Branchen

Sicherheit bei Online-Banking-Transaktionen

Kunden-PC ein ganz wesentliches Glied in der Sicherheitskette beim Online-Banking - Gerichtsurteil zeigt, dass Banken mehr für die Sicherheit von Online-Kunden tun müssen
Sicherheitssoftware für Online-Transaktionen verwendet eine neuartige "Whitelisting"-Methode um gefährliche Programme zu entdecken

(29.07.08) - Nach einem Urteil des Amtsgerichts Wiesloch (Az4C57/08) haften die Banken für Schäden, die durch das unerlaubte Abfangen vertraulicher Daten - sogenanntes Phishing - entstehen. Auch wenn dieses Urteil das erste seiner Art ist, zeigt es, dass der Sicherheitszustand der Kunden-PC ein ganz wesentliches Glied in der Sicherheitskette beim Online-Banking ist. Bisher neigen die Banken dazu, diesen Sachverhalt in ihren Informationsbroschüren oder -seiten zu verbergen, wo sie im allgemeinen nur darauf hinweisen, dass der Kunde dafür sorgen muss, dass sein PC sicher zu sein hat, um sein Geld zu schützen. Das ist jedoch offenbar nicht ausreichend.

Warum? Das Gericht hat aufgezeigt dass der PC des Kunden mit 14 verschiedene Schadprogramme, inklusive eines Keyloggers infiziert war, obwohl gängige Antivirus-Software installiert war. Der Kunde verlor 4.100 Euro im Rahmen einer Transaktion, die durch PIN und TAN gesichert war.

Der Kernpunkt ist, dass Banken und Kunden sich darüber im Klaren sein müssen, dass Online-Kriminelle außerordentlich raffiniert sind und inzwischen Schadprogramme entwickelt haben, die weit über das Phishing hinausgehen. In den meisten Fällen sind die Trojaner so intelligent, dass gängige Antivirenprogramme sowohl umgangen als auch blockiert werden können, und insbesondere der Trojaner nicht erkannt werden kann. Im aktuellen Fall hat ein solcher raffinierter Trojaner erfolgreich zugeschlagen.

Das aktuelle Sicherheitsparadigma von der Art: "Wir sichern unsere Seite, und der Kunde muss seine Seite sichern", funktioniert einfach nicht mehr. Es besteht eine unbestreitbare Notwendigkeit für ein Sicherheits-Bindeglied für Banken und Kunden.

TrustDefender, eine Sicherheitslösung für Online-Transaktionen, ist so konzipiert, dass Banken sämtliche Online-Transaktionen unter Einbeziehung des Kunden-PC absichern können, und zwar schon bevor der Kunde sich einloggt und natürlich auch während der ganzen Zeit der Online-Transaktion. Außerdem kann das Kunden-Konto immer speziell geschützt werden, selbst wenn seine Antivirussoftware nicht up-to-date oder deaktiviert ist, wenn seine Firewall abgeschaltet ist oder sich Schadprogramme und Keylogger auf dem PC befinden, denn TrustDefender schützt den Kunden und seine Transaktionen umfassend als Teil des Online-Banking-Angebots.

Wie bewerkstelligt TrustDefender diesen speziellen Schutz?
TrustDefenders Sicherheitssoftware für Online-Transaktionen verwendet eine neuartige "Whitelisting"-Methode um gefährliche Programme zu entdecken und um dann diese Programme vor und während einer Online-Banking-Transaktion auszuschalten. Diese Methode kennt alle bekannte und korrekte Programme und kann daher auch noch unbekannte Schadprogramme erkennen. Auf diese Weise bleibt die Transaktion in jedem Falle sicher. Außerdem verwendet TrustDefender ihre "kernel forensics engine", um sicherzustellen, das der Windows-Kern (der immer stärker durch "rootkits" attackiert wird) nicht gefährdet ist.

Besonders wichtig ist, dass TrustDefender einerseits die vorhandene Sicherheitssoftware des Kunden ergänzt, und andererseits die Bank in die Lage versetzt, den Kunden auf der Website der Bank zu informieren, falls Schadprogramme entdeckt worden sein sollten, oder wenn der PC nicht die Minimalanforderungen an Sicherheit erfüllen sollte.

Das geschieht in einer Echtzeit-Risikoanalyse durch den "Risk Score" des TrustDefender Enterprise Server. Diese Risiko-Kennzahl wird bereits ermittelt, bevor der Kunde sich einloggt und liefert daher einen Grad an Sicherheit, der seinesgleichen sucht.

Prof. Dr. Martin Schottenloher, Geschäftsführer von TrustDefender Europa, sagte: "Der dem Urteil zugrundeliegende Vorfall macht deutlich, dass Online-Kriminelle ihre Talente und Anstrengungen erheblich gesteigert haben um die gängigen Sicherheitslösungen und –methoden auszubremsen. Genau da setzt TrustDefender mit seiner neuartigen Lösung an.Auch wenn auf dem Kunden-PC all die gängige Sicherheitssoftware installiert und aktiviert ist, kann dieser PC dennoch durch einen oder mehrere Schadprogramme gefährdet sein, auf die die gängige Sicherheitssoftware gar nicht eingestellt ist. TrustDefender sichert den PC bereits vor dem Einloggen und danach während der gesamten Transaktion.

Prof. Dr. Schottenloher stellte außerdem fest: "Konteninhaber, die Online-Banking bevorzugen, sind meistens keine Sicherheitsexperten, und alles muss sehr schnell funktionieren. Dieses Problem löst TrustDefender durch die Integration des Kunden-PCs in die Sicherheitskette der Bank, die dann vollautomatisch auf Sicherheitsprobleme reagieren kann. Selbst wenn sich auf seinem PC ein Schadprogramm befinden sollte, kann die Transaktion in einem speziell gesicherten Modus durchgeführt werden."
(TrustDefender: ra)

Meldungen: Finanzdienste + Versicherungen

Investment-Compliance gewährleisten Princeton Financial Systems gab die Einführung einer neuen Version ihres Investment-Compliance-Systems "MIG21" bekannt. Die MIG21-Version 7.2 erweitert die Funktionalität der vorherigen Version 7.1 durch neue Eigenschaften, die Skalierbarkeit und Performance weiter optimieren sollen.

Management von Ausfall-Prognosemodellen Fico, eine Anbieterin von prädiktiver Analytik und Lösungen für das Decision Management, gibt die sofortige Verfügbarkeit von "Fico Model Central Solution" bekannt. Die Lösung unterstützt Banken, Versicherungen und Handelskonzerne dabei, die Leistungsfähigkeit ihrer Ausfall-Prognosemodelle zu verbessern und diese im Einklang mit strenger werdenden Compliance-Regularien zu verwalten.

Facta: Compliance mit US-Steuer-Reporting erhalten Facta steht für "Foreign Account Tax Compliance Act" und ist die Kurzbezeichnung für einen Teil eines im Jahr 2010 in Kraft getretenen US-Gesetzes, mit dem das US-Steuer-Reporting von ausländischen Finanzinstitutionen deutlich verschärft wurde. Mit diesen neuen Vorgaben verpflichtet die US-Regierung alle ausländischen Finanzinstitute, Informationen über Konten von US-Bürgern an die US-amerikanischen Steuerbehörde IRS weiterzuleiten. Damit soll sichergestellt werden, dass US-Bürger Einkommen, die sie außerhalb der USA erzielen und die über bestimmten Einkommensgrenzen liegen, in den USA versteuern. Weltweit sind von Facta zehntausende Unternehmen der Finanzbranche, wie zum Beispiel Banken, Versicherungsunternehmen oder Investmentgesellschaften, betroffen.

Risikominimierung für Finanzdienstleister Der "Office Process Manager" der agentes geht einen weiteren Schritt in Richtung Zukunft und bietet damit noch mehr Unterstützung für Finanzdienstleister in Sachen Risikomanagement. Mit dem neuen Software-Release 4.0 löst agentes in ihrer Excel-Add-In die Skriptsprache Visual Basic für Applications (VBA) zugunsten einer performanteren .NET-Technologie ab.

Versicherungsschutz und Krisenmanagement BDJ Versicherungsmakler, ein auf Industrieversicherungen spezialisierter Risikoberater, bietet mit "BDJ Data Protect Plus" das erste ganzheitliche Versicherungspaket, das die Risiken im Zusammenhang mit Datenverlusten und den möglichen dramatischen Folgen für die geschädigten Unternehmen abdeckt. BDJ Versicherungsmakler reagiert damit auf aktuelle Ereignisse, aber auch auf eigene Erfahrungen ihrer Branchenspezialisten. Sie berichten, dass IT-Risiken in der Mehrzahl aller deutschen Unternehmen mangelhaft versichert sind.

SEPA-Einführung in weniger als drei Monaten Eine neue Mandatsmanagement-Lösung von Logica soll es Unternehmen ermöglichen, die Vorteile des einheitlichen Euro-Zahlungsverkehrsraumes SEPA (Single Euro Payments Area) und des einheitlichen Lastschriftverfahrens (SEPA Direct Debit) auszuschöpfen. Mit Logicas Mandatsmanagement können Unternehmen das Einzugsverfahren standardisieren, ihre Kosten reduzieren und die regulativen Rahmenbedingungen einhalten. Die sogenannte "Pay-as-you-grow"-Option reduziert die Implementierungskosten, wobei sich der Preis am Nutzungsumfang orientiert.

Meldewesen optimal steuern Logica unterstützt Finanzinstitute mit einer neuen multinationalen Meldewesenlösung: Mit "Logica Ibra" (Insurance and Banking Reporting Architecture) lassen sich gesetzlich vorgeschriebene Offenlegungspflichten in allen Märkten, in denen ein Finanzinstitut tätig ist und der Meldepflicht unterliegt, problemlos erfüllen.

Fraud Management und Betrugserkennung ACI Worldwide und Integrated Research stellen das neue Produkt "Prognosis für ACI Proactive Risk Manager" vor. Es ermöglicht Finanzinstituten, die die Betrugsmanagement-Software von ACI einsetzen, ein permanentes Monitoring und Management ihrer Betrugserkennungs-Systeme in Echtzeit.

Versicherungen: Outsourcing von IT-Infrastruktur Versicherungskonzerne können in Zukunft interne IT-Auslagerungen trotz strafrechtlicher Hürden leichter realisieren als bisher. Nach Aussage von Dr. Peter Bräutigam, Leiter der IT-Practice Group von Noerr LLP, ist mit der neuen Lösung des Unternehmens eine Weitergabe sensibler Kundendaten an interne Rechenzentren und IT-Dienstleister straflos möglich. Dabei könne auch auf bislang übliche und teure Ausweichstrategien verzichtet werden, wie etwa die Anonymisierung der Daten oder die Etablierung von Doppelarbeitsverhältnissen.

Zeitgemäße Methoden der Datensicherheit Mit den neu gefassten Mindestanforderungen an das Risikomanagement (MaRisk) hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) die Banken nun noch intensiver reglementiert. Durch neue Funktionalitäten ihrer "Corebanking"-Lösung können Multibank-Kunden auf diese Vorschriften in wichtigen Bereichen allerdings gelassen reagieren.