auch immer aussehenden Software auf dem Rechner Vorgaben bekommen für das Display oder sogar die PIN-Antwort an diese Software senden.
Ganz gleich, ob die Software auf dem PC nun der Browser ist oder die Banking-Software, wenn ich eine Überweisung tätigen will, dann endet das immer in der Aussage „Überweisung von <betrag> an <Empfänger> - <iban> - <bic>“. Diese Anfrage muss dann von der PC-Software an den Bankrechner gesendet werden und dann auf dem zweiten Kanal (mit einen anderen Schlüssel verschlüsselt!) an den am gleichen PC angeschlossenen Chipkartenleser. Die Antwort ist dann vom Chipkartenleser zu verschlüsseln und (ohne das der angeschlossene Rechner diese entschlüsseln kann) dann an den Bankrechner zu senden. Das ist wieder die klassische zwei Wege Meldung eines Auftrages.
Geschieht die Verschlüsselung nicht auf dem Chipkartenleser, sondern auf der Banksoftware, dann braucht ein Angreifer nur das auf der Verschlüsselungskarte gespeicherte Zertifikat zu kopieren und die PIN abzufangen um volle Kontrolle aller angeschlossenen Konten zu bekommen. Gibt man die PIN in den Kartenleser ein, dann braucht man vielleicht keinen Keylogger-Standard, sondern einen Keylogger-Komfort, doch das war es dann auch.
Bei der VR-Net-World-Software hatte ich nur den Verdacht, dass die angeschlossene Software, diesen zweiten Weg „abkürzt“ und das damit im Grunde nur eine geringere Sicherheitsklasse tatsächlich vorliegt. Nachdem ich Banking4W installiert hatte, war ich mir allerdings absolut sicher. Hier wurde bei einer Überweisung das Display des Kartenlesers überhaupt nicht genutzt. Hier war also offenkundig, dass diese Transaktion maximal mit der Sicherheitsklasse 1 durchgeführt war.
Mit anderen Worten: Die Software, die man sich auf dem Rechner installiert, die entscheidet über die verwendete Sicherheitsklasse und das ist inakzeptabel. Damit kann keine der Geräte eine ernste MitM-Attacke abwehren.
Wichtig wäre hier ein Abschalten, aller abwärtskompatiblen Funktionen. Beim Einlegen einer Signaturkarte kann und darf es zum Beispiel für den Anwender nicht möglich sein mit einer Softwarefunktion wie Chipcardmaster offengelegt das Zertifikat auszulesen und auf den Rechner zu kopieren. Die Möglichkeit bietet nur zweifachen Missbrauch.
Sie ermöglicht der angeschlossenen Software einen auffälligen oder auch unauffälligen Betrieb in einer niedrigeren Sicherheitsklasse Sie ermöglicht dem MitM das Auslesen des Zertifikates.
Es wäre Aufgabe eines Workshops, die Funktionenliste eines Chipkartenlesers durchzugehen um herauszufinden, welche Funktionen sinnvoll sind und bleiben sollten und welche eben nicht sinnvoll sind. Wer eine Signaturkarte inhaltlich lesen oder gar erstellen will, der kann ja einen Leser nehmen der Sicherheitsklasse 0. Wer aber sichere Transaktionen im Sinn hat, für den ist weniger mehr.
Ich stufe daher nicht HBCI als „alten Hut“ ein, für mich ist der Kartenleser selbst sehr problematisch. Er offensichtlich ist nicht in der Lage, die Angriffe abzuwehren, für dessen Abwehr er gebaut wurde.
Von daher gehe ich aktuell den Weg, dass ich mich wieder aus dem allem zurückziehe. Auch die eID-Funktion meines Personalausweises habe ich wieder gekündigt.
Wie sagte es mir ein Banker? Dies sei zurzeit nicht deren aktuelles Tätigkeitsfeld, weil hier die Kriminellen nicht aktiv sind. Ich lese diese Antwort so: „Wenn die bei Ihnen eingebrochen haben, dann bessern wir schon nach.“ – Er hat mir allerdings nicht beantwortet, wer für den Schaden aufkommt.
Damit ist die Sache für mich einfach. Ich ziehe mich zurück und warte auf die Einbruchswelle. Und ein bis zwei Jahre danach schaue ich dann mal wieder vorbei.
Herzliche Grüße
Wolfgang