Trotz den heute in den unterschiedlichsten Ausprägungen eingesetzten Verschlüsselungs- und Authentifizierungssystemen, können Banken ihre E-Banking-Kunden im Ernstfall nur schwer vor Angriffen Dritter schützen. Dabei handelt es sich vor allem um Attacken auf Browserebene, die weder vom Kunden noch von der Bank sofort erkannt werden können.
Mit dem CLX-Stick «Security by Crealogix» will der Zürcher Anbieter einen wirkungsvollen und einfach zu bedienenden Schutz gegen Hacker entwickelt haben. Auf dem USB-Stick ist ein nicht manipulierbarer, auf dem Zero-Footprint-Prinzip basierender Browser installiert, über den Bankkunden ihre E-Banking-Geschäfte in gewohnter Manier abwickeln können. Der Schutzstick wird im Laufe dieses Jahres in einer Banken- und in einer Privatkundenversion erhältlich sein.
Problematischer Man in the Browser
Das konstante Wettrüsten zwischen Anbietern von Sicherheitslösungen und Hackern scheint sich zurzeit auf den Man in the Browser zuzuspitzen. Man-in-the-Browser-Attacken sind eine Spezialform sogenannter Man-in-the-Middle-Attacken. Dabei schaffen sich Angreifer über einen Trojaner Zugang zum Browser des Bankkunden. Das Schadprogramm vergleicht die vom Browser aufgerufenen Webseiten mit einer vordefinierten Liste potentieller Ziele und mischt sich beim Aufruf einer entsprechenden E-Banking-Webseite in die Kommunikation zwischen Kunde und Bank ein.
Herkömmliche Mittel helfen nicht
Die Daten werden, bevor sie verschlüsselt zur Bank geschickt werden, aus den Formular-Objekten des Browsers ausgelesen und verändert. Die von der Bank zurückgeschickten Bestätigungen werden schliesslich wieder mit den vom Benutzer ursprünglich eingegebenen Werten versehen. Zu diesem Zeitpunkt sind weder Kunde noch Bank in der Lage, den Betrug zu bemerken. Damit sind Verbrecher in der Lage, Sicherheitssysteme wie beispielsweise Streichlisten, Digipass oder SecurID auszuhebeln und zu umgehen.
Sicher und simpel
Mit dem CLX-Stick lässt sich dieses Problem auf eine elegante und denkbar einfache Weise lösen. Der USB-Stick verfügt über einen sogenannt gehärteten Browser, der nicht installiert werden muss und keine Erweiterungen wie Plug-ins, Java-Applets, Active-X-Elemente und Browser Helper Objects oder externe Zugriffe zulässt. Trojaner kommen somit nicht mehr an den Browser heran, wodurch die Sicherheit massgeblich verbessert werden kann. Nach dem Einstecken des USB-Sticks startet der gehärtete Browser automatisch und der Benutzer kann sich wie gewohnt mit Passwort, Streichliste, Matrix-Karte, Digipass oder SecurID anmelden. Eine Whitelist im Stick gibt einzig vor, mit welchen Bankinstituten Kontakt aufgenommen werden kann. Nachteil: Privatkunden, die von sich aus einen Stick erwerben, können diesen nur verwenden, wenn ihre Bank auf der Withelist vermerkt ist. (Fabian Bumbak)