Zwei jüngst veröffentlichte Medienberichte sprechen eine deutliche Sprache: Im Januar wurde bekannt, dass Hacker ein Freiburger Unternehmen um eine Million Franken erleichtert haben sollen. Und im Februar meldete die Schweizerische Melde- und Analysestelle Informationssicherung (Melani), dass spezielle E-Banking-Trojaner immer stärker auch Schweizer KMU angreifen. Unternehmen sind also gut beraten, sich angemessen zu schützen. Eine Anleitung dazu bietet das Informationssicherheitshandbuch für die Praxis (SiHB); die komplett überarbeitete und aktualisierte Auflage ist soeben erschienen (siehe Box). Exklusiv für das «KMU-Magazin» wird an dieser Stelle das Kapitel «Sicherer Zahlungsverkehr (Online-Banking)» daraus publiziert.
Die Ausgangslage
Der elektronische Zahlungsverkehr, sprich das Online-Banking ist wohl aus keinem Unternehmen mehr wegzudenken. Zu bequem und komfortabel ist der zeitunabhängige und direkte Zugriff auf die unternehmenseigenen Finanzen. Aufgrund seiner direkten Bereicherungsmöglichkeit stellt das Online-Banking aber auch für Angreifer ein begehrtes Ziel dar. Von Phishing-Angriffen über Social-Engineering-Attacken bis hin zu spezifisch programmierter Online-Banking-Schadsoftware sind die Angriffsvektoren vielfältig. Die Finanzinstitute selbst schützen die Daten und Finanzen ihrer Kunden umfassend mit modernen und neuen Sicherheitssystemen.
Sichere Datenaufbewahrung
Schweizer Finanzinstitute verfügen im internationalen Vergleich über einen sehr hohen Sicherheitsstandard. Geschützte Rechenzentren und Sicherheitssysteme gewährleisten, dass die Daten und Finanzen der Kunden sicher aufbewahrt werden. Externe Kontrollstellen wie beispielsweise die Eidgenössische Finanzmarktaufsicht Finma beaufsichtigen und kontrollieren alle Bereiche des Finanzwesens. Darüber hinaus garantieren ISO-Normen (unter anderem ISO 27002) die Standardisierung.
Geschützter Datenzugriff
Mit mehrstufigen Anmeldeverfahren gewährleisten die Finanzinstitute beim Login grösstmögliche Sicherheit. Angreifer müssten jede dieser Sicherheitshürden erfolgreich überwinden, um an die Daten und Finanzen der Kunden zu gelangen. Die von den Finanzinstituten angebotenen Anmeldeverfahren unterscheiden sich in der Art und Weise, wie sie implementiert sind und die Sicherheit gewährleisten, was einen Vorteil darstellt – Angriffsversuche sind nicht eins zu eins vom einen auf das andere Online-Banking-System übertragbar. Finanzinstitute bieten den Kunden in der Regel die Wahl zwischen verschiedenen Anmeldeverfahren, dies oft aufgrund der Historie oder verschiedenen Kundenanforderungen.
Sichere Datenübermittlung
Die Daten werden verschlüsselt von den Computern der Kunden zu den Servern der Finanzinstitute übertragen und können somit von Dritten nicht eingesehen werden.
Transaktionsüberwachung
Alle vom Kunden eingegebenen Transaktionen durchlaufen ein spezielles Regelwerk von Prüfroutinen, bevor die Zahlungen effektiv ausgeführt werden. Unübliche Transaktionen und beispielsweise Auslandszahlungen werden vor der Ausführung speziell geprüft.
Des Weiteren ist es von grosser Wichtigkeit, dass auch die Bankkunden sowohl ihre Computer sowie auch ihre Infrastruktur angemessen schützen und grundlegende Verhaltensregeln beachten.
Das Konzept
Um Online-Banking sicher zu betreiben, sind beim Ein- und Ausloggen folgende wichtigen Punkte zu beachten.
Einloggen
- Sichere Navigation zum Finanzinstitut Die Adresse zum Online-Banking des Finanzinstituts sollte immer manuell in der Adresszeile des Browsers eingegeben werden. Niemals sollte ein Link verwendet werden, schon gar nicht, wenn er zum Beispiel per E-Mail zugestellt wurde! Ausserdem sollte Online-Banking nur von einem bekannten und sicheren Computer aus benutzt werden (das heisst nicht in Internet-Cafés, öffentlichen Hotel-Computern etc.).
- Keine anderen Seiten offen Beim Verbindungsaufbau zum Online-Banking und während dessen Benutzung sollten keine anderen Internetseiten und keine E-Mails geöffnet werden.
- Überprüfen der sicheren Verbindung Es muss darauf geachtet werden, dass ausschliesslich über eine «sichere» Verbindung («https» und Schlosssymbol in der Adresszeile) auf das Online-Banking zugegriffen wird und dass das Zertifikat echt und gültig ist (vergleiche Abschnitt «Zertifikatsprüfung»).
- Vorsicht bei Systemunterbruch oder ungewöhnlichen Fehlermeldungen Kommt es während dem Online-Banking zu einem Systemunterbruch (zum Beispiel plötzlich auftretender weisser Bildschirm) oder treten vor allem während dem Login ungewöhnliche Fehlermeldungen auf (zum Beispiel «Das System ist derzeit überlastet. Bitte haben Sie etwas Geduld und probieren Sie es später noch einmal»), sollte die Verbindung sofort beendet und die Spezialisten des Finanzinstituts benachrichtigt werden.