Vergesst die PCs

Eine neue Generation von Produkten für sichere Onlinebankgeschäfte ist im Anmarsch, die etwas gemein haben: Die Urheber haben alle die Hoffnung aufgegeben, dass die PCs der Endanwender je so sicher sein werden, um bedenkenlos Geldbeträge herumschieben zu können. Vielmehr suchen sie nach einer gehärteten Software-Hardware-Kombination, die dann mit den Banksystemen kommuniziert. Der PC des Anwenders kann dann so virenverseucht, wurmstichig und gehackt sein, wie er will. Nun könnte man argumentieren, dass all die Antiviren-Firmen und Firewall-Hersteller versagt haben. Die Security-Firmen sehen sich allerdings einer Mammut- und Sysiphus-Aufgabe sondergleichen gegenüber. Denn die Viren, Würmer und Trojaner haben sich in letzter Zeit in einem atemberaubendem Tempo ausgebreitet. Zudem nimmt der Variantenreichtum der Schädlinge exponentiell zu. Heute entdecken die Virenjäger monatlich mehr Malware als noch vor Kurzem in einem ganzen Jahr.

Der Schaden, der dabei entsteht, ist immens. Allerdings gibt es keine genauen Zahlen. Das Marktforschungsinstitut eTForecasts rechnet vor, dass allein in den USA durch Cybercrime bei den insgesamt 272 Millionen PC-Besitzern pro Jahr ein Schaden von 4,5 Milliarden Dollar entsteht. Für die Schweiz rechnet daher Robert Weiss von Robert Weiss Consulting in seinem Whitepaper «Cyber-Kriminalität ist heute zur Normalität geworden» mit einer Schadenssumme zwischen 130 und 200 Millionen Franken pro Jahr. Die wenigen, die möglicherweise genaue Zahlen kennen, werden sich hüten, über konkrete Schadensummen zu sprechen. Die Rede ist von den Banken. Sie zeigen sich zudem derzeit kulant und begleichen die Beträge, welche die Cybermafia aus den elektronischen Portemonnaies von Herrn und Frau Schweizer abzwackt. Denn nichts fürchten die Banken so sehr wie den Vertrauensverlust ihrer Kundschaft. Es ist eine Horrorvision, würden alle Kunden, die heute E-Banking betreiben, wieder in den Schalterhallen der Geldinstitute auftauchen. Bei der heutigen Personaldecke der Banken käme es zum Kollaps der Geldinstitute, würden die Kunden «vom elektronischen Zahlungsverkehr wieder auf das Einsenden von Einzahlungsscheinen per Post zurückkommen», meint Weiss. Denn die Summe, die da tagein, tagaus elektronisch abgewickelt wird, ist beträchtlich: Laut einer Studie des Eidgenössischen Departements für Umwelt, Verkehr, Energie und Kommunikation (Uvek) werden täglich gut 178 Milliarden Franken elektronisch transferiert.

Der PC ist also verseucht. Zudem passieren im Browser, dem eigentlichen Frontend heutiger E-Banking-Lösungen, eigenartige Dinge. Hier werden den Kunden von Hackern ganze Online-transaktionsmärchen vorgespielt. Was könnte also eine Lösung sein? Gleich zwei Verfahren, die in der Schweiz entwickelt und entweder soeben ausgeliefert wurden, respektive in den nächsten Monaten auf den Markt kommen, wollen das Onlinebanking absichern. Dabei handelt es sich zum einen um den CLX.Sentinel von Crealogix. Zum anderen um den ZTIC (Zone Trusted Information Channel), der am IBM-Forschungslabor in Rüschlikon entstanden ist. Beiden Hardware-Software-Lösungen ist es im Grunde genommen egal, wie sehr der PC schon in der Hand von Hackern ist. Sie liefern eine gehärtete Umgebung, über die der User E-Banking betreiben kann.

Wie abgeschottet der USB-Stick CLX.Sentinel ist, erklärt Thomas Avedik, CEO der Zürcher Firma Crealogix E-Banking. So werde die SSL-Verbindung (Secure Sockets Layer) auf dem Stick terminiert und nicht wie sonst üblich auf dem PC. Sodann wird die E-Banking-Seite mit einem Browser aufgerufen, der lediglich aus der Rendering-Engine von Mozilla besteht. «Um diese haben wir unsere Verteidigungslinien errichtet», meint Avedik. Dabei kommt Security-Software zum Einsatz, die laut Avedik vor diversen Angriffen schützt. So werden unter anderem Attacken wie Man in the Middle, Keylogging und Screencatching unterbunden.

Der autonome Sicherheitsanspruch von CLX.Sentinel geht so weit, dass ein eigener PDF-Viewer verwendet wird. «Leider ist es eine Tatsache, dass es verschiedene Schwachstellen im Adobe Acrobat Reader gibt», wirft Avedik ein. «Sobald ich PC-Ressourcen brauche, gehe ich ein Risiko ein.»

Neben den eigentlichen Sicherheits-Features, die unterdessen von zwei unabhängigen Institutionen bestätigt wurden, ging es bei der Entwicklung des CLX.Sentinel aber auch um Usability. «Wir dürfen uns nicht rein auf die Technik verlassen», gibt Avedik zu verstehen. «Der User akzeptiert die beste Security-Technik nicht, wenn das Verfahren zu kompliziert ist.» Man habe daher besonderes Augenmerk darauf gelegt, dass der Anwender mit seinem PC so arbeiten könne wie gehabt.

Als Negativbeispiel nennt Avedik gehärtete, bootbare E-Banking-CDs. Dabei müsse zum einen der Anwender seinen PC herunterfahren und mit der CD neu starten. Schon dies würden viele nicht akzeptieren. Dann stünden ihm während der eigentlichen Onlinebanking-Sitzung Dienste wie E-Mail nicht mehr zur Verfügung. Auch der Printer-Treiber werde beispielsweise nicht unterstützt und verunmögliche das Drucken. «So eine CD ist zwar technisch gesehen eine gute Sache, denn sie stellt fürs E-Banking einen sauberen PC zur Verfügung, aber in der Praxis macht der Anwender nicht mit», argumentiert Avedik.

Auch dem ZTIC von IBM ist herzlich egal, was auf dem PC abgeht und welche Attacken gerade gefahren werden. «Statt den PC zu flicken, haben wir uns entschlossen, ein Gerät zu bauen, das weitestgehend unabhängig vom PC funktioniert», erklärt Doug Dykeman, Leiter der ZTIC-Forschungsgruppe am IBM-Forschungslabor in Rüschlikon bei Zürich. Auf dem Gerät, das via USB am PC hängt, werden die Trans-
aktionsdaten überprüft und auf einem eigenen Display angezeigt. Es handelt sich dabei um dieselben Daten, die auch der Bankserver im abgesicherten Backend des Geldinstituts erhält. Somit kann der Anwender überprüfen, ob seine Überweisung bei der Bezahlung der Stromrechnung tatsächlich aufs Konto des lokalen Elektrizitätswerks fliesst oder im Falle eines Angriffs an eine unbekannte Nummer.

Des Weiteren lässt sich der Betrag überprüfen. Dies soll den E-Banking-Kunden davor bewahren, dass statt der 100 Franken teuren Telefonrechnung ein hoher Betrag auf ein Konto von Kriminellen in Kasachstan abgezweigt wird. Werden allerdings die Anwender nach einer gewissen Zeit nicht einfach auf die Taste mit dem grünen Häkchen drücken? Dies habe man sich durchaus auch überlegt, entgegnet Dykeman. «Wir unterstützen daher auch Whitelists, auf denen plausible und immer wiederkehrende Kontonummern stehen», erläutert der IBM-Forscher. Diese Transaktionen würden dann vom ZTIC nicht mehr angezeigt. «Von meinen Transaktionen werden etwa 90 Prozent durch die Whitelist abgedeckt», schätzt Dykeman. «Aber vielleicht ist das ja nur so, weil ich so ein langweiliger Typ bin», sagt er schmunzelnd.

Das tönt alles recht simpel. Und das soll es auch sein. Bei der Entwicklung des Geräts habe man bewusst viele Funktionen weggelassen, «die auch noch cool wären», meint Dykeman. «Wir lehnten Anfragen von unseren Kunden ab, weitere Funktionen einzubauen. Denn unser grösster Vorteil ist die Einfachheit.» Ausdruck dieser Einfachheit ist beispielsweise die Kommunikation zwischen PC und dem ZTIC. «Wir zeigen dem PC dabei nur ein File, das dann für den Datenstrom sorgt», erklärt Dykeman. «Es gib keine Pointer im Datenstrom, die in einen anderen Bereich verweisen würden.» Dadurch sei die Angriffsfläche sehr klein. Jede weitere Funktion sei somit Gift. «Sobald man anfängt, diese beschränkte Anzahl von Befehlen zu erhöhen, öffnet man das nun ziemlich geschlossene System.»

Die jüngste Generation von E-Banking-Devices wird zurzeit ausgeliefert und soll zumindest in den nächsten Wochen und Monaten zur Verfügung stehen. Laut Dykeman ist ZTIC nun ausgereift und könnte bereits in den kommenden Monaten von Banken ausgeliefert werden.

Der CLX.Sentinel wird bereits genutzt. Laut Avedik liefern die St. Galler, Thurgauer und Luzerner Kantonalbank den Sicherheits-Stick an Kunden aus. Aber auch jeder andere E-Banking-Kunde kann mit dem CLX.Sentinel loslegen. «Wir erkennen derzeit gut 800 E-Banking-Portale», sagt der Crealogix-Mann. Der Sentinel kostet 139 Franken. Im ersten Jahr sind Sicherheits-Updates inbegriffen. Danach verlangt Crealogix 19 Franken für jedes weitere Jahr.

Den PC absichern zu wollen, um diesen fit zu machen für risikofreies E-Banking, scheint von Security-Spezialisten nicht mehr angestrebt zu werden. Vielmehr werden derzeit Devices entwickelt, die eine grösstmögliche Unabhängigkeit von PC und Browser erlangen. Denn nicht nur der Rechner selbst, sondern auch der Browser ist zu einem hochkomplexen System mutiert, das Angriffsflächen für Hacker bietet. Dies ist umso bedenklicher, als er weltweit 1,4 Milliarden Mal pro Tag verwendet wird.