Zum Thema Sicherheit...

Das Thema Sicherheit ist natürlich gerade beim Thema Online-Banking außerordentlich wichtig und Leute, die sich überlegen ihre Bankgeschäfte künftig mit einem Banking-Client durchzuführen entsprechend sensibilisiert. Die Vergangenheit hat auch gezeigt, dass diese Aufmerksamkeit wichtig und richtig ist - schliesslich versuchen Kriminelle mit immer neuen Tricks die Konten argloser Online-Banker zu plündern. Dabei liefern sich Banken und Kriminelle derzeit ein Katz- und Maus-Spiel. Auf neue Lücken folgen neue Sicherheitsmechanismen.

Jeder, der Online-Banking macht sollte sich darüber bewusst sein, dass es keine hundertprozentige Sicherheit gibt. Grundsätzlich sind Angriffe von Außen immer möglich. Die gute Nachricht ist, dass wir es selbst in der Hand haben wie schwer wir es potenziellen Angreifern machen und damit wie unwahrscheinlich ein Erfolg letzten Endes ist.

Die wohl kritischste Methode seine Bankgeschäfte zu Hause zu erledigen ist sicherlich das Banking mit dem WebBrowser. Von allen Banken angeboten, sind Bankingportale in der Vergangenheit immer wieder Ziel von Angriffen geworden - von Phishing bis zu Cross Site Scripting. Besser wäre es, wenn die Banken ihren Kunden Banking-Programme, am besten noch mit Karte und Lesegerät, mitgeben würden. Aber das ist den Banken zu teuer.

Die derzeit sicherste Methode ist das Banking mit einem speziellen Programm nebst Chipkarte und Kartenleser. Idealerweise verwendet man die neuesten Kartenleser mit dem sog. SECCOS-System. Nur dort ist es nämlich möglich zu prüfen, welche Daten tatsächlich signiert werden. Bei den älteren Geräten und Karten (z.B. DDV) ist es nur möglich per PIN eine Transaktion zu signieren, was ebenfalls sehr sicher ist, aber mit dem Mangel, dass die zu signierenden Daten nicht überprüft werden können.

Sicherer als Chipkarten ohne Signaturkontolle ist derzeit u.a. das chipTAN-Verfahren (optische Variante). Der Vorteil ist hier, dass die Kommunikation zwischen Anwendung und Kartengerät über den Bildschirm läuft und nicht über einen potentiell für Angriffe verwundbaren Kanal im Computer (z.B. USB-Schnittstelle). Außerdem können - und das ist entscheidend - die signierten Daten auf dem Kartenlesegerät überprüft werden. Danach kommen andere Verfahren wie BestSign, mobileTAN, iTAN, wobei letztere nach dem heutigen Stand der Sicherheitstechnik nicht mehr verwendet werden sollte.

Sicherheit in Pecunia

Pecunia unterstützt alle PIN/TAN-basierten Verfahren, auch die neuen chipTAN-Verfahren, sowie HBCI-Chipkarten mit dem DDV Verfahren.

Neben der Transaktionssicherheit bekomme ich oft Anfragen, wie es mit der Sicherheit der Daten bestellt ist, die Pecunia selbst verwaltet. Zunächst einmal bedient sich Pecunia der Sicherheitsmechanismen, die ein ordentliches Betriebssystem (wie z.B. OS X) von Hause aus mitbringt. Die Daten werden benutzerspezifisch abgelegt und können von keinem anderen Systembenutzer gelesen werden. Nur wenn man anderen Zugang zu seinem Systembenutzer gibt (aus welchen Gründen auch immer) kann dieser grundsätzlich die Daten lesen.

Bitte beachten, dass dazu bei den Systemeinstellungen zu Thema „Sicherheit“ die erforderlichen Einstellungen zu machen sind (z.B. Kennwortabfrage beim Bildschirmschoner bzw. bei Anmeldung) wenn man grundsätzlich davon ausgehen kann, dass Fremde Zugang zum Rechner haben können.

Pecunia speichert weder PINs noch TANs. Die PINs können jedoch im Schlüsselbund abgelegt werden, die TANs werden dagegen niemals irgendwo abgelegt. Diese würde auch den Nutzungsbedingungen der meisten Banken widersprechen. Eine Verschlüsselung der Daten kann über die Einstellungen (Reiter Sicherheit) eingestellt werden. Die Verschlüsselung ist eine weitere Barriere, falls das System kompromittiert würde bzw. für den Fall, das Backup-Verzeichnisse öffentlich zugänglich sind.