Schutz vor Passwort-Spionage

Aber gehört der Rechner am anderen Ende der Verbindung auch wirklich der Bank? Mit einer neuen Sicherheitsinitiative will die Arge Daten Benutzer dazu bringen, dies vor der Anmeldung zu überprüfen. Gleichzeitig übt die Organisation auch Kritik an den mangelhaften Informationen der Banken.

Damit das Internetbanking über eine verschlüsselte und daher sichere Datenverbindung stattfindet, muss die Bank über ein so genanntes Sicherheitszertifikat, einer Art digitaler Ausweis, verfügen. Erst dieses ermöglicht, dass man vor Übeltätern geschützt per https auf die Kontodaten, etc. zugreifen kann. Mittlerweile wird aber auch dieser Mechanismus von geschickten Angreifern missbraucht. Die Arge Daten rät Anwendern daher, vor der Anmeldung die Sicherheitsmerkmale des Zertifikats der Gegenstelle zu überprüfen. Eine regelmäßige Prüfung bietet laut den Betreibern der Initiative praktisch völligen Schutz vor Phishing-Attacken.

Damit die wichtigsten Merkmale wie Ablaufdatum, Name des Antragstellers und Fingerabdruck durch den Anwender einfach überprüft werden können, bietet die Arge Daten eine entsprechende Anleitung zum Herunterladen an. Weiters publiziert sie auch eine Liste der Merkmale der wichtigsten Banken, inklusive dem wichtigen und eindeutigen „Fingerabdruck“ auf einer eigenen Webseite.

Kritik übt Hans G. Zeger von der Arge Daten bei vielen Banken am Identitätsnachweis innerhalb des verwendeten „digitalen Ausweises“. Oft enthalten die verwendeten Zertifikate laut Zeger nicht die Firmendaten der Bank, sondern jene von Service-Firmen, aber auch Daten von Fremdbanken oder veraltete Firmenbezeichnungen. Für Konsumenten ist, so die Arge Daten in einer Aussendung, oft nicht erkennbar, ob es sich nun um ein Echt- oder doch um ein nachgeahmtes Zertifikat eines Angreifers handelt.