MIT SICHERHEIT
Donnerstag, 8. November 2018
| AKTION SICHERHEITSWOCHEN
Das Konto im Netz
SEITE 2
SEITE 3
Die Zukunft der Geldautomaten
Im Test – Was tun, wenn es brennt Foto: Getty Images/iStockphoto
Ob per Computer, Laptop oder Smartphone – Bankgeschäfte mit Überweisungen und Abfrage des Kontostands laufen heute schon bei den meisten Kunden online ab. Doch was ist beim Konto im Netz zu beachten? Welches System ist wirklich sicher? Wovon sollte man lieber die Finger lassen? Unsere Serie gibt heute Antworten auf diese wichtigen Fragen. Dazu bieten wir einen Überblick darüber, was eine gute Bank anbieten sollte und was man von ihr verlangen kann.
2|
MIT SICHERHEIT
DONNERSTAG, 8. NOVEMBER 2018 | NR. 260
SICHERHEITSFRAGE VON KATJA GRIEGER
Transaktionen mit Tücken
Wenn Trennungen gefährlich werden
M
itten unter uns, von vielen aber völlig unbemerkt, gibt es ein riesiges Sicherheitsproblem in diesem Land: häusliche Gewalt gegen Frauen. Jeden dritten Tag wird eine Frau von ihrem Partner oder Ex-Partner getötet, ungefähr genauso viele überleben eine versuchte Tötung. Jedes Jahr zeigen mehr als 100 000 Frauen ihre Männer bei der Polizei an. Das ist aber nur ein Bruchteil der tatsächlich Betroffenen. Jede vierte Frau erlebt mindestens einmal in ihrem Leben Gewalt von ihrem Partner oder ehemaligen Partner. Warum sprechen so viele Frauen mit niemandem über die Verletzungen, Vergewaltigungen, Drohungen und Demütigungen, die sie zu Hause erleben? Leider kann sich eine Frau nicht sicher sein, dass ihre Umgebung hilfreich reagiert. Wenn Betroffene sich aber jemandem anvertrauen, dann ist die Reaktion dieser Vertrauensperson ganz entscheidend. Relativiert sie die Gewalt und gibt der Betroffenen eine Mitschuld? Oder empört sie sich und bietet Unterstützung an? Die Reaktionen der ersten Ansprechpersonen stellen häufig die Weichen dafür, wie es weitergeht. Deshalb können sich auch Bezugspersonen an eine Beratungsstelle wenden und dort besprechen, wie sie helfen können. Ein verbreiteter Irrtum ist, dass in jedem Fall automatisch alles gut wird, sobald sich die Frau vom Partner trennt. Trennungssituationen können für die Betroffenen gefährlich werden, die Gewalt kann sogar noch zunehmen, weil der Mann „seine“ Frau nicht gehen lassen möchte. Gerade wenn es gemeinsame Kinder gibt, hat die Frau oft nicht die Chance, sich in Sicherheit zu bringen, weil trotz der Gewalt ein Umgangsrecht besteht. An dieser Stelle sind Politik und Gerichte gefragt, die Sicherheit von Frauen und Kindern endlich höher zu bewerten als das Umgangsrecht. Es bleibt viel zu tun, bis auch das eigene Zuhause für Frauen ein sicherer Ort ist. Wir alle können dazu beitragen, indem wir auf das Problem aufmerksam machen, uns mit Betroffenen solidarisieren und hinschauen.
Onlinebanking ist bequem – leider auch für Kriminelle, die Daten ausspähen und EC- oder Kreditkarten stehlen und dann Konten plündern. Die Bank kommt nur für den Schaden auf, wenn der Kunde selbst nachweisen kann, dass er nicht unvorsichtig war
50 50 en Herbst vergangenen Jahres wird Bülent K. aus Berlin sicher nicht so schnell vergessen, und das hat nichts mit seinem bestandenen Staatsexamen für das Lehramt zu tun. Nach einem Clubbesuch mit Kollegen und einem Abend mit zwei, drei Bier zu viel stellt der junge Mann fest, dass sein Smartphone verschwunden ist. Und nicht nur das: In der darauf folgenden Woche erfolgt eine Abbuchung von knapp 5000 Euro von seinem Bankkonto auf ein albanisches Konto. Die bislang unbekannten Täter sichern sich das Geld sofort in bar, sie sind über alle Berge und werden vermutlich niemals gefunden werden. Doch Bülent K. hatte Glück im Unglück: Seine Bank, ein großes und renommiertes Kreditinstitut, erstattete ihm den Betrag. Bülent K. konnte nachweisen, dass er in der Herbstnacht nicht grob fahrlässig gehandelt hat. Banken sind gegen solche Betrügereien versichert. Wie lassen sich Schäden beim Onlinebanking dennoch von vornherein vermeiden?
SMARTE GADGETS
Foto: Magnic Microlights
Leuchtende Beispiele für sicheres Fahrradfahren
Smarte Fahrradbeleuchtung bietet allerlei Funktionen, die man ansonsten nur von motorisierten Verkehrsteilnehmern kennt. So können smarte Leuchten etwa einen Richtungswechsel anzeigen und als Blinker beim Abbiegen fungieren. Das geschieht entweder automatisch, über eine am Lenker angebrachte Fernbedienung oder durch Antippen. Durch Aufleuchten signalisieren sie zusätzlich, dass der Fahrer gerade abbremst. Die smarten Gadgets lassen sich entweder rückwärtig am Gepäckträger oder seitwärts an den Haltegriffen befestigen. Wer keine zusätzlichen Gegenstände mit sich herumschleppen möchte, kann sich auch mit blinkenden Handschuhen oder aufleuchtenden Gürteln behelfen. Andere smarte Fahrrad-Gadgets markieren rückwärtig via Laser einen fest abgegrenzten Sicherheitsbereich auf dem Boden, um sonstige Verkehrsteilnehmer auf Abstand zu halten. Smarte Helmkameras regulieren selbstständig und in Abhängigkeit von der Umgebung die Stärke des Lichts und die Ausrichtung des Lichtkegels. Wer sich dann immer noch unsicher fühlt, kann sein Fahrrad mit LED-Beleuchtung bis hin zur rollenden Kirmesbude aufrüsten.
ZAHLEN, BITTE
11
Prozent der Deutschen bewahren ihr Bargeld im Tresor auf. 3 Prozent verstecken Bargeld im Kleiderschrank oder Bücherregal, ein Prozent der Deutschen hat Geld in der Sockenschublade. Quelle: YouGov
Cybercrime-Straftaten machen Deutsche skeptisch Fast 40 Prozent aller Deutschen fühlen sich laut IT-Verband Bitkom unsicher dabei, wenn sie ihren Bank-
Kontostand prüfen Überweisungen tätigen
99 % 92 %
72 % Daueraufträge einrichten/verwalten 43 % Kreditkartenabrechnung prüfen 38 % Benachrichtigungen erhalten (z. B. Geldeingang/Überziehung) 17 % über persönliche Finanzen beraten lassen 14 % ausländische Währungen bestellen
Dänemark
85 %
Niederlande 64 %
Vereinigtes Königreich
40
59 %
Frankreich
49 %
EU-Durchschnitt
43 %
Spanien
39 % 29 %
19 % Griechenland
Prozent der Deutschen haben kein sicheres Gefühl beim Onlinebanking.
53 %
Deutschland
Italien
17 % überwiegend Bankfiliale, gelegentlich Onlinebanking
88 %
Polen
geschäften im Internet nachgehen. Zu groß sind die heutigen Möglichkeiten im Bereich Cybercrime, „bei denen sich Täter ganz bewusst unerkannt im Untergrund verabreden, um diverse Straftaten zu verüben. Dabei gibt es top ausgebildete Experten für quasi alle Bereiche. Sie steuern ihre kriminellen Handlungen als Dienstleistung von jedem denkbaren Ort der Welt aus. Wir nennen das ‚crime as a service‘“, sagt der Osnabrücker Strafrechtler Arndt Sinn. Ein
Onlinebanking oder Filiale
Onlinebanking-Nutzung in Europa
Täter späht dabei potenzielle Onlinebanking-Opfer aus, der andere löst die technischen Herausforderungen, ein dritter Täter kümmert sich um Buchhaltung und Geldflüsse. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft die Gefährdungslage in seinem aktuellen Lagebericht als weiterhin hoch ein. Die Situation habe sich sogar verschärft und sei im Vergleich zu 2017 vielschichtiger geworden: „Es gibt nach wie vor eine hohe Dynamik der
51 % überwiegend Onlinebanking, gelegentlich Bankfiliale
Angreifer bei der Weiterentwicklung von Schadprogrammen und Angriffswegen“, heißt es im Bericht.
Schadsoftware kommt meistens per E-Mail „Auch wenn es natürlich ein riesiger Vorteil ist, von jedem Ort der Welt aus mobil seine Bankgeschäfte abzuwickeln – man sollte sich nicht zu naiv im Internet und beim Onlinebanking bewegen, weder am PC noch auf dem Smartphone. Ein vernünftiger Browser
3 % weiß nicht/k. A.
RND-Grafik; Quelle: bitkom
D
und Frauennotrufe (BFF).
Genutzte Angebote im Rahmen des Onlinebanking
RND-Grafik; Quelle: Eurostat
VON MARCO TRIPMAKER
RND-Grafik; Quelle: Bitkom
Katja Grieger ist Geschäftsführerin des Bundesverbandes Frauenberatungsstellen
EURO
29 % ausschließlich Onlinebanking
wie Apples Safari oder der Windows 10 Edge, eine Firewall oder eine VirtualPrivate-Network-Verbindung (VPN) sollte man sich schon zulegen, um gut geschützt zu sein“, sagt Jörn Weber, Geschäftsführer der Corma GmbH, eines Unternehmens für nationale und internationale Wirtschaftsermittlungen. Zudem sei es dringend angeraten, alle Systeme stets auf dem neuesten Stand zu halten. „90 Prozent der Phishing-Schadsoftware zum Ausspionieren der Transaktionsnummern (TAN)
Geldautomaten werden rar Bargeldloses Bezahlen verdrängt Bankomaten – komplett verschwinden sollen sie aber nicht
E
s gibt nichts mehr zu holen: Immer öfter werden in Deutschland Geldautomaten abgebaut. Die Zahl sinkt stetig. Nach Angaben der Deutschen Kreditwirtschaft (DK), der Interessenvertretung der fünf deutschen kreditwirtschaftlichen Spitzenverbände, zu denen auch der Sparkassen- und Giroverband sowie der Bundesverband der Volks- und Raiffeisenbanken zählen, gab es 2016 noch 60 000 Automaten in der Bundesrepublik; Ende 2017 waren es dagegen nur noch 58 000. Zu teuer und zu unsicher sind die Automaten manchem Geldinstitut. „Beim Betrieb eines Automaten sind Kosten, Erreichbarkeit und Nutzerverhalten der Kunden zu berücksichtigen. Diese Aspekte sind von Standort zu Standort individuell“, sagt ein DK-Sprecher. Manchem Geldinstitut ist das Betreiben eines Automaten mit Aufwendungen bis zu 25 000 Euro jährlich zu kostenintensiv. Zumal Anschläge auf Automaten die Versicherungskosten tendenziell in die Höhe treiben. Außerdem hat bargeldloses Einkau-
58 000 Automaten gab es Ende 2017, ein Jahr zuvor waren es noch 60 000.
fen nicht zuletzt durch den Onlinehandel zugenommen. Der Bedarf, Bargeld abzuheben, geht allgemein zurück. Gerade an SB-Standorten seien mehrere Automaten auf einem Fleck häufig überflüs-
sig, heißt es bei der DK. Dennoch sei die flächendeckende Bargeldversorgung nicht in Gefahr. Komplett verschwinden würden die Automaten auch künftig nicht. Zudem gibt es Alternativen zum Automatengeld. So bieten auch Supermärkte, Drogerien und Tankstellen ihren Kunden an, kostenlos Geld an der Kasse abzuheben. Bei diesem sogenannten CashbackService nennt der Kunde dem Kassierer die Summe, die er ausbezahlt haben möchte. Die Gebühren, die für die Transaktion anfallen, übernehmen die Märkte in der Regel selbst. Da bei Kreditkarten meist höhere Gebühren anfallen, ist das Abheben oft nur mit EC-Karte möglich. Die meisten Geschäfte legen einen Mindesteinkaufswert fest, der mit der Abbuchungssumme verrechnet wird. Ein Sicherheitsrisiko sieht die DK im Abheben an der Kasse nicht: Für Auszahlungen im Einzelhandel würden die gleichen hohen Sicherheitsstandards wie bei anderen Transaktionen gelten. Zudem sei der Einzelhandel mit dem Handling von Bargeld vertraut, heißt es.
Geld gibt es nicht mehr an jeder Ecke.
Foto: Tobias Kleinschmidt/dpa
MIT SICHERHEIT
NR. 260 | DONNERSTAG, 8. NOVEMBER 2018
|
3
IM TEST
Was tun, wenn’s brennt?
Natürlich ist die Sicherheit auch immer abhängig vom Nutzer.
Wasser- oder Pulverlöscher, Löschspray oder Decke – nicht alles taugt gleichermaßen für geschlossene Wohnräume, wenn ein Feuer ausbricht
Nicole Gemperlein, Onlinebanking-Expertin bei der Hamburger Volksbank
RND-Illustration: Patan
E
gelangen über E-Mail auf unsere Systeme. In diesem Bereich gilt es, ganz besonders aufmerksam zu sein, damit Täter nicht PC oder Handy kapern können. Auch der TAN-Block in der Schublade ist im Falle eines Einbruchs nicht gerade ideal“, sagt Weber. Eine besonders beliebte Masche: Kriminelle lassen sich, inspiriert von Telefonrechnungen von Mobilfunkgesellschaften, Zweitkarten für Smartphones zuschicken, haben dann Zugriff auf mobile TAN und können in kürzester Zeit komplette Konten plündern. Mittlerweile reagieren Telefongesellschaften offenbar sensibler, wenn es um derartige Anforderungen geht. Eine weitere Vorgehensweise: Mit nahezu perfekt gebauten OnlineFakes der Log-in-Masken von Banken versuchen Kriminelle ebenfalls, sensible Kundendaten zu generieren. Ihr Ziel ist es stets, möglichst viel Geld abzuschöpfen und dieses schnell ins Ausland zu transferieren. „Dabei müssen es nicht immer riesige Summen sein, die diese Banden erbeuten. Sie starten parallel mehrere IT-Angriffe – die Masse macht’s. Bricht den Kriminellen dann ein Bereich weg, diversifizieren sie auf neue Geschäftsmodelle“, verrät ein Insider.
Endgeräte sollten regelmäßig aktualisiert werden Nicole Gemperlein, Onlineban-
king-Expertin von der Hamburger Volksbank, betont, dass man das Thema mit der nötigen Sensibilität behandele, schließlich seien mehr als 70 Prozent der Privatgirokonten für Onlinebanking freigeschaltet. „Die Kundenbedürfnisse haben sich geändert. Selbstverständlich bieten wir Online- und Mobilebanking über
den PC oder das Smartphone an. Dabei werden die neuesten Sicherheitsstandards immer über unseren genossenschaftlichen Finanzverbund sichergestellt. Für das Handy stellen wir unseren Kunden die VRBanking-App zur Verfügung“, erläutert Gemperlein. Diese App sei vor allem bei der jungen Klientel ab 16
Tipps des Bundesamts für Sicherheit in der Informationstechnik (BSI) ■ E-Mail-Phishing – Passwortdieb-
stahl mit manipulierten E-Mails: Beim Onlinebanking bestätigt der Kunde mit Passwort, PIN und TAN seine Identität. Kriminelle versuchen, genau diese Daten auszuspähen. Der Fachbegriff hierfür ist Phishing. ■ Schadsoftware – trojanische
Pferde sammeln unbemerkt Daten: Ein gesundes Misstrauen schadet nicht, wenn es um Onlinebanking geht. Beim sogenannten Man-in-theMiddle-Angriff überwachen Schadprogramme den Verkehr zwischen Anwender und Bank. Führt der Benutzer eine Überweisung durch, werden Konto sowie Betrag verändert und das Geld ist futsch. Der Anwender bemerkt davon zunächst nichts. Beim Man-in-the-Browser-An-
griff wird hingegen nur die Darstellung der Bank-Website manipuliert. ■ Mobilebanking – unterwegs
lauern Gefahren: Es ist riskant, fremde Rechner fürs Onlinebanking zu nutzen. Denn Browser speichern Daten der letzten Verbindungen in einem Zwischenspeicher ab – dem sogenannten Cache. Wer Bankgeschäfte etwa im Internetcafé abwickelt, riskiert, dass Kriminelle später diese Informationen im Cache auslesen. Die Gefahren beim Onlinebanking beschränken sich nicht nur auf PCs. Inzwischen nehmen die Angreifer auch Smartphones und Tabletcomputer ins Visier – auch weil viele Nutzer den Schutzbedarf mobiler Endgeräte noch unterschätzen.
Jahren sehr beliebt. „Natürlich ist die Sicherheit auch immer abhängig vom Nutzer. Wichtig ist zum Beispiel, dass der Kunde regelmäßig seine Endgeräte aktualisiert und sorgsam mit seinen persönlichen Daten umgeht“, betont Gemperlein. Auf der eigenen Homepage habe das Unternehmen Erklärfilme und nützliche Tipps für die Kunden bereitgestellt. TAN-Blöcke habe man aus Sicherheitsgründen bereits vor Jahren abgeschafft. Die TAN-App sowie das Smart-TAN-Verfahren mit einem Lesegerät böten einen deutlich höheren Sicherheitsstandard. Dennoch empfiehlt Gemperlein Kunden, die Umsätze auf dem Girokonto regelmäßig zu checken und ungewöhnliche Buchungen sofort der Bank zu melden. „Bei Unregelmäßigkeiten sollte das Onlinebanking umgehend über die einheitliche Hotline 116 116 gesperrt werden.“ Sollte es doch mal unverschuldet zu einem Betrugsfall kommen, greife die Versicherung der Bank, sagt Gemperlein und unterstreicht, dass ein Kreditinstitut nie per E-Mail oder am Telefon Passwörter und Zugangsdaten abfrage. Wer trotz Vorsichtsmaßnahmen Betrugsopfer wird, sollte nach der Sperrung von EC- oder Kreditkarte auch Anzeige bei der Polizei erstatten.
s ist ein Horrorszenario, das alle Jahre wieder in der Vorweihnachtszeit in den Schlagzeilen Nicht jedes Löschmittel auftaucht. Irgendwo hat ein eignet sich für jede Art von Adventskranz Feuer gefangen, Brand. Daher ist es wichtig, einen und in der Folge ist dann ein Blick auf die Brandklasse zu werfen, die ganzes Haus abgebrannt. an Löschmitteln ausgewiesen ist: So eignet Schlimmer noch als die Sachsich Brandklasse A für Festes – Mobiliar, schäden sind die menschliTextilien oder auch Weihnachtsdekoration. chen Schicksalsschläge, die Brandklasse B kommt bei Flüssigem zum mit solchen Unglücken einEinsatz, etwa bei Spiritus oder Kunststoffen, die hergehen. sich verflüssigt haben. Für Fett und Öl indes Wie schnell die Flammen kommen mit einem F gekennzeichnete etwa vom Adventskranz auf Löschmittel infrage. Im Test der Stiftung Möbel und Textilien übergreiWarentest hat allerdings auch ein mit B fen, hat sich auch am Prüfstand gekennzeichneter Schaumlöscher der Stiftung Warentest gezeigt. 0,5 Liter brennendes Speiseöl Doch welche Arten von Löschgerägelöscht. ten eignen sich, um kleine Wohnungsbrände im Keim zu ersticken? Die Prüfer haben elf Produkte aus den Bereichen Schaumlöscher, Wasserlöscher, Lösch- der Decke sahen die Tester daher ab. Ihr spray, Pulverlöscher und Löschdecke auf Gesamturteil in Sachen Löschdecken: ihre Tauglichkeit geprüft. Dafür wurden nicht für Laien zu empfehlen! Auch die Adventskränze, Speiseöl und Kabeltrom- Pulverlöscher, als günstigere Alternative meln in Brand gesetzt. zu Schaumlöschern beliebt, erfordern So viel vorab: Als besonders praktisch etwas mehr Geschicklichkeit: So stufen erwiesen sich die Löschsprays mit 0,6 die Tester sie nur als bedingt einsatztaugLitern Inhalt von Abus und Prymos. Mit lich für den Wohnraum ein, denn schon ihnen ließen sich sämtliche Testbrände in bei einem kurzen Hebeldruck füllt sich etwas mehr als 20 Sekunden löschen. Nur ein geschlossener Raum in kürzester Zeit Schaumund Wasserlöscher mit mit einer enormen Pulverwolke. Als Folsechs Litern Inhalt machen das Zuhause ge ist die Sicht extrem eingeschränkt, das noch sicherer, liegen allerdings preislich kann gefährliche Folgen haben. Zudem (55 bis 85 Euro) deutlich über den Lösch- setzt sich das Pulver in Fugen und Ritzen, sprays (knapp 25 Euro). Binnen maximal was zu zusätzlichen Folgekosten führen zwölf Sekunden waren mit ihnen sämtli- kann. che Testbrände gelöscht, die Sprays Ein naheliegender, aber grundsätzlischafften es immerhin in höchstens 26 cher und entscheidender Hinweis der Sekunden. Ein wichtiger Tipp der Tester Tester betrifft den Aufbewahrungsort des an dieser Stelle: Mit 500 Gramm Lösch- Löschmittels: Das sollte sich nicht irgendspray stößt man schnell an Grenzen. Wer wo in den Untiefen des heimischen Kelganz auf Nummer sicher gehen will, setzt lers befinden, sondern griffbereit an einer auf Schaum- und Wasserlöscher mit sechs zentralen Stelle aufbewahrt werden – Litern Inhalt. auch wenn es vielleicht einen nicht ganz Besser die Finger lassen sollte man laut so hübschen Anblick bietet. Der Gang in Testern von Pulverlöschern und Löschde- den Keller kann im Ernstfall wertvolle cken. Der Haken bei den Löschdecken: Sekunden kosten. Grundsätzlich gilt: KeiZwar ließ sich das Ausbreiten der Flam- ne Angst vor der Bedienung! Sämtliche men mit ihnen schnell unterdrücken, Testgeräte waren gut und leicht verständallerdings ging das Feuer nicht sofort aus, lich beschriftet und konnten schnell zum kritisierten die Tester. Ein weiteres Prob- Einsatz gebracht werden. lem: Wer mit Löschdecke löscht, muss gefährlich nah an den Brandherd heran. Auf test.de gibt es den Vom Löschen brennender Gardinen mit kompletten Bericht (kostenpflichtig).
50
Besonders praktisch und effektiv: Löschspray schnitt im Test gut ab.
Wer auf Nummer sicher gehen will, setzt auf Schaum- und Wasserlöscher. Foto: Jockel
Foto: Stiftung Warentest
Expertentipp
E Karte sperren
Sicher im Netz
Online-Banking ist einfach und bequem, doch Vorsicht ist auch hier wichtig. Um sich vor unberechtigten Zugriffen Dritter auf PC oder Smartphone zu schützen, gilt es, ein paar Dinge zu beachten.
Sicheres Passwort: Nutzer müssen beim Online-Banking in der Regel nach dem ersten Anmelden die Start-PIN ändern. Die neue PIN sollte nicht aus einfachen Kombinationen wie Vorname und Geburtsdatum bestehen. Am besten nimmt man eine Kombination, die man sonst nirgendwo benutzt. Ein guter Tipp dabei ist, mit Eselsbrücken zu arbeiten oder mit leicht zu merkenden Sätzen und deren Wortanfängen: So wird aus „Ich esse
XXXX xxxx
5 saure Drops“ die PIN: „Ie5sD“. Vorsichtig sein: TANs (Transaktionsnummern) gelten nur für persönliche Aufträge. Daher sollte man misstrauisch werden, wenn um TANs für Gewinnspiele, Sicherheits-Updates oder vermeintliche Rücküberweisungen gebeten wird. Die Sparkasse wird niemals dazu auffordern, Apps (außer die S-pushTAN-App) oder andere Software auf dem Smartphone zu installieren oder per E-Mail Daten wie Kontonummer, PIN, TAN oder Kreditkartendaten preiszugeben. Sorgfältig TAN-Daten lesen: Generiert man eine TAN über das Mobiltelefon oder den TAN-Generator, werden die wichtigsten Informationen zur Transaktion abge-
» Weitere Informationen zum Online-Banking der Sparkasse Leipzig finden Sie unter sparkasse-leipzig.de/sicheres-banking
bildet. Stimmen die Daten nicht mit den Eingaben überein, sollte man die Aktion abbrechen und sich mit der Sparkasse in Verbindung setzen. Immer aufmerksam bleiben: Um unberechtigte Abbuchungen rechtzeitig zu bemerken, ist es notwendig, regelmäßig und sehr genau alle Abbuchungen und Kontoumsätze mithilfe der digitalen oder ausgedruckten Kontoauszüge zu überprüfen. Tageslimit einrichten: Um unberechtigte Zugriffe einzuschränken beziehungsweise zu vermeiden, können Kontoinhaber bei der Sparkasse Leipzig ein Tageslimit für Transaktionen im Online-Banking festlegen.
Im Zweifel den Zugang sperren: Falls trotz aller Sicherheitsvorkehrungen der Verdacht aufkommt, dass mit der OnlineBanking-Anwendung irgendetwas nicht stimmt, ist es wichtig, schnellstmöglich den Zugang zu sperren. Aktuell bleiben: Auf dem PC oder Smartphone sollten Antiviren-Programme und Firewall immer auf dem aktuellen Stand sein, damit sie effektiv vor möglichen Trojanern und Viren schützen. Auch das Betriebssystem und der Browser sollten die aktuellste Version haben. Die Notrufnummer 0341 986-4777 der Sparkasse Leipzig ist rund um die Uhr erreichbar.
SICHER IM NETZ MIT DER SPARKASSEN-APP Die App für das Mobile Banking bei der Sparkasse ist ausgezeichnet – im wörtlichen Sinn. Von der Stiftung Warentest wurde sie im Oktober 2018 unter 38 Banking-Apps zum Testsieger gekürt. Die App bietet höchste Sicherheit im Mobile Banking und neben gängigen Funktionen noch zahlreiche Extras wie einen Kontostandswecker für den täglichen Überblick, Filial- und Automatensuche, Fotoüberweisung, Geldsenden von Handy zu Handy mit KWITT sowie mobile Sicherheit mit dem S-pushTAN-Verfahren.
4|
MIT SICHERHEIT
DONNERSTAG, 8. NOVEMBER 2018 | NR. 260
Alle Daten weg? Leipziger Spezialisten können helfen Wie die Firma DataRecovery Verlorengegangenes wiederherstellt / Erste Analyse schon für 69 Euro / Kosten bis in den vierstelligen Bereich VON THOMAS BOTHE
E
s war so um das Jahr 2008 herum, als ich am eigenen Leib zu spüren bekam, was Datenverlust wirklich bedeutet. Früher hatte man Kabelsalat oder es zerkratzten CDs, und wenn 1995 eine Festplatte kaputt ging, war das schmerzhaft – aber man verlor damals Daten in einer Größenordnung von höchstens 512 Megabyte (MB). Mein Verlust war deutlich schmerzhafter. Ich hatte alle meine Daten auf einer externen Festplatte mit 30 Gigabyte (GB) gesichert. Das sind 30.720 Megabyte, das 60-fache der Kapazität von 1995. Musik, Videos, Spiele und vor allem Fotos der vergangenen Jahre, unter anderem von meinem einmonatigen Sprachurlaub im russischen Smolensk, in Moskau, St. Petersburg. Emotionaler Wert: unbezahlbar. Irgendwann erkannte mein Computer den Speicher nicht mehr, ich versuchte es mit Programmen zur Datenwiederherstellung, sogenannter Recovery-Software, aber nichts half. In einem langwierigen Prozess schloss ich mit dem Thema ab, der Schmerz blieb. Heute, zehn Jahre später, bin ich mit meiner alten Festplatte bei DataRecovery, einem Leipziger Spezialisten auf diesem Gebiet. Vor mir auf dem Tisch liegt der Übeltäter. Und Jan Bindig, Geschäftsführer von Bindig Media, versucht mich durch das komplizierte, vor Fachbegriffen strotzende Thema von Daten, Speichern und Bits zu führen. Mir geht es nämlich wie vielen Otto Normalverbrauchern von
Technik. Solange es funktioniert, ist es mir relativ egal wie. „Wenn ein Kunde erstmalig zu uns kommt, klären wir zu Beginn immer darüber auf, was hier bei uns überhaupt passiert“, fängt Bindig an. Denn Datenrettung sei mitnichten nur: Festplatte anstecken, Software ausführen und alle sind happy.
Rettung möglich – vom Smartphone bis zu Micro-SD-Karte In einem ersten Schritt überprüfen die Mitarbeiter das Gerät. In meinem Fall kommt das schützende Gehäuse ab, Kontakte und Übersetzer werden überprüft, auch die Anschlüsse werden unter die Lupe genommen. Wir kommen in einen Raum, in dem es überall summt und surrt. An den Wänden hängen Flachbildschirme, kühlende Lüfter und offene Motherboards, das Herzstück eines jeden Computers. Alles hübsch anzuschauen, verbunden mit Kabeln in bunten Farben. Hier werden bei DataRecovery die als beschädigt vermuteten Datenträger analysiert. USBSpeichersticks, klassische, sich drehende HDD-Festplatten, Smartphones, Tablets, Micro-SD-Karten, NAS- oder RAID-Systeme und viele mehr. Es wird ein sogenannter binärer Klon erstellt. Dazu kopiert ein selbst geschriebenes Programm Bit für Bit auf eine Arbeitsfestplatte. Welchen Inhalt diese Daten haben, wissen die Techniker nicht. Wie bei einem Lego-Bauwerk wird Stein A nach Stein B gelegt, die Farbe ist dafür unwichtig. Egal, was nun passiert, der Inhalt ist erst
mal sicher. „Wenn wir das Ergebnis haben, macht unser Techniker eine logische Rekonstruktion – dafür braucht man wirklich ein Faible“, erklärt der Laborverantwortliche Lars Müller. Er selbst sei oftmals erstaunt, wenn ein Mitarbeiter auf die Hexadezimalzahlen auf dem Bildschirm schaue und dann plötzlich sage: Da ist der Fehler! Wo denn? Na, das sieht man doch. Bei den heute weit verbreiteten und beliebten SSD-Flashspeichern zum Beispiel gilt der sogenannte Controller als größte Schwachstelle. Einerseits sind die modernen Speicher sehr schnell, statt mit dem Schreib-Lese-Kopf wie bei den klassischen HDD-Festplatten auf einem rotierenden Speicher an die gewünschte Stelle zu springen und die Daten auszulesen, sind Flashspeicher quasi sofort an Ort und Stelle. Auch sind sie nicht so sehr für mechanische Schäden durch Transport anfällig, können auch mal einen Sturz ins Wasser überleben. Dafür sind sie deutlich komplexer. So managt der Controller die Datenverteilung über die Flashzellen im Inneren und sorgt dafür, dass diese immer gleichflächig beschrieben und damit abgenutzt werden. „Wie der Controller das aber genau macht, das wissen wir erst mal nicht“, so Müller. Und die Informationen dazu bekomme man auch nicht vom Hersteller. Macht der Controller Probleme, kommt man also nicht mehr an die Daten ran. Mit verschiedenen hauseigenen Masken probiert ein Techniker dann herauszufinden, wie der Controller die Datenpakete verteilt hat. Und je nachdem, wie logisch das Ergebnis der Maske aussieht, hat er damit Erfolg oder probiert die nächste.
Professionelle Wiederherstellung aufwendig – und teuer Der Laborverantwortliche Lars Müller mit einer defekten Festplatte im Reinraum.
Die hohen Kosten von mehreren Hundert bis Tausende von Euro erklären sich einerseits durch die vielen Arten von Speichern, die es heute gibt. „Der Markt ändert sich permanent, in den 2000er Jahren gab es noch nicht so eine Vielfalt virtueller Systeme im Serverbereich“, sagt Jan Bindig. Andererseits sind auch die Schäden vielfältig; von Feuer und Stürzen über Wasser, Hundebisse und Überspannungsschäden bis hin zu Crypto-Trojanern und Viren. Wie kommt man als Unternehmer in einen derartig spezialisierten Bereich? „Bindig
Mit einem Faible für Details: Sogar Daten der kleinsten USB-Flash-Speicher können analysiert und gerettet werden.
Media haben wir 2004 gegründet, anfangs als IT-Dienstleister für Netzwerkgeräte und Server-Client-Systeme“, sagt Bindig. Aus einem persönlichen, hobbymäßigen Interesse an der Wiederherstellung von Daten schon seit den Neunzigerjahren beschäftigte man sich zeitnah auch unternehmerisch mit dem Thema. Das Problem: „Es gibt keine Ausbildung, das Know-how musst du dir selber aneignen“, so der studierte Wirtschaftsinformatiker. Gleichzeitig müsse man viele Vorleistungen erbringen, bevor man Daten-
„Wenn ein Kunde zu uns kommt, klären wir immer darüber auf, was hier bei uns überhaupt passiert.“ Jan Bindig Geschäftsführer
rettung auf dem Markt anbiete. „Denn du kannst ja beim Kunden keine Experimente machen.“ Sechs Jahre dauerte es, bis DataRecovery „marktreif“ war und auch dann tastete man sich schrittweise vor. Der Erfolg gibt dem Unternehmen recht: Die Quote der wiederhergestellten Sektoren von Festplatten liegt bei über 95 Prozent. Heute können Bindigs Mitarbeiter wahre Wunder im Reinraum-Labor vollbringen, feilen in der eigenen Entwicklungsabteilung ständig an ihren Fähigkeiten. Sogar Micro-SD-Karten, bei denen der Speicher in hauchdünnen Schichten übereinanderliegt und mit dem Controller zu einer Einheit verklebt ist, tragen Techniker in einem speziellen Verfahren Schicht für Schicht ab, um wieder an die Daten heranzukommen. Das erklärt den einen oder anderen entgeisterten Gesichtszug vom Kunden, wenn sie vom Preis erfahren – natürlich bevor dieser fällig wird. Eine erste Analyse gibt es schon für 69 Euro. Bei Unternehmen ist die Entscheidung dann eine
Fotos (3): Bindig Media
einfache Kosten-Nutzen-Rechnung. Bei privaten Kunden wie mir eine emotionale. Aber ich habe Glück. Die Analyse zeigt: Meine Daten sind völlig intakt Es liegt an der Hardware, vermutlich eine defekte Verbindung zwischen Festplatte und dem Gehäuse. Ein Stopp im Elektronikmarkt und alles dürfte wieder da sein. Hoffnung keimt auf.
Data Recovery Bindig Media bietet professionelle, technische Lösungen im Bereich Datenrettung und IT-Forensik. Diese Leistungen werden durch die Unternehmenssparte DataRecovery realisiert. 0341 / 392 817 89 info@bindig-media.de
➦ www.bindig-media.de ➦
CloudComputing – eine Frage der Sicherheit Leipziger Uni-Informatikexperte Ingolf Römer erklärt die verschiedenen Begriffe VON THOMAS BOTHE
Ruckzuck ist einfach. GUT
n-App
Sparkasse Android
GUT (2,0
10/2018
18DB84
Ausgabe
.2
ummer: 4.1
Versionsn .1 ummer: 4.1
Versionsn
)
n-App
Sparkasse iOS
Ausgabe
10/2018
auch einen eigenen Feuerlöscher und ein Schloss vor der Tür. Wer Rechnerinfrastruktur mietet, muss sich eventuell um die Datensicherheit selbst kümmern, bei Dropbox gibt man diesen Aspekt (bis auf die Wahl des Passworts) aus den Händen. „Am Anfang der Entscheidung sollten beim Unternehmen wie auch bei der Privatperson immer die eigenen Bedürfnisse geklärt und definiert werden“, sagt Römer. Wie viele Faktoren und wie viele Daten gebe ich in die Hände des Anbieters? An welchem Standort sollen die Daten gespeichert werden (Stichwort deutsche Cloud)? Ist der Dienst DSGVOkonform? Wie komfortabel ist der Zugriff auf „meine Cloud“? Müssen meine Daten auch physisch von denen anderer Kunden abgetrennt gelagert werden? „Cloud-Umgebungen stellen kein erhöhtes Risiko für Geschäftsdaten dar“, meint Römer. Zumindest nicht, wenn Standards eingehalten werden.
s/Epson Deut schla Foto: ob
nd
Wenn man Geld schnell und leicht per Handy senden kann. Mit Kwitt, einer Funktion unserer App.*
18HD39
r! Testsieg(2,2e)
Die Cloud ist überall. Nicht nur medial, sondern tatsächlich. Denn Cloud (vollständig: Cloud Computing) bezeichnet Speicherplatz, Rechenleistung oder Software, die als Dienstleistung im Internet irgendwo auf der Welt bereitgestellt werden. Otto Normalverbraucher kennt Dienste wie Dropbox, iCloud (Apple/iOS) und die Google Cloud (Android), aber viele fremdeln mit diesen Möglichkeiten. Denn wer weiß schon, wo die eigenen Daten gespeichert werden, wie sie gesichert sind und wer sie nutzen kann? Für Ingolf Römer von der Universität Leipzig eine verständliche Fragestellung: „Die Entscheidung für oder gegen die Cloud, aber auch die Entscheidung für einen konkreten Dienst ist immer eine Abwägung zwischen Komfort und Sicherheit beziehungsweise ‚compliance‘, wie es in Unternehmen heißt, andererseits“, erklärt der Experte für Cloud Computing und Datensicherheit am Institut für Angewandte Informatik. Unter dem Begriff Cloud werden jedoch eine Vielzahl an Varianten zusammengefasst, die es zu unterscheiden gilt. ■ Private Cloud: Hier speichern Privatpersonen oder Unternehmen ihre Daten auf einem Datenträger zu Hause im lokalen Netzwerk. Die Kontrolle liegt in der eigenen Hand, die Sicherheit jedoch auch. Wer also von unterwegs auf die eigene Cloud zugreifen möchte, braucht eine mobile Zugangsmöglichkeit und muss diese beschränken, also sichern. Hierfür benötigt man gewisse Fachkenntnisse und muss sich zum Beispiel mit Verschlüsselung oder sicheren Passwörtern beschäftigen. Trotzdem ist die private Cloud meistens nicht vor einem weit verbreiteten „Brute-Force“-Angriff, also einem millionenfachen Ausprobieren von Passwörtern geschützt. Wer auf Nummer sicher gehen will, untersagt den Zugriff
von außerhalb. Dann nimmt aber der Komfort deutlich ab. ■ Public Cloud: Wie der Begriff Public schon beinhaltet, handelt es sich dabei um eine „öffentliche Wolke“. Die eigenen Daten liegen auf Rechnern oder Servern meist neben denen anderer Nutzer. Wer wie wo liegt, bleibt unklar. Bei kostenlosen Anbietern wie Google oder Apple kann man eventuell davon ausgehen, dass die Server gesichert sind und vor einem Zugriff von Dritten geschützt. Doch allein auf dem Weg in die Cloud sind Daten für Kriminelle oftmals leicht abzufangen. Auch bleibt ein Gefühl des Unwohlseins, größeren Unternehmen die eigenen Fotos oder private Dokumente zu überlassen. Die Währung heißt hier normalerweise: die eigenen Daten. Bei bezahlten Diensten wiederum gilt wie immer das Prinzip: Sicherheit gibt es nicht zum Nulltarif. Beim Cloud Computing unterscheidet man drei Ebenen: ■ SaaS, PaaS und IaaS: Bei „SaaS“ (Software as a Service) wird Software, also ein Programm per Cloud zur Verfügung gestellt wie etwa im Fall von Microsoft Office 365. Beim Dienst „PaaS“ (Plattform as a Service) wird eine Laufzeit-, eventuell auch Entwicklungsumgebung vom Kunden genutzt, also eine Plattform, auf der Programme geschrieben oder Projekte betrieben werden können. „IaaS“ (Infrastructure as a Service) bezeichnet wiederum ein Geschäftsmodell, bei dem Rechnerinfrastruktur gekauft wird, teilweise nach Bedarf. Je nachdem, welchen Dienst ein Unternehmen oder Kunde nutzt, liegt die Sicherheit der Daten bei einem selber oder dem Anbieter. Wer seinen eigenen Server im Haus hat, braucht vielleicht
* Gilt nur zwischen deutschen Girokonten.
IMPRESSUM „Mit Sicherheit“ ist ein Spezial der Zeitungen der Madsack Mediengruppe.
sparkasse-leipzig.de
Alle bereits erschienenen Teile der Sicherheitsserie plus weitere Infos und Tipps finden Sie im Internet unter www.lvz.de/sicherheit
LVZ-Projektleitung: André Böhmer Verkaufsleitung: Arne Frank Redaktion: Simone Liss Layout: Bert Klinghammer Grafik: Patrick Moye