23.09.2018, 05:09 Uhr
Christopher Gilb
Der neuste Beitrag auf der Plattform «eBanking – aber sicher!» stammt vom 14. September: Eine kritische Schwachstelle im Windows-System ermögliche Angreifern, beliebige Malware – also Schadenssoftware – einzuschleusen, um Daten abzuziehen oder Passwörter auszuspionieren. Abhilfe schaffe das neuste Windows-Update.
Nebst solchen Informationen zu Bedrohungen findet man auf der Homepage Tipps, wie man Risiken beim E-Banking maximal vermeidet, und Kursangebote zum Thema. Betrieben wird das Angebot vom Campus Zug-Rotkreuz der Hochschule Luzern. Der 42-jährige Dozent für Informationssicherheit Oliver Hirschi war von Anfang an dabei. Ihm zur Seite stehen zwei wissenschaftliche Mitarbeiter.
Oliver Hirschi, seit zehn Jahren geben Sie Tipps zu sicherem E-Banking. Wie haben sich die Herausforderungen verändert?Wie immer im Bereich Sicherheit ist auch unsere Arbeit ein Katz-und-Maus-Spiel. Während es vor zehn Jahren noch sicher war, wenn ein Passwort aus acht Stellen, aus Klein- und Grossbuchstaben, einer Zahl und einem Sonderzeichen bestand, genügt das heute nicht mehr. Selbst wir mit unserer eher normalen Technik konnten ein solches in einem Experiment in dreieinhalb Tagen knacken. Deshalb empfehlen wir heute, dass das Passwort mindestens zehn Stellen haben soll. Setzt sich nicht eine gänzlich andere Sicherheitstechnik durch, wird man wohl irgendwann auf elf oder zwölf Stellen erhöhen müssen. Insgesamt ist festzustellen, dass die Kriminellen eben professioneller geworden sind.Wie äussert sich das?Nehmen wir Phishingmails, also Mails, um an persönliche Daten zu kommen: Früher wurden diese in schlecht formuliertem Deutsch und willkürlich an Millionen von E-Mail-Adressen verschickt. Heute sind sie häufig in gutem Deutsch formuliert, weil die Kriminellen möglicherweise Verbündete haben oder die Sprache selbst können. Zudem werden sie spezifischer verschickt und sind persönlicher formuliert. Über solche Entwicklungen informieren wir dann fortlaufend Bankkunden und die Banken selbst. Wie läuft Letzteres ab?Wir werden zwischenzeitlich von rund 100 Banken getragen. Die Aufgabe war von Anfang an, dass diese nicht nur ihre Kunden auf unser Angebot verweisen können, sondern wir auch für die Bank konkret etwas anbieten. Das beginnt mit dem täglichen Medienmonitoring. Wir durchforsten also zeitnah alle grösseren Medien, ob etwas zum Thema Cyberkriminalität im Bereich E-Banking erschienen ist. Was bringt das?Früher war oft das Problem, dass Kunden bei ihrer Bank anriefen, weil sie in der Zeitung etwas über neue Cyberattacken irgendwo auf der Welt gelesen hatten, aber die Bank selbst – weil es sich beispielsweise um eine kleinere Regionalbank handelt – den konkreten Fall noch nicht kannte. Heute informieren wir die Banken fortlaufend über aktuelle Probleme und machen Vorschläge, was sie diesbezüglich selbst verbessern könnten, und sensibilisieren Mitarbeiter im Kundenservice entsprechend. Aber wäre es nicht Aufgabe der Banken, für sicheres E-Banking zu sorgen?Ein vollkommen sicheres System gibt es nicht, die Bank trägt ihren Teil bei, aber der Kunde ist eben auch Teil des Systems. Er erledigt sein E-Banking beispielsweise über seinen persönlichen Computer. Wie sicher dieser ist, darauf hat die Bank wenig Einfluss. Für Cyberkriminelle ist es viel einfacher, den kleinen Kunden als die grosse Bank anzugreifen. Diese versuchen also entweder, die Hardware des Kunden – etwa mit einem Virus – oder den Kunden selbst zu manipulieren, indem sie sich sein Vertrauen erschleichen – eine Art digitaler Enkeltrick also. Unsere Aufgabe ist die Prävention in diesem Bereich, und befolgt man einige grundlegende Regeln (siehe Box unten, Anm. d. Red.), ist die Gefahr, dass etwas passiert, auch wirklich klein. Haben Sie Erfolg?Unsere zweieinhalbstündigen Kurse sind sehr gut besucht, und was sich sicher feststellen lässt, ist, dass die Leute insgesamt offener für das Thema sind. Das ist sehr erfreulich, denn für die Sicherheit zu sensibilisieren, ist nicht ganz einfach, bei diesem Thema fällt einem eigentlich niemand um den Hals. Vertrauen bildet sicher auch, dass wir eine Hochschule sind. Kämen die Information von den Banken selbst, würden viele denken, da werden vielleicht Sachen bewusst beschönigt. Unsere Unabhängigkeit ist uns sehr wichtig, deshalb haben wir beispielsweise auch immer Angebote von Sicherheitssoftwareherstellern abgelehnt, die beispielsweise hofften, dass wir ihr Produkt als Lösung empfehlen.Welches sind die typischen Fragen, die an den Kursen gestellt werden?Eine häufige Frage ist, ob man fürs E-Banking einen separaten PC benutzen soll. Das muss man nicht. Eine andere Frage ist die Haftbarkeit bei etwaigen Schäden. Da müssen wir dann aber an die Bank als Vertragspartner der Kunden verweisen. Informieren Sie auch Firmenkunden? Wir sind gerade daran, dies noch stärker aufzugleisen. Das Problem ist, dass das E-Banking nur einen kleinen Bereich der Cybersicherheit eines Unternehmens einnimmt. Deshalb ist es wohl vielen zu spezifisch. Wichtig wäre es trotzdem, wir bleiben dran.
Kommentare
Zu diesem Thema wurden noch keine Kommentare geschrieben.