FITUG e.V.
Förderverein Informationstechnik und Gesellschaft
|
|
Internet, ActiveX und Homebanking
Eine Pressemitteilung von Intuit
Aktuelle Fragen und Antworten zur Sicherheit von Quicken
Der Chaos Computer Club e.V. Hamburg entdeckte eine Sicherheitslücke
bei der Verwendung eines ActiveX-fähigen Intemet-Browsers. Um diese
Sicherheitslücke im Intemet-Browser zu demonstrieren, wurde im Rahmen
eines Fernsehbeitrages der ARD Sendung "Plusminus" gezeigt, wie dadurch
Datenbestände des Anwenders am Client-PC manipuliert werden können.
Als Beispiel diente in der Femsehsendung ein Homebankingprodukt, in
das nach Abruf einer bestimmten Intemetseite ohne Zutun des Anwenders
durch ein ActiveX-Control eine Überweisung eingefügt wurde. Für Branchenkenner
sichtbar handelte es sich hier um die Finanzsoftware Quicken.
Der Chaos Computer Club weist ausdrücklich darauf hin, daß das Beispiel
Quicken nur aufgrund des hohen Verbreitungsgrades ausgewählt wurde,
um das gefundene Sicherheitsrisiko entsprechend publik zu machen. Durch
diese Sicherheitslücke sind grundsätzlich im Falle eines Mißbrauchs
alle Daten und Applikationen auf dem PC gefährdet.
Was ist wirklich geschehen?
Im o. g. Beispiel wurde beim Aufruf einer bestimmten Internet-Seite
mit dem Microsoft-Internet-Explorer ein ActiveX-Control unbemerkt vom
Anwender geladen und gestartet. Im vorliegenden Fall waren dazu einige
Sicherheitsoptionen des Microsoft-Explorers auf die niedrigste Stufe
gesetzt worden. Dieses ActiveX-Control simulierte eine Tastatureingabe,
mit der Quicken aufgerufen, eine nicht-passwortgeschützte Quicken-Datei
geladen, eine Überweisung ausgefüllt und gespeichert wurde. Danach
wurde Quicken wieder geschlossen.
Dadurch ist jedoch noch keine Überweisung übertragen worden. Erst wenn
der Anwender bei einer der nächsten Sitzungen in Quicken Überweisungen
überträgt und die eingeschmuggelte Überweisung, die sowohl im Quicken-Register
als auch in der Überweisungsliste sichtbar ist, ausdrücklich bestätigt,
wird die manipulierte Überweisung, die durch das ActiveX-Control angelegt
wurde, zur Bank übertragen. Die PIN und TANS sind zum Zugang auf das
Konto jedoch nach wie vor notwendig. Einige Pressestimmen in den USA
haben dies fehlerhaft berichtet.
Ist dieses Problem ein Ouicken Problem?
Nein. So wie Quicken über eine simulierte Tastatureingabe aufgerufen
und Operationen ausgeführt werden können, ist dies auch mit jeder anderen
Anwendung auf dem PC möglich. Quicken diente im vorliegenden Fall lediglich,
aufgrund seines Bekanntheitsgrades und der gut erkennbaren Eingabemaske
in Form eines Überweisungsformulares als Beispiel.
Die derzeitige Diskussion bezieht sich auf ein generelle Sicherheitsprobleme
im Internet Bereich. Dadurch sind grundsätzlich alle Applikationen
und Daten gefährdet.
Ist Homebanking über BTX - T-Online gerährlich?
Nein. Sollten Sie ausschließlich T-Online im CEPT und KIT-Standard
nutzen, besteht keinerlei Gefährdung dieser Art. Erst bei Nutzung eines
ActiveX-fähigen Internet-Browsers und Internet-Zugang besteht die Möglichkeit
einer Manipulation, wie sie oben geschildert wurde.
Ist die Manipulation einer Online Überweisung über ein
ActiveX-Control oder auf einem anderen Weg strafbar?
Ja. Grundsätzlich ist dieser Eingriff eine strafrechtlich verfolgbare
Handlung.
Kann eine Anwendung grundsätzlich vor kriminellen Attacken
geschützt werden?
Ein hundertprozentiger Schutz ist praktisch ebenso unmöglich wie etva
ein Mißbrauchsschutz von gestohlenem Bargeld, Kreditkarten oder Scheckkarten.
Tatsache ist, daß Homebanking mit dem PC zu den sichersten Zahlungsverfahren
gehört. Eine zunehmend vemetzte Welt birgt neue Risiken, gleichzeitig
werden über verfügbare Technologie die nötigen Systeme zum Schutz des
Anwenders zur Verfügung gestellt.
Ist so ein Fall wie der oben beschriebene schon in der Praxis bekannt geworden?
Nach unserem Kenntnisstand bis heute nicht.
Welchen Schutz bietet Ouicken?
Quicken bietet dem Anwender in den aktuellen Versionen folgende Schutzmechanismen:
- Paßwort
Grundsätzlich sollten Quicken-Daten mit einem Paßwort geschützt werden.
Dadurch kann ausgeschlossen werden, daß das ActiveX-Control, wie im
obigen Fall beschrieben, eine Quicken-Datei ohne Ihre Bestätigung aufruft
eine unbeabsichtigte Überweisung einfügt.
Desweiteren sollten Sie Quicken vor der Nutzung des Internet beenden.
Dadurch wird der Zugriff auf eine eventuell schon geöffnete Datei und
damit die Umgehung der Paßwortabfrage beim Laden Ihrer Quicken-Datei
ausgeschlossen.
- Überweisung - Ubertragungsbildschirm
Bevor eine Übemveisung Online übertragen wird, sollten noch einmal
alle zu übertragenden Überweisungen mit ihren Empfänger-Daten und dem
DM-Betrag einzeln kontrolliert werden.
Hierzu zeigt Quicken vor dem Verschicken der Überweisung eine eigene
Liste mit allen noch nicht übertragenen Überweisungen an. Ein eventueller
unbefugter Eingriff über ActiveX in Form einer unbeabsichtigten Überweisung
kann hier noch vor der Online Übertragung erkannt und gelöscht werden.
- Manuelle PIN/TAN-Eingabe
In Quicken gibt es die Möglichkeit, eine Online-Übertragung nur nach
vorheriger manueller Eingabe der PIN zuzulassen. Ebenso ist es möglich,
die zur Übertragung der Überweisung benötigten Transaktionsnummern
(TANs) erst vor dem Überweisunglauf in die TAN-Liste einzupflegen.
Damit ist eine unautorisierte und unbemerkte Übertragung einer Überweisung
über eine im System gespeicherte TAN nicht möglich.
- Überweisungsbericht
Ab der Version 4.5 dokumentiert Quicken obendrein in einem Überweisungsbericht,
der auch ausgedruckt werden kann, nach Ablauf einer Überweisung exakt,
was zur Bank übertragen wurde.
Auch dieser Bericht sollte nach jedem Online - Überweisungslauf kontrolliert
werden.
- Rückverfolgung
Sollte dennoch eine unbeabsichtigte Überweisung übertragen werden,
hinterläßt die Überweisung eine nachvollziehbare Spur. Anders als bei
Mißbrauch von Kreditkarten oder Schecks, ist der Mißbrauch leicht zu
verfolgen und der verantwortliche Kriminelle zur Rechenschaft zu ziehen.
In diesem Fall sollte sich der Anwender unverzüglich mit seiner Bank
oder seinem Kreditinstitut in Verbindung setzen.
- Stornomöglichkeit
Beachten Sie bitte auch, daß Sie Überweisungen, egal ob diese Online
oder auf Papier getätigt wurden, innerhalb bestimmter Fristen bei Ihrer
Bank stornieren können. In jedem Fall sollten Sie Quicken nutzen, um
regelmäßig alle Buchungen auf Ihrem Konto abzuholen und zu prüfen.
Hier bietet Ihnen Quicken mehr Kontrolle und Dokumentation als dies
beispielsweise beim reinen Telefonbanking der Fall ist.
Für Rückfragen wenden Sie sich bitte an:
Intuit Deutschland GmbH
Markus Reithwiesner
Carl Zeiss Ring 19-21
85737 Ismaning
Tel.: 089-99636114
Fax: 089-99636344
E-Mail: Markus_Reithwiesner@Intuit.com
Förderverein Informationstechnik und Gesellschaft, JPL, 01.06.97
webmaster@www.fitug.de