Gartner: Banken müssen dringend ihre Online-Sicherheit verbessern
Gefährliches Online-Banking: Laut Gartner filtert ein neuer Trojaner die Login-Daten bei über 100 Finanzinstituten und verschickt sie an einen Server in Russland.
Am 3. Dezember meldete Bitdefender, dass man einen neuen Typ eines Passwort-Loggers ausgemacht
hat, der sich als Mozilla-Plug-in verkleidet. Dieser Trojaner wird immer dann aktiv, sobald der
User über Firefox eine vordefinierte Online-Banking-Seite aufsucht.
Über 100 solcher Seiten sind hier abgelegt, darunter auch der beliebte Internet-Bezahl-Service
Paypal. Der Trojaner filtert dann unbemerkt die Login-Daten aus der Session heraus. Diese werden
dann automatisch an die Webadresse eines Servers in Russland verschickt – möglicherweise der
Ursprung dieser neuen Phishing-Form.
Bei Gartner meint man, dass dieser neue Trojaner ein Vorbild für weitere, noch raffiniertere
Angriffe sein wird. Mit diesen neuen Methoden würden die bisherigen Sicherheitsvorkehrungen schon
bald wirkungslos sein. "Die Sicherheitsmaßnehmen der meisten Banken sind überholt und inzwischen
leicht zu knacken", heißt es in dem neuen Bericht der Analysten.
Nur wenige Banken würden bereits ihre Onlinezugänge mit verhaltensbasierten
Identifikationsprogrammen oder Out-of-Band-Transaktionsüberprüfung absichern. Solche zusätzlichen
Sicherheitsebenen machen die bei den Datendieben gehorteten Login-Informationen wertlos.
Als Grund für das geringe Aufgreifen dieser neuen Sicherheitsmaßnahmen bei den Banken-CIOs sehen
die Gartner-Analysten eine zunehmende Angst bei den Finanzinstituten, dass die Installation und der
Betrieb von komplexer Security-Software viele Endanwender verschreckt.
Gartner empfiehlt den Banken jedoch keine Rücksicht darauf zu nehmen: "Dieser neue Trojaner ist
ein Warnschuss vor den Bug der Finanzinstitute", heißt es in der Studie.
Gartner appelliert an die Banken, sich die Ergebnisse einer jüngsten Umfrage unter 5000
Onlineanwendern in Erinnerung zu rufen: Die elektronische Sicherheit wird von den Onlinekunden
genauso hoch eingestuft wie die finanzielle Sicherheit einer Institution. Die überwältigende
Mehrheit der Onlineanwender hält Malware für extrem schädlich und erwartet von ihrer Bank, dass ihr
Konto davor geschützt ist.
Verschärfend kommt gegenwärtig noch hinzu, dass das Vertrauen der Kunden in die finanzielle
Stabilität der Institute gesunken ist. Viele Anwender befürchten bereits, dass ihre Bank
möglicherweise zu sehr an den notwendigen Sicherheitseinrichtungen sparen könnte.
Gartners Empfehlung an die CIOs der Finanzinstitute lautet deshalb: Einführen eines dreistufigen
Sicherheitssystems inklusive einer besseren Benutzerauthentifizierung, verhaltensabhängige
Betrugserkennung und Out-of-Band-Transaktionsverifikation; sowie die sofortige Benachrichtigung der
Kunden, falls eine neue Bedrohung bekannt geworden ist, inklusive entsprechenden
Verhaltensmaßnahmen.
Harald Weiss/wg
