Sicheres Verhalten bei finanziellen Transaktionen über das Internet
Sichere Finanztransaktionen Damit die Sicherheit gesamthaft gewährleistet ist, müssen 3 Bereiche dazu beitragen: 1. Der Mensch 2. Der Computer 3. Das Finanzinstitut
Sichere Finanztransaktionen 1. Der Mensch Das grösste Sicherheitsrisikon ist der Mensch. Durch sein Verhalten und seine ev. fehlende Aufmerksamkeit können ihm kriminelle Organisationen Schaden zufügen.
Schwachpunkt 1: Passwörter Ein erstes Risiko sind unsichere Passwörter, die im Verkehr mit Finanzinstituten verwendet werden. Finanzielle Transaktionen am Computer basieren heute immer auf den Einsatz von geheimen Codes, sog. Passwörtern. Auch andere Anwendungen im Internet verlangen oft Passwörter zur Anmeldung
Passwörter Wo ist das Problem mit Passwörtern? Moderne Computer sind so leistungsfähig, dass sie einfache Passwörter in Sekundenbruchteilen durch ausprobieren, erraten können. Wir sind deshalb gezwungen, komplexe Zeichen und Zahlenfolgen für Passwörter zu verwenden. Dies wiederum überfordert unser Gehirn, weil wir viele verschiedene Zeichen/Zahlenfolgen nicht im Kopf behalten können. Sicherheitsspezialisten geben uns folgende Ratschläge:
Passwörter Ein Kennwort sollte: Allgemeine Regeln mindestens 8 bis 10 Zeichen umfassen; je mehr desto besser sich aus Zahlen, Satzzeichen und Sonderzeichen zusammensetzten Darf nicht im Duden oder einem andern Wörterbuch nachgeschlagen werden können. Keine Namen von Familienmitgliedern und Haustieren, oder Zahlen von Autonummern oder Geburtstagen enthalten Zeichenfolgen wie 12345, asdf, lkjh oder aaaa unbedingt vermeiden
Passwörter Durch Befolgung obiger Regeln ergeben sich dann Passwörter von der Form: purt5(%ghvc*mn$86 Solche Passwörter kann man nicht auswendig lernen und sie sind fehleranfällig bei der Eingabe
Passwörter Man kann sich durch Eselsbrücken helfen, indem man von einem gängigen Satz nur bestimmte Zeichen verwendet: Aus dem Satz: Sichere Passwörter sind heute sehr nötig und in 5 Jahren auch lässt sich das Passwort: SPshsnui5Ja ableiten. Den Satz und die Selektionsmethode muss man sich aber genau merken. Dieses Vorgehen ist für ein sog. Masterpasswort praktisch; man muss sich nur diesen einen Satz merken. Mehrere verschiedene Sätze zu merken, kommt sicher falsch heraus.
Passwörter Frage: Brauchen wir immer Passwörter die den obigen Anforderungen genügen? Antwort: NEIN. Es gibt z. B. im Internet viele Webseiten für die auch ein einfaches, gut merkbares Passwort reicht, weil die Verwendung des Passwortes durch eine fremde Person keinen Schaden anrichten kann. Beispiel: Zeitungen (zum Lesen der Druckausgabe am Bildschirm). Falls sie dieses Passwort bei verschiedenen Anmeldungen verwenden wollen, beachten sie, dass oft ein Passwort von mindestens 8 oder 10 Stellen gefordert wird und dass darin mindestens eine Zahl vorkommen muss.
Benutzernamen Zur Identifikation eines Benützers braucht es nicht nur ein Passwort sondern auch einen Benutzernamen. Benutzernamen und Passwort gehören immer zusammen. Der Benutzernamen muss (soll) nicht der richtige Namen des Benützers sein, sondern kann meist frei gewählt werden (sog. Alias-Namen). Allerdings wird von einigen Webseiten die e-mail Adresse als Benutzernamen obligatorisch gefordert. Legen sie sich einen Aliasnamen fest, und verwenden sie immer diesen gleichen Aliasnamen. Wenn sie verschiedene Aliasnamen verwenden, müssen sie diese aufschreiben oder auswendig lernen, was früher oder später zu Problemen führt. Auch beim Benutzernamen wird oft eine Mindestlänge und ein Mix aus Buchstaben, Zahlen und Sonderzeichen gefordert. Wählen sie einen Aliasnamen an dem man sie nicht erkennt, also keine Kombination von Namensteilen.
Merkhilfen Es gibt verschiedene Hilfsmittel zum Merken der Benutzernamen und Passwörter. Eine davon ist Der Browser Moderne Browser bieten die Möglichkeit, Benutzernamen und PW zu speichern. Surft man auf eine Webseite, die eine Anmeldung erfordert, kann sich der Browser den Benutzernamen und das PW merken. Beim nächsten Besuch ist die Eingabe nicht mehr nötig.
Merkhilfen Passwortprogramme Sie sind wie eine Datenbank aufgebaut, die die PW und BN ordnen und speichern. Viele können weitere Anmeldeinfos direkt in die Webfelder einfüllen. Das PW-Programm wird mit einem Masterpasswort geschützt und alle Daten sind sicher verschlüsselt. Passwortprogramme sollen helfen, mit der Vielzahl der PW und Benutzernamen zu Recht zu kommen und gleichzeitig sichere PW s zu generieren.
Beispiel Passwortprogramm http://www.roboform.com/de/
Passwortprogramme Das erstmalige Aufsetzten eines Passwortprogrammes erfordert einigen Aufwand. Es ist empfehlenswert, die Programmversion für den USB-Stick zu verwenden, da sie auf beliebigen Computern verwendet werden kann. Oft können in Passwortprogrammen auch andere Angaben wie Bancomat PW, Postomat PW und Kreditkartendaten gespeichert werden.
Vergessene Passwörter Passwörter zum Surfen: o Wenn man einen Benutzernamen oder ein Passwort nicht mehr weiss, bieten die Webseiten meist die Möglichkeit, sich ein neues Passwort zusenden zu lassen. o Das geht meist via e-mail oder auch via SMS über das Handy. o Mit diesem neuen Passwort, das meist nur eine kurze Zeit gültig ist, hat man den Zugang wieder und kann in Ruhe ein neues PW einrichten.
Empfehlung für Passwörter Vermutlich ist eine Kombination aus der Speicherung im Browser für unwichtige Anmeldungen und einem Passwortprogramm für wichtige Anmeldungen wie Telebanking in die praktischste Lösung. Wer eine Passwortliste brauchen will, muss wissen, dass das Notieren des Passwortes bei vielen Bankinstituten nicht erlaubt ist.
Schwachpunkt 2: Phishing Phishing: der Begriff ist ein englisches Kunstwort das von Passwort und fishing, das «Angeln nach Passwörtern mit Ködern», hergeleitet ist. Phishing bedeutet die Vortäuschung falscher Namen, Internetseiten oder Adressen zum Zweck des Betrugs und zur Einschleusung von Malware. Die Malware kann über Internetseiten oder e-mails eingeschleust werden. Phishing ist heute ein sehr verbreiteter Angriff auf die Sicherheit.
Phishing Sehr geehrter Kunde, Beispiel eines Phishing-mails: Die UBS wird eine viel Aufmerksamkeit und Sorgfalt für die Sicherheit und Integrität aller unserer Bankkonten. Wir sollten hiermit möchte Sie bitten, folgendes zu beachten: Im vergangenen Jahr, UBS, zusammen mit vielen anderen Schweizer Banken, das Ziel der weit verbreiteten Internet-Betrug. Deshalb haben wir in den letzten Monaten auf den Markt ein großes Projekt zur Internetkriminaliät zum Leben zu bekämpfen. Alle Online- Bankkonten sollten mit einem neu entwickelten Sicherheits-System, verdächtige Bewegungen und Progressionen auf Ihrem Online-Bankkonto erkennen und sofort zu beheben kombiniert werden. Zu Ihrer Sicherheit wurde zu Ihrem Online-UBS-Konto verursacht worden war mit dem neu entwickelten Sicherheits-System eingestellt. Bitte nehmen Sie sich 5-10 Minuten, um das Sicherheits-Update abzuschließen. Deshalb nutzen Sie bitte den folgenden Link:hier klicken Nach dem Update wird ein Mitarbeiter der UBS Ihnen in Verbindung setzen, um den gesamten Prozess zu diskutieren und zu vervollständigen. Wenn der Prozess abgeschlossen ist, sind Sie wie gewohnt Online-Banking bei der UBS zu verwenden. Wir danken Ihnen im Voraus für Ihre Kooperation. Mit freundlichen Grüßen, UBS 1998-2012. Alle Rechte vorbehalten.
Phishing Wodurch fallen Phishingmails auf: 1. Schlechtes Deutsch 2. Aufforderung z.b. eine PIN oder eine Kontonummer einzugeben 3. Auf einen Link zu klicken
Phishing Beim Phishing ist gut zu wissen, dass Banken, Online-Shops usw. nie wichtige Daten über E- Mail abfragen. Solche E-Mails sollten einfach ignoriert werden. Wenn man sich nicht sicher ist, ob die jeweilige E-Mail echt ist oder nicht, kann man ja noch immer bei der Hotline der Bank, des Online-Shops usw. anrufen.
Ratschlag 1 Seien sie sehr, sehr aufmerksam. Lesen sie genau und überlegen sie bevor sie etwas machen
Weitere Ratschläge Öffnen Sie keine e-mail die Ihnen komisch vorkommt. Vertrauen Sie auf ihr Bauchgefühl und löschen Sie diese ohne anzuschauen. Phishing-Mails sind meistens so aufgemacht, dass Sie auf der einen Seite ihr Interesse wecken, auf der anderen Seite aber einen Abwehrreiz auslösen. Das sieht dann so aus, dass Sie entweder eine Mail mit einer Rechnung bekommen, von der Sie nichts wissen oder man lockt mit Fotos die eher im Bereich der Erwachsenenbildung anzusiedeln sind. Manchmal ist auch einfach nur ein Link zu einer vertrauten Webseite enthalten. Durch den Aufruf der Webseite wird dann über ihren Browser eine Schadsoftware geladen. Beim nächsten Neustart befindet sich die Software dauerhaft im System und beobachtet sämtliche Kontobewegungen sobald Sie sich bei Ihrer Bank anmelden.
Weitere Ratschläge Seien Sie misstrauisch, wenn Ihr Konto für kurze Zeit nicht verfügbar ist und rufen Sie bei Ihrer Bank an. Das gleiche gilt, wenn Sie beim Login-Prozess darum gebeten werden wegen einer technischen Störung oder wegen dem Upgrade der Webseite eine TAN einzugeben
Der Computer Ein Computer kann durch Programme die von aussen eingeschleust werden unsicher werden. Programme die für den Computer schädlich sind, werden unter dem Oberbegriff Malware (Wort aus malicious und Software) zusammengefasst. Malware wird entwickelt, um beim Benutzer unerwünschte und/oder schädliche Funktionen auszuführen.
Der Computer Wie funktioniert Malware? Malware wird über infizierte Internetseiten oder bösartige Werbeeinblendungen auf eigentlich vertrauenswürdigen Seiten, verteilt. Nach der Infektion verstecken sich sog. Trojaner vor dem Anwender und übernehmen später die Kontrolle über den Computer
Schadsoftware Einige Beispiele: Viren: älteste Art von Malware. Viren kopieren sich selbst in verschiedenste Programme. Wurm: ählich wie Virus, verbreitet sich aber über Netze (Internet) Trojanische Pferde oder kurz Trojaner: ist eine Kombination von einem (scheinbar) nützlichen Programm mit einem bösartigen Teil oft Spyware genannt. Spyware und Adware sind Programme die das Verhalten des Benützers ausspioniere oder unerwünschte Werbung einschleusen.
Schadsoftware Scareware sind Programme, die darauf angelegt sind, den Benützer zu verunsichern und ihn zum Kauf von unnützer Software zu bewegen. Beispiel: gefälschte Warnmeldung dass der Computer von Viren befallen sei und dass eine käufliche Software dies beheben kann. Backdoor: Eine durch Viren, Würmer etc. Eingeschleuste Funktion, welche die vorhandenen Schutzprogramme wie Virenscanner umgeht, und den Computer zugänglich macht. Keylogger: ist eine Software (kann auch Hardware sein), die Eingaben des Benutzers an einem Computer mitzuprotokollieren und dadurch zu überwachen oder zu rekonstruieren versucht. Eingaben wie Passwörter, sind dadurch gefährdet.
Malware Woher kommt die Malware? Die ersten Viren wurden von Informatikstudenten programmiert und erzeugten nur lustige Bilder auf dem Bildschirm oder andere harmlose Effekte. Heute sind die Ersteller von Malware kriminelle Organisationen die es auf Finanztransaktionen und Kontoinformationen abgesehen haben.
Erkennen von Malware Auf ungewöhnliches Verhalte des Computers achten: Meldungen des Betriebssystems nicht ignorieren (wegclicken) Läuft der Rechner plötzlich langsamer, kann das ein Grund sein, dass unerwünschte Mitfahrer (Malware) an Bord sind. Ist plötzlich die Antivirensoftware oder die Firewall ausgeschaltet, könnte ein Schadprogramm den Schutz manipuliert haben. Das gleiche gilt für die automatischen Updates zum Betriebsystem.
Schutz Wie schütze ich meinen Computer? 1. Eingeschränkte Zugriffsrechte verwenden: nur in Ausnahmefällen als Administrator arbeiten 2. Software aktuell halten: alle Betriebsystem-Updates durchführen 3. Veraltete, unsicher Software desinstallieren 4. Anitvirensoftware verwenden und immer automatisch aktualisieren 5. Firewall einschalten 6. Von Zeit zu Zeit einen kompletten Virensuchlauf durchführen (alle 14 Tage) 7. Sensible Daten verschlüsseln 8. Sicherungskopien erstellen. http://www.pcwelt.de/news/2_programme_verursachen_78_prozent_aller_schwachstellen- Patchen_leicht_gemacht-8101631.html
Schutz Welche Betriebsysteme sind besonders anfällig für Schadsoftware: Microsoft Windows. Weit verbreitet, bei Computerspezialisten sehr bekannt, viele Schwachstellen sind bekannt. Apple OS. Weniger verbreitet, weniger bekannt. Linux: am wenigsten verbreitet, Aufwand für Malwarehersteller nicht sehr lohnend. Je weiter verbreitet, desto anfälliger; also Windows PC s sind am meisten gefährdet.
Schutz Nach dem Durchführen von Finanztranaktionen: Löschen des Cachespeichers Löschen des Verlaufes in IE, Firefox, Chrome: https://support.google.com/accounts/answer/32050?hl=de Oder Google «cache leeren»
Schutz Auf welchen Computern soll ich Finanztransaktionen machen? eigener PC: ja PC eines Bekannten: nein öffentlicher PC: nein
Sichere Verbindung Finanztransaktionen, seien es nun Telebanking oder Kreditkartentransaktionen, werden immer über eine sichere Internetverbindung getätigt. Die Anmeldeseite der Bank muss mit https beginnen. Das s steht für eine sog. SSL-Verbindung, die für die Dauer der online Sitzung für eine gesicherte, verschlüsselte Übertragung zwischen Computer und Bank sorgt. Für die Verschlüsselung steht oft auch ein kleines Vorhängeschlosssymbol.
Schutz ihrer Zugangsdaten Schützen sie ihre Zugangsinformationen und Medien: PIN und die Liste der Transaktionsnummern (TAN) Zugangsmedium zum Online Banking (z.b. Chipkarte, Rechner) Ihre Passwörter Und nie, aber wirklich nie, PIN oder TAN preisgeben ausser beim Einlogg-Vorgang.
Falsche Gründe zum Einloggen Alle allenfalls als Grund angegeben Ereignisse, die sie zum einloggen auffordern, wie Angebliche Kontoentsperrung Quittierung eines Sicherheitshinweises Wegen Wartungsarbeiten Vermeintlicher zusätzlicher Sicherheitsmassnahmen sind Fallen, um an ihre Daten zu kommen.
Die Sicherheit von Betriebsystemen Wir wissen aus dem Computeralltag, dass die Hersteller von Betriebssystemen immer wieder sog. Sicherheitslücken reparieren müssen. Die Betriebsysteme unterscheiden sich in ihrer Sicherheit: Microsoft Windows: viele entdeckten Lücken Apple OS: relativ wenige Lücken Linux (z.b. Ubuntu): ganz wenig Lücken. Möglichkeit: Für sichere Finnaztransaktionen ein anders Betriebsystem starten, z. B. Ubuntu.
Spam Noch ein Wort zum Spam: Spam ist sicherheitstechnisch harmlos aber lästig. Spam oder auch Junk genannt, was so viel wie Müll bedeutet, sind unerwünschte Nachrichten die der Empfänger unverlangt erhält und häufig werbenden Inhalt trägt. Fast jeder hat schon mal welche gehabt, die Allgemeinheit empfindet sie nur als störend aber nicht gefährlich Wie kann man sich gegen sie schützen? -Nervige E-Mails die immer vom gleichen Absender stammen, kann man auf die Spamliste setzen. Einfach auf das Symbol neben der jeweiligen E-Mail klicken. Dadurch kommen beim nächsten Mal Nachrichten von dieser Adresse gar nicht mehr in den Posteingang -Wenn die Spam immer von verschiedenen Sendern stammt würde ich empfehlen, die E-Mail Adresse zu ändern. Gut ist auch zwei E-Mail Adressen zu besitzen: Eine für deine Freunde und eine um dich auf einer Seite zu registrieren. -Bei kleineren Mengen an Spam kann es auch reichen die Spammail einfach zu löschen. WICHTIG ist, dass man nicht auf Spam antwortet, sonst bekommt man oft noch mehr, weil dann die Spam-Versender wissen, dass die E-Mail Adresse aktiv ist. -Es gibt auch spezielle Spamfilter, jedoch können sie manchmal mit ihren Ansichten, was Spam ist und was nicht, sehr falsch liegen. Spamfilter legen vermeintlichen Spam im Junk-Ordner ab. Dort kann man sie lesen und entscheiden ob es Spam ist.
Internetzahlungen mit der Kreditkarte Grundsätzliches zu Kreditkarten: Kreditkarten sind auch ausserhalb des Internets mit Risiken behaftet: das Bezahlen in Läden und Restaurants ist schwach gesichert. Im Internet ist die Kreditkarte (resp. das damit verbundene Zahlen) nicht mehr wegzudenken. Die Sicherheit steht und fällt mit der Kreditwürdigkeit des Partners.
Internetzahlungen mit der Kreditkarte Technisch muss der Verkehr gleich abgesichert sein wie bei Banktransaktionen: verschlüsselt Also auf das https und das Vorhängeschlosssymbol achten. Weil sich im Internethandel viele Transaktionen wiederholen, bieten viele grosse Firmen an, die Kreditkartendaten bei sich zu speichern, so dass man sich anschliessend nur noch mit einem Benutzernamen und einem Kennwort ausweisen muss, um eine Zahlung auszulösen. Die ist ein vertretbarer Weg, weil es bei solchen Zahlungen meist um kleine Beträge geht.
Gespeicherte Kartendaten Ob man zulassen soll, dass die Firma meine Kreditkartendaten speichern darf, hängt wieder von der Kreditwürdigkeit des Partners ab. Viele grosse Internetplayer bieten dieses System an. Microsoft Apple Google Amazon
Gespeicherte Kartendaten Auch grosse Nicht-Internetfirmen benützen dieses Zahlsystem SBB Post Orell Füssli Digitec Hotels Veranstaltungen wie Konzerte, Theater etc.
Gespeicherte Kartendaten Das Renommée dieser Firmen würde beschädigt, wenn sie die anvertrauten Daten nicht sicher behandeln würden. Jede Transaktion wird ausserdem sofort mit einer Abrechnung per e-mail dokumentiert.
Sicherheit bei Banken und Kreditkarten Die Banken und Kreditkartenfirmen sind der dritte Partner für die Gesamtsicherheit. Sie stellen das zu verwendende Sicherheitssystem und die nötige Sicherheitshardware (Chipkarten, TAN Rechner) zur Verfügung. Im Laufe der Zeit wurden die Systeme durch den Einsatz von Chipkarten, den Einbezug von Smartphones in den Anmeldevorgang und Verschlüsselungen immer betrugssicherer Die Technik steht nicht still aber leider rüsten auch die Betrüger technisch auf.
Sichere Finanztransaktionen Noch eine letzte Bemerkung: Wickeln sie Bankgeschäfte (noch) nicht mit Tabletts und Smartphones ab. Diese Geräte hinken im Moment bezüglich Sicherheit den PC s noch hinten nach.
Sichere Finanztransaktionen Besten Dank für ihre Aufmerksamkeit