Sie sind hier: Home » Markt » Tipps & Hinweise

120427_mar_tip_bitkom

Rubrik: Markt/Tipps und HinweiseBetrug beim Online-Banking: Bitkom kommentiert Urteil des Bundesgerichtshofs zur Haftung und gibt Sicherheits-Tipps für Bankkunden28 Millionen Deutsche führen Konto im Internet - 5.300 Phishing-Fälle in Deutschland, Tendenz steigend(27.04.12) - Bankkunden können beim Online-Banking keinen Schadenersatz verlangen, wenn sie die erforderliche Sorgfalt außer Acht lassen und dadurch auf Betrüger hereinfallen. So hat - in Kurzform - der Bundesgerichtshof geurteilt. Bitkom-Sicherheitsexperte Lutz Neugebauer sagte dazu: "Beim Online-Banking sollten Kunden auf drei Dinge achten: Das sicherste Überweisungsverfahren ihrer Bank wählen, aktuelle Sicherheitssoftware einsetzen und gesunde Vorsicht walten lassen. Dann bietet Online-Banking ein sehr hohes Sicherheitsniveau."In Betrugsfällen gibt es laut Bitkom eine Chance auf Schadenersatz, wenn der Kunde entsprechende Vorsichtsmaßnahmen belegen könne. In dem jetzt verhandelten Fall hatte ein Bankkunde trotz einer Warnung der Bank zehn Transaktionsnummern auf einmal eingegeben.Zurzeit nutzen rund 28 Millionen Deutsche Online-Banking. Das Bundeskriminalamt meldete in seiner Statistik für das Jahr 2010 rund 5.300 Phishing-Fälle in Deutschland, Tendenz steigend.Hier die wichtigsten Tipps des Bitkom gegen Angriffe von Betrügern:1. Gesunde Vorsicht bei E-MailsBanken bitten ihre Kunden nie per E-Mail, vertrauliche Daten im Netz einzugeben. Diese Mails sind immer gefälscht: Am besten sofort löschen. Das gleiche gilt für dubiose E-Mails von Unbekannten vor allem, wenn eine Datei angehängt ist. Dahinter könnte ein Schadprogramm stecken, zum Beispiel ein Phishing-Trojaner. Solche verdächtigen Dateien auf keinen Fall öffnen! Auch dann nicht, wenn in der E-Mail mit einer Kontosperre gedroht wird. Solche Einschüchterungen zählen zum Arsenal von Betrügern, um Bankkunden unter Druck zu setzen. PC-Nutzer sollten Drohungen ignorieren und Phishing-Mails nie beantworten.2. Den Computer vor Schädlingen schützenEntscheidend ist eine gute Sicherheitsausstattung Ihres Computers. Vor der ersten Internet-Sitzung müssen ein Anti-Viren-Programm und eine Firewall installiert werden, um den PC vor schädlichen Dateien zu schützen. Für diese Schutzprogramme, das Betriebssystem und den Internet-Browser werden regelmäßig Aktualisierungen angeboten, die auch automatisiert abgerufen werden können. Updates sind umgehend zu installieren. Da Schadsoftware zunehmend über Datenträger wie CDs oder USB-Sticks verbreitet wird, sollten diese vor der Nutzung auf Viren geprüft werden. Öffentliche Computer oder Internet-Cafés sind für Bankgeschäfte wenig geeignet. 3. Vorsicht beim Aufruf der Bank-WebseiteBeim Online-Banking sollte man die offizielle Adresse der Bank immer direkt eingeben oder über eigene Lesezeichen (Favoriten) aufrufen. Maßgeblich ist die Adresse, die die Bank in ihren offiziellen Unterlagen angibt. Die Verbindung zum Bankcomputer muss verschlüsselt sein. Das ist erkennbar an den Buchstaben "https" in der Web-Adresse und einem Schloss- oder Schlüssel-Symbol im Internet-Programm (Browser). Zukünftig erkennen Verbraucher sichere Webseiten auch an einer grün hinterlegten Adresszeile, wenn sich der Betreiber vorab einer unabhängigen Prüfung unterzogen hat.4. Moderne Transaktions-Verfahren nutzenFür Überweisungen und andere Kundenaufträge sind Transaktionsnummern (TANs) nötig. In den Anfängen des Online-Bankings konnten die Nutzer einen solchen Code aus einer Liste frei wählen. Sicherer ist das iTAN-Verfahren, bei dem die Codes nummeriert sind. Ein Zufallsgenerator der Bank bestimmt, welche TAN aus der Liste eingegeben werden muss. Noch weniger Chancen haben Kriminelle beim mTAN-Verfahren: Die TAN wird dem Kunden aufs Handy geschickt und ist nur kurzzeitig gültig. Weitere Schutzverfahren sind chipTAN und HBCI, bei denen der Kunde als Zusatzgeräte einen TAN-Generator oder ein Kartenlesegerät nutzt. PC-Nutzer sollten ihre Bank fragen und das modernste verfügbare Verfahren wählen.5. Mit Geheimzahlen richtig umgehenPasswort (PIN) und Transaktionsnummern nicht auf dem PC speichern. Auch eine automatische Speicherung im Internet-Programm (Browser) ist riskant. Ein frei wählbares Passwort fürs Online-Banking sollte mindestens acht Zeichen lang sein und möglichst aus einer zufälligen Reihenfolge von Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen bestehen. Fürs Online-Banking unbedingt ein separates Passwort wählen - keines, das auch für andere Dienste im Web genutzt wird. Empfehlenswert ist auch, die PIN regelmäßig zu ändern.6. Falls es zu spät ist SchadensbegrenzungNicht immer ist das Geld sofort weg, wenn Kriminelle eine Sicherheitslücke ausgenutzt haben. Opfer sollten zuerst die Bank alarmieren: Wenn eine Phishing-Überweisung nicht lange zurückliegt, kann sie manchmal noch gestoppt oder rückgängig gemacht werden. Entsteht doch ein finanzieller Schaden, unbedingt Anzeige bei der Polizei erstatten. Das ist nötig, um Geld von der Bank zurückzubekommen. Falls der Kunde nicht grob fahrlässig gehandelt hat, zeigen sich viele Banken kulant.Hier noch ein Tipp der Redaktion IT SecCity.de:Es bleibt dabei: Der sicherste Weg, beim Online-Banking keine bösen Überraschungen zu erleben, ist es, kein Online-Banking zu praktizieren. >> Tatsache ist: Die Verantwortung für die Absicherung und Sicherheit von Online-Banking-Aktionen wird nach und nach von der Bank auf den Kunden abgeschoben. Verantwortung = Risiko, das der Kunde trägt.>> Dazu zählt z.B. die Pflicht, sich zu informieren, welche Cyberkriminalitätsattacken gerade in Mode sind und ggf. stets die allerneuesten Warnhinweise einer Bank zu studieren (und zu verstehen), da Online-Trickbetrügereien auch in Zukunft in ihrer Methodik variantenreich bleiben werden. Für ein paar Aktionen Online-Banking im Monat erscheint dies doch ein bisschen viel verlangt - gerade für ein unbedarftes "Frau Lieschen Müller aus Kleinkleckersdorf", der vielleicht ein gewiefter Bankberater das ach so praktische Online-Banking aufgeschwatzt hat.>> Zudem: Das detaillierte Fachwissen um die IT und die Geheimnisse der allerneuesten Methoden von Phishing, Pharming etc. bleibt dem IT-Technik-affinen Nutzer vorbehalten. Die breite Masse ist mehr oder weniger hilflos, was das Know-how um die IT-Sicherheit betrifft. Nicht zu vergessen: Den Überraschungsvorteil hat immer der Trickbetrüger. >> Tatsache ist auch: Ein Kreditinstitut, dass bei 5.000 Euro keine Kulanz zeigt, hat es offenbar nicht nötig, Vertrauen ins Online-Banking zu schaffen, indem es das Risiko auf die Bankseite verlagert (wenigstens das Risiko teilt).Mehr noch: Wenn eine Bank bei einer solchen Summe darauf beharrt, den Fehler beim Kunden zu suchen (und es ihr laut BGH-Urteil auch gelingt, ihn dort zu finden), signalisiert sie, dass sie große Probleme mit Phishing / Pharming-Attacken hat. Hier geht es also nicht um den 5000-Euro-Einzelfall, sondern offensichtlich um sehr hohe Millionenbeträge einer ganzen Branche.Was heißt dies in Konsequenz: Online-Banking ist per se unsicher, ist das Signal der Finanzbranche. Es ist so unsicher, dass die Finanzbranche nicht mehr das Risiko tragen möchte. Und Online-Banking wird, nachdem es immer mehr (IT-naive) Kunden betreiben, logischerweise immer unsicherer. Die Zahl potentieller Opfer nimmt zu, und folglich steigt die Zahl derer, die auf Phishing-Attacken hereinfallen, rapide an. Wären es Einzelfälle, hätte man sich nicht bis zum BGH hochgestritten.Im Übrigen macht es sich der BGH doch sehr einfach, von Fahrlässigkeit beim Kunden zu sprechen, sprich dass dieser die erforderliche Sorgfalt außer Acht gelassen habe. Das setzt voraus, dass jeder, der Online-Banking betreibt, exakt weiß, wann er wo wie und warum welche Art von Sorgfalt walten lassen muss. Wo fängt diese an und wo hört diese auf? Das ist eben nicht so einfach wie die Sorgfaltspflicht, eine Bankkarte und die Geheimnummer getrennt aufbewahren zu müssen. Sorgfalt im IT-Bereich muss eigentlich - wenn es um Cyberkriminalität geht - permanent neu definiert werden. Was heute als sorgfältig gilt, mag morgen schon Schnee von gestern sein. Zudem redet doch gerade die Bankbranche und die IT-Industrie, die mit dem Online-Banking Geld verdient, dem potentiellen Kunden ein, Online-Banking sei ein kinderleichtes und dank neuer Technologien absolut sicheres Geschäft.Was ist die Lehre? - Wer Online-Banking betreibt, ist eigentlich selbst schuld. So traurig dies im Einzelfall auch ist.(Bitkom: itseccity.de: ra)

120420_mar_tip_ironmountain 120427_mar_tip_dsin

Fachartikel

Big Data bringt neue Herausforderungen mit sich
Die Digitale Transformation zwingt Unternehmen sich mit Big Data auseinanderzusetzen. Diese oft neue Aufgabe stellt viele IT-Teams hinsichtlich Datenverwaltung, -schutz und -verarbeitung vor große Herausforderungen. Die Nutzung eines Data Vaults mit automatisiertem Datenmanagement kann Unternehmen helfen, diese Herausforderungen auch mit kleinen IT-Teams zu bewältigen. Big Data war bisher eine Teildisziplin der IT, mit der sich tendenziell eher nur Großunternehmen beschäftigen mussten. Für kleinere Unternehmen war die Datenverwaltung trotz wachsender Datenmenge meist noch überschaubar. Doch die Digitale Transformation macht auch vor Unternehmen nicht halt, die das komplizierte Feld Big Data bisher anderen überlassen haben. IoT-Anwendungen lassen die Datenmengen schnell exponentiell anschwellen. Und während IT-Teams die Herausforderung der Speicherung großer Datenmengen meist noch irgendwie in den Griff bekommen, hakt es vielerorts, wenn es darum geht, aus all den Daten Wert zu schöpfen. Auch das Know-how für die Anforderungen neuer Gesetzgebung, wie der DSGVO, ist bei kleineren Unternehmen oft nicht auf dem neuesten Stand. Was viele IT-Teams zu Beginn ihrer Reise in die Welt von Big Data unterschätzen, ist zum einen die schiere Größe und zum anderen die Komplexität der Datensätze. Auch der benötigte Aufwand, um berechtigten Zugriff auf Daten sicherzustellen, wird oft unterschätzt.
Bösartige E-Mail- und Social-Engineering-Angriffe
Ineffiziente Reaktionen auf E-Mail-Angriffe sorgen bei Unternehmen jedes Jahr für Milliardenverluste. Für viele Unternehmen ist das Auffinden, Identifizieren und Entfernen von E-Mail-Bedrohungen ein langsamer, manueller und ressourcenaufwendiger Prozess. Infolgedessen haben Angriffe oft Zeit, sich im Unternehmen zu verbreiten und weitere Schäden zu verursachen. Laut Verizon dauert es bei den meisten Phishing-Kampagnen nur 16 Minuten, bis jemand auf einen bösartigen Link klickt. Bei einer manuellen Reaktion auf einen Vorfall benötigen Unternehmen jedoch circa dreieinhalb Stunden, bis sie reagieren. In vielen Fällen hat sich zu diesem Zeitpunkt der Angriff bereits weiter ausgebreitet, was zusätzliche Untersuchungen und Gegenmaßnahmen erfordert.
Zertifikat ist allerdings nicht gleich Zertifikat
Für Hunderte von Jahren war die Originalunterschrift so etwas wie der De-facto-Standard um unterschiedlichste Vertragsdokumente und Vereinbarungen aller Art rechtskräftig zu unterzeichnen. Vor inzwischen mehr als einem Jahrzehnt verlagerten sich immer mehr Geschäftstätigkeiten und mit ihnen die zugehörigen Prozesse ins Internet. Es hat zwar eine Weile gedauert, aber mit dem Zeitalter der digitalen Transformation beginnen handgeschriebene Unterschriften auf papierbasierten Dokumenten zunehmend zu verschwinden und digitale Signaturen werden weltweit mehr und mehr akzeptiert.
Datensicherheit und -kontrolle mit CASBs
Egal ob Start-up oder Konzern: Collaboration Tools sind auch in deutschen Unternehmen überaus beliebt. Sie lassen sich besonders leicht in individuelle Workflows integrieren und sind auf verschiedenen Endgeräten nutzbar. Zu den weltweit meistgenutzten Collaboration Tools gehört derzeit Slack. Die Cloudanwendung stellt allerdings eine Herausforderung für die Datensicherheit dar, die nur mit speziellen Cloud Security-Lösungen zuverlässig bewältigt werden kann. In wenigen Jahren hat sich Slack von einer relativ unbekannten Cloud-Anwendung zu einer der beliebtesten Team Collaboration-Lösungen der Welt entwickelt. Ihr Siegeszug in den meisten Unternehmen beginnt häufig mit einem Dasein als Schatten-Anwendung, die zunächst nur von einzelnen unternehmensinternen Arbeitsgruppen genutzt wird. Von dort aus entwickelt sie sich in der Regel schnell zum beliebtesten Collaboration-Tool in der gesamten Organisation.
KI: Neue Spielregeln für IT-Sicherheit
Gerade in jüngster Zeit haben automatisierte Phishing-Angriffe relativ plötzlich stark zugenommen. Dank künstlicher Intelligenz (KI), maschinellem Lernen und Big Data sind die Inhalte deutlich überzeugender und die Angriffsmethodik überaus präzise. Mit traditionellen Phishing-Angriffen haben die Attacken nicht mehr viel gemein. Während IT-Verantwortliche KI einsetzen, um Sicherheit auf die nächste Stufe zu bringen, darf man sich getrost fragen, was passiert, wenn diese Technologie in die falschen Hände, die der Bad Guys, gerät? Die Weiterentwicklung des Internets und die Fortschritte beim Computing haben uns in die Lage versetzt auch für komplexe Probleme exakte Lösungen zu finden. Von der Astrophysik über biologische Systeme bis hin zu Automatisierung und Präzision. Allerdings sind alle diese Systeme inhärent anfällig für Cyber-Bedrohungen. Gerade in unserer schnelllebigen Welt, in der Innovationen im kommen und gehen muss Cybersicherheit weiterhin im Vordergrund stehen. Insbesondere was die durch das Internet der Dinge (IoT) erzeugte Datenflut anbelangt. Beim Identifizieren von Malware hat man sich in hohem Maße darauf verlassen, bestimmte Dateisignaturen zu erkennen. Oder auf regelbasierte Systeme die Netzwerkanomalitäten aufdecken.