(21. März 2019) Die IT-Sicherheit von Banken lässt häufig zu wünschen übrig, schlägt IT-Sicherheitsexperte Christian Heutger (Bild) Alarm. Der Geschäftsführer der PSW GROUP begründet: „Eingesetzte Verfahren zur vermeintlich sicheren und vertraulichen E-Mail-Kommunikation suggerieren Sicherheit, die diese aber nicht leisten können.“

Heutger Christian PSW Group„So bedeutet E-Mail Verschlüsselung keinesfalls, beispielsweise nur E-Mail Anhänge passwortgeschützt zu senden, so wie es die Volksbank Reutlingen praktiziert“, mahnt Heutger. Diese versendet unter dem Schlagwort „E-Mail-Verschlüsselung“ E-Mails mit passwortgeschütztem PDF-Anhang, welcher sich nur mit einem separat per E-Mail zugesandten oder telefonisch übermittelten Passwort öffnen lässt. „In solchen Fällen wird dem Kunden ein hohes Maß an IT-Sicherheit vorgegaukelt, was aber nicht vorhanden ist. Zwar muss der Absender dem Empfänger ein Kennwort mitteilen. Allerdings nicht per E-Mail, denn da könnte man sich die Verschlüsselung gleich sparen“, zeigt sich Heutger verärgert über solch nachlässigen Umgang mit hochsensiblen Daten.

Was die Bank möglicherweise nicht bedacht hat: E-Mails können abgefangen werden. Sind sie unverschlüsselt, können sie ganz einfach mitgelesen werden – und Dritte erhalten auf diese Weise das korrekte Passwort für den eigentlich passwortgeschützten Anhang. „Bei einer echten E-Mail-Verschlüsselung muss die gesamte E-Mail mindestens auf ihrem Transportweg zwischen den Servern, besser noch zusätzlich auf den Servern selbst, verschlüsselt und damit für Dritte nicht lesbar, sein. In letzterem Fall spricht man von einer Ende-zu-Ende Verschlüsselung“, erklärt Christian Heutger. Jedoch nutzen nicht nur VR-Bank Filialen fragwürdige Methoden, wenn es um IT-Sicherheitsverfahren und Passwörter geht: Auch die Passwort-Wahl der Sparkasse ist verbesserungswürdig. Hier ist für das Passwort beim Online-Banking ein fünfstelliger Code aus Groß- und Kleinbuchstaben sowie Zahlen und Sonderzeichen möglich. „Die Option der Nutzung von Groß- und Kleinbuchstaben und Sonderzeichen lässt vermuten, dass das Passwort sicher sei. 5-stellige Passwörter sind aber vor allem eines: Zu kurz und damit innerhalb von einer bis zwei Sekunden zu knacken“, mahnt der IT-Sicherheitsexperte.

Ein wirklich sicheres Passwort hat eine optimale Länge von mindestens 16 Zeichen, bei der Nutzung von Online-Banking wären zumindest acht Zeichen zu erwarten. Weiterhin sollte ein sicheres Passwort so komplex wie möglich sein, auf Begriffe und Namen verzichten und Buchstaben, Ziffern sowie auch Sonderzeichen verwenden. Ein solches Passwort würde aufgrund seiner Komplexität Jahrhunderte an Rechenzeit benötigen. „Mein Rat für Sparkassen-Kunden: Wählen Sie ein Passwort, dass auch bei der Begrenzung auf schwache 5 Zeichen so sicher wie möglich ist, indem mindestens alle Zeichenarten – Groß- und Kleinbuchstaben, Sonderzeichen und Ziffern – verwendet werden.“ Sichere Kommunikation mit der Bank: So funktioniert´s Es liegt offenbar einmal mehr am Bankkunden selbst, die eigenen Daten zu schützen. Verbraucher müssen selbst aktiv werden, um sich von falschen Sicherheitsversprechen unabhängig zu machen.

Die folgenden Tipps helfen bei diesem Vorhaben: Passwörter anfordern: Wer in die Situation kommt, ein passwortgeschütztes PDF seiner Bank öffnen zu müssen, sollte das Passwort idealerweise telefonisch erfragen. „Es ist völlig sinnlos, Passwörter in unverschlüsselten E-Mails zu versenden – Unbefugte können es so erlangen. Der sichere Weg ist das Telefon. Aber auch das Anfordern per SMS kann sinnvoll sein“, rät Heutger. Sichere Passwort-Wahl: Wer die Möglichkeit hat, selbst ein Passwort auszuwählen, sollte ein komplexes Passwort mit einer hohen Zeichenanzahl und allen möglichen Zeichenarten wählen. Aufpassen beim Online-Banking: Um Verbindungen abzusichern, sind SSL-Zertifikate eine sinnvolle Lösung. „Ob die Hausbank ihr Online-Banking verschlüsselt, ist leicht an der grünen Adressleiste und dem vorangestellten Schloss in der Adressleiste zu erkennen. Ein Klick darauf liefert nähere Informationen über die Verschlüsselung und die Bank“, erklärt der Experte. Verschlüsselter E-Mail-Versand: „Mein Rat ist, immer selbst aktiv zu werden und eines der gängigen Verfahren für die Ende-zu-Ende-Verschlüsselung zu nutzen – also E-Mails mit PGP-Schlüssel oder – noch besser – mit S/MIME-Zertifikat zu versenden“, so Heutger.

https://www.psw-group.de

Cookies erleichtern die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies verwenden.
Weitere Informationen