Sensibilisierter Anwender
Der sensibilisierte Nutzer versucht im Rahmen seiner Möglichkeiten die nötige Sorgfalt an den Tag zu legen. Mehr kann eine Bank von ihren Kunden kaum erwarten. Daraus erfolgt der optimale Kunde dem man keine zusätzlichen Steine in den Weg legen möchte.
- kennt die Sicherheitsrisiken und möchte sich dagegen schützen
- nutzt und aktualisiert Virensoftware, Firewall
Leichtsinnige Anwender
Der leichtsinnige Nutzer ist sich nicht Bewusst welche Gefahren beim Homebanking bestehen und vernachlässigt damit die Absicherung seines Computersystems.
- Keine Firewall, Antivirensoftware oder
- Firewall, Antivirensoftware wird nicht gepflegt
- Keine oder unzureichende Kenntnisse über Sicherheitslücken
Phishing
- setzt sich aus Password und fishing zusammen und bedeutet soviel wie „nach Passwörtern angeln“
- Aufforderung per E-Mail mit seinem Kreditinstitut Kontakt aufzunehmen
- Link mit gefälschter Web-Site – E-Mail
- Aufforderung Eingabe: Kontonummer, Passwort, Tan
Pin Tan
- SSL Verschlüsselt
- Für leitchtsinnige User hohes Sicherheitsrisiko, Weitergabe Benutzerdaten per E-Mail
- Für sensibilisierte User besteht kaum Sicherheitsrisko, keine leichtsinnige Eingabe von Benutzerdaten
ITan
- SSL Verschlüsselt
- Für unerfahrene User geringes Risiko, da es relativ unwahrscheinlich ist das gerade diese Pin/ITan bei der nächsten Transaktion abgefragt wird
- Für sensibilisierte User kaum Sicherheitsrisko
Mobile Tan (Tan per Sms)
- SSL Verschlüsselt
- Für unerfahrene User geringes Risiko, da die Tan per Sms zugesandt wird und nur für die aktuelle Onlinebankingsession gültig ist
Smart Tan Tan
- SSL Verschlüsselt
- Für unerfahrene User hohes Sicherheitsrisiko, Tan Liste wird nur durch Kartenleser zur Erstellung einer Tan ersetzt. Vorteil gegenüber Pin Tan: Nur die aktuell erstelle Tan ist gültig die zuvor erstellten und nicht verwendeten Tans verfallen.
E-Pad (Eingabe erfolgt nicht über Tastatur sondern über Maus, interaktive Tastatur Monitor)
- es wird das einfache Pin Tan Verfahren genutzt
- bietet keinen extra Schutz vor Phishing
HBCI-Pin-Tan
- Für unerfahrene User besteht geringeres Risiko zum einfachen Pin-Tan Verfahren da Sie nicht gewöhnt sind die Tan online einzugeben sondern ihre Homebankingsoftware nutzen
- Für sensibilisierte User besteht kaum Sicherheitsrisiko, Gewöhnung an Homebankingsoftware bietet zusätzlichen Schutz
HBCI (Diskette, USB Stick, Chipkarte)
- keine Tan verfügbar zum „abfischen“
- User sind die Kartennutzung bei Bankkontakten gewöhnt
- User sind an Homebankingsoftware gewöhnt
TAN plus/Challenge Response
- Das Verschlüsselungsgerät Digipass (Token) ersetzt die bisher verwendeten TAN-Listen
- generiert nach Eingabe der bankseitig erzeugten Zahlenfolge (Challenge) den entsprechenden Zahlencode (Response) zur Bestätigung.
- Der Token ist einem Benutzer zugeordnet.
- Keine Tan zum abfischen
Trojaner/Keylogger
- Ein scheinbar nützliches Programm hat ein anderes Programm implementiert
- Dieses Programm installiert sich im Hintergrund
- Passwörter und andere vertrauliche Daten ausgespäht, verändert, gelöscht oder bei der nächsten Datenübertragung an den Angreifer verschickt werden
- Dieser "Datendiebstahl" bleibt in der Regel unbemerkt, weil im Gegensatz zum Diebstahl materieller Dinge nichts fehlt
- Keylogger wird meist mit einem Trojaner kombiniert um die Tastatureingaben mitzuprotokollieren
Pin/Tan
- SSL Verschlüsselt
- Leichtsinnige User hohes Sicherheitsrisiko, da Benutzerkennung, Passwort, Tan vor der SSL Verschlüsselung abgefangen werden können und an den „Hacker“ gesandt werden
- Für sensibilisierte User besteht kaum Sicherheitsrisiko, in den meisten fällen entdeckt die aktuelle Antivirensoftware den Trojaner/Keylogger. Firewall kann die anfrage des Trojaners sperren.
ITan
- SSL Verschlüsselt
- Für leichtsinnige User geringes Risiko, Benutzerdaten werden an Hacker versand aber es ist relativ unwahrscheinlich das bei der nächsten Überweisung nach dieser ITan gefragt wird
- Sensibilisierte User besteht kaum Sicherheitsrisiko, Computer wird per Antivirensoftware, Firewall geschützt und es ist unwahrscheinlich das diese ITan bei der nächsten Überweisung abgefragt wird
Mobile Tan
- SSL Verschlüsselt
- Für leichtsinnige User geringes Risiko, Benutzerdaten werden an Hacker versand aber Tan ist nur für diese Session gültig.
Smart Tan Tan
- SSL Verschlüsselt
- Für leichtsinnige User hohes Sicherheitsrisiko, Tan Liste wird nur durch Kartenleser zur Erstellung einer Tan ersetzt. Vorteil gegenüber Pin Tan: Nur die aktuell erstelle Tan ist gültig die zuvor erstellten und nicht verwendeten Tans verfallen.
- Sensibilisierte User besteht kaum Sicherheitsrisiko, Computer wird per Antivirensoftware, Firewall geschützt
E Pad
- es besteht kaum Sicherheitsrisiko da die Daten per Maustaste-virtuelle Tastatur eingegeben werden
TAN plus/Challenge Response
- Das Verschlüsselungsgerät Digipass (Token) ersetzt die bisher verwendeten TAN-Listen
- generiert nach Eingabe der bankseitig erzeugten Zahlenfolge (Challenge) den entsprechenden Zahlencode (Response) zur Bestätigung.
- Der Token ist einem Benutzer zugeordnet.
- Wie sicher ist es gegen Trojaner?
HBCI Pin Tan
- Leichtsinnige User hohes Sicherheitsrisiko, da Benutzerkennung, Passwort, Tan vor der SSL Verschlüsselung abgefangen werden können und an den „Hacker“ gesandt werden
- Für sensibilisierte User besteht kaum Sicherheitsrisiko, in den meisten fällen entdeckt die aktuelle Antivirensoftware den Trojaner/Keylogger. Firewall kann die anfrage des Trojaners sperren.
HBCI ( Diskette, USB Stick)
- geringes Risiko durch trojanische Pferde bei Windowsusern da Schlüsselkopie möglich
HBCI Chipkarte
- sehr, sehr geringes Risiko bei Lesern ab Kl.2, da keine Kopie erstellt werden kann und 3x falsche PIN zur Zerstörung der Karte führt
Pharming (DNS Spoofing)
- Kunde gibt korrekte Adresse des Kreditinstituts ein
- Entweder DNS-Server manipuliert (alle Kunden der BankX werden auf die Fake-Seite umgeleitet)
- Host Datei auf lokalen Rechner manipuliert (Die Host Datei beinhaltet eine Tabelle mit den meist genutzten IP Adressen, damit es nicht nötig wird einen DNS Server zu kontaktieren um Internet Adressen in IP Adressen umzuwandeln)
- Kunde wird auf Fake Seite umgeleitet
Pin Tan
- SSL Verschlüsselt
- Für leitchtsinnige User hohes Sicherheitsrisiko
- Für sensibilisierte User besteht kaum Sicherheitsrisko
ITan
- SSL Verschlüsselt
- Für unerfahrene User geringes Risiko, da es relativ unwahrscheinlich ist das gerade diese Pin/ITan bei der nächsten Transaktion abgefragt wird
- Für sensibilisierte User kaum Sicherheitsrisko
Mobile Tan (Tan per Sms)
- SSL Verschlüsselt
- Für unerfahrene User geringes Risiko, da die Tan per Sms zugesandt wird und nur für die aktuelle Onlinebankingsession gültig ist
Smart Tan Tan
- SSL Verschlüsselt
- Für unerfahrene User hohes Sicherheitsrisiko, Tan Liste wird nur durch Kartenleser zur Erstellung einer Tan ersetzt. Vorteil gegenüber Pin Tan: Nur die aktuell erstelle Tan ist gültig die zuvor erstellten und nicht verwendeten Tans verfallen.
E-Pad (Eingabe erfolgt nicht über Tastatur sondern über Maus, interaktive Tastatur Monitor)
- es wird das einfache Pin Tan Verfahren genutzt
- bietet keinen extra Schutz vor Phishing
TAN plus/Challenge Response
- Das Verschlüsselungsgerät Digipass (Token) ersetzt die bisher verwendeten TAN-Listen
- generiert nach Eingabe der bankseitig erzeugten Zahlenfolge (Challenge) den entsprechenden Zahlencode (Response) zur Bestätigung.
- Der Token ist einem Benutzer zugeordnet.
- Keine Tan zum abfischen
HBCI-Pin-Tan
- Für unerfahrene User besteht geringeres Risiko zum einfachen Pin-Tan Verfahren da Sie nicht gewöhnt sind die Tan online einzugeben sondern ihre Homebankingsoftware nutzen
- Für sensibilisierte User besteht kaum Sicherheitsrisiko
HBCI (Diskette, USB Stick, Chipkarte)
- keine Tan verfügbar zum „abfischen“
- User sind an Bankkontakt mit Karte gewöhnt
- User sind an Homebankingsoftware gewönt
Habe ich irgendwo grobe Fehler gemacht? Würdet ihr "Men in the middle angriff" auch aufnehmen?
Und wie kann ich die Gefahren am besten gewichten um eine Art Nutzwertanalyse zu erstellen?