Gefährliches Internet

Jeder Internetnutzer wird eine oder auch mehrere davon haben und auch mehr oder weniger regelmäßig nutzen. Sie sind der Dreh- und Angelpunkt unseres digitalen Selbst. Gemeint ist die allgegenwärtige Mailadresse. Man benötigt sie, um mit Freunden und Kollegen zu kommunizieren, zur Onlinebewerbung bei einem anderen Arbeitgeber, aber auch um sich bei diversen Diensten, wie Facebook, Twitter, Amazon und Co anzumelden. Das macht das eigene Mailpostfach zum Zentrum unseres digitalen Lebens. Und das wissen leider auch diverse kriminelle Persönlichkeiten, die sich auf Kosten anderer Leute gern bereichern wollen.

Wurde die E-Mailadresse von Fremden gekapert, so ist es ein Leichtes, sich über die Funktion Passwort vergessen bei verschiedenen Diensten, sich ein neues Passwort zuschicken zu lassen und sich mit dem beispielsweise bei Facebook oder Amazon anzumelden. Das kann ernsthafte Rufschädigungen oder finanzielle Schäden zur Folge haben, wenn nicht noch schlimmeres.

Deshalb gibt es im Internet Dutzende verschiedener Dienste, die sogenannte Einmal-Adressen oder Wegwerfadressen anbieten. Diese nutzt man beispielsweise, um sich bei verschiedenen Foren und Diensteanbietern zu registrieren, empfängt dort seinen Link zur Aktivierung des Accounts und löscht die Adresse gleich wieder, oder nach einem bestimmten Limit an eingegangenen Mails per Hand oder automatisch. Eine Liste mit Wegwerfadressen hat Google ausgespuckt und wird am Ende des Artikels als Link eingefügt.

Wie kann ich meine Mailadresse und Accounts von anderen Anbietern am besten sichern?

Allerdings ist es nicht immer mit Wegwerfadressen getan. Man braucht wenigstens eine oder zwei dauerhafte Mail-Adressen für die alltägliche Korrespondenz – beruflich oder privat. Natürlich hat man auch Accounts bei Amazon, Ebay, Facebook, Banken und so weiter. Deshalb heißt es überall: Absichern.

Die erste Sicherheit ist das Passwort. Es sollte möglichst lang sein und eine zufällige Folge von Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen sein. Zur Erstellung solcher zufälligen Passwörter gibt es Passwortgeneratoren, direkt für Windows, oder als AddOns für die beliebten Browser Chrome und Firefox.

Legitim ist es, sich auch Zettelchen zu schreiben, auf denen man seine Passwörter vermerkt und diese sicher zu verwahren. Man sollte aber auch immer den Verlust einkalkulieren und nicht sämtliche Daten zum Passwort aufschreiben. Oder man chiffriert hier das Passwort noch ein wenig.

Um sich lange Passwörter einfacher merken zu können, baue ich mir ein langes Passwort aus zwei Zufallsgruppen aus Ziffern, Buchstaben und Sonderzeichen zusammen, getrennt durch ein spezielles Sonderzeichen. Die eine Buchstabengruppe ist leicht oder durch häufige Eingabe zu merken. Die zweite Zeichengruppe ist völlig zufällig und unterscheidet sich von Dienst zu Dienst. Notiert wird eben nur der zweite Teil, der erste Teil steckt bei mir im Kopf. Ein solches Passwort kann wie folgt aussehen:

H8/z2#1GsdT5@A1b2d3E4

Man merkt, die zweite Zeichengruppe ist leicht zu merken, die behält man einfach im Kopf. Den ersten Teil kann man getrost aufschreiben, denn ohne den zweiten Teil ist er faktisch wertlos.

Seit geraumer Zeit gibt es hier in Europa eine neue Richtlinie zur Datensicherheit, FIDO2 genannt. Diese verpflichtet Onlinedienstleister, wie Mailprovider, Onlinewarenhäuser, Banken und andere zu einer Zwei-Faktor-Authentifizierung (2FA).

Früher war es gang und gäbe als zweiten Faktor eine oder zwei Fragen mit Antworten beim Dienstleister zu hinterlegen. Häufig genutzte Beispiele waren die Frage nach dem Mädchennamen der Großmutter oder ähnlich. Das mag zwar nirgendwo bei Facebook stehen, ist aber durch Dreistigkeit durchaus zu erfahren. Social Energeering heißt das zu Neudeutsch.

Die direkte Frage „Wie hieß deine Oma mit dem Mädchnnamen?“ wird wohl niemand direkt beantworten, schon keinem Fremden. Das geht aber auch anders herum in einem Unverfänglichen Gespräch konnte dann schonmal folgender Dialog zustande kommen: „Hieß ihre Oma Müller?“ „Nein, Meier, aber ohne Ypsilon!“

Das hat sich heutzutage der Technik und Regulierungen sei Dank geändert. Neben dem recht unsicheren Passwort, werden bei Mailprovidern und anderen Onlinediensten beispielsweise Handynummern hinterlegt, die beim Login einen Code zugesandt bekommen, der zusätzlich eingegeben werden muss, wobei die SMS TAN auch wegen der Unsicherheiten mit Sim-Karten und im Handynetz zurückgedrängt werden.

Bei Banken setzt es sich immer mehr durch, den sowieso schon vorhandenen TAN-Generator und eine EC-Karte zu Nutzen um für den Login eine zusätzliche TAN zu generieren – als Ausweis sozusagen. Auch immer mehr Apps wurden als zweiter Faktor für Überweisungen und den Login bei der Bank entwickelt und sollen laut Banken recht sicher sein.

Viele Dienste bieten mitterweile auch an, die zumeist 6-stelligen Codes für die Zwei-Faktor-Authentification per App auf dem Smartphone oder Tablet zu generieren. Das sind meist zufällige Ziffernfolgen, mit recht begrenzter Haltbarkeit (meist 1 Minute). Bei den meisten Diensten ist die Einrichtung recht einfach. Die meisten solcher Authentificator-Apps liefern einen QR-Code-Scanner, mit dem man einen solchen Code ins Gerät einliest. Mit diesem werden nach einem bestimmten Zufallsprinzip diese Ziffernfolgen generiert.

Fazit

Es bedeutet schon einen Mehraufwand alle Accounts mit sicheren Passwörtern und einem zweiten Faktor auszustaffieren. Der Sinn dahinter ist es, die Masse an Hackern mit etwas Mehraufwand zu verschrecken. Die suchen sich meist die leichteren Opfer aus, die mit wenig Aufwand zu knacken sind. Geheimdienste sind schon eine andere Nummer, aber die größte Gefahr geht immer noch von den Allerweltskriminellen aus, die mit euren Daten Geld verdienen wollen oder euch irgendwie Schaden wollen. Der geringe Mehraufwand, einen Code oder eine TAN einzutippseln lohnt sich allerdings.

Süßer die Kassen nie Klingeln

HibiscusWieder einmal ist Weihnachten vorbei und die Gabentische biegen sich unter der Last der Geschenke. Die Tage des Schlemmens sind vorbei, Freunde und Verwandte haben sich am Weihnachtsbraten gütlich getan und Silvester steht vor der Tür. Für die Party zum Jahreswechsel müssen nun wieder neue Getränke ran, dazu noch ein paar Böller und Raketen fürs heimische Feuerwerk und das nächste Festmahl. Aber halt, ist denn noch genug Geld dazu auf dem Konto? Eine Bankingsoftware mit dem blumigen Namen Hbiscus hilft weiter, das zu checken.

Hibiscus ist zunächst einmal eine kostenfreie Open-Source Software, die von mehreren Entwicklern programmiert wird und von einer großen, aktiven Community gepflegt wird. Von daher ist anzunehmen, daß diese auch sicher ist und sicherer als so mancher Browser draußen in der freien Wildbahn. Allerdings ist Hibiscus ein bisschen nun ja anders zu installieren, als andere Software. Diese Hürden sind allerdings recht einfach genommen

Was ist Hibiscus genau?

Hibiscus ist, wie weiter oben schon erwähnt, ein Bankingprogramm. Es greift vom Dektop-PC auf das eigene Onlinekonto zurück und listet sämtliche Kontenbewegungen der letzten Monate auf. Nebenbei legt Hibiscus die Daten über einen sehr langen Zeitraum auf dem eigenen PC ab – passwortgeschützt und verschlüsselt -und wertet diese grafisch aus. Aber Hbiscus kann noch mehr. Mit ihm sind Überweisungen und Daueraufträge leicht getätigt, dabei unterstützt es den Otto-Normal-Bänker auch bei der Konvertierung der Bankdaten ins neue Sepa-Verfahren. Der Hit ist, man hat mit einem mal alle Online-Konten im Blick, auch wenn diese sich bei verschiedenen Banken befinden. Neben dem etwas angestaubten HBCI-Standard beherrscht Hibiscus auch das neuere Chip-TAN Verfahren. Für Firmenkunden bringt Hibiscus noch ein ausgewachsenes Buchführungssystem mit sich, dazu als Schmankerl noch einen heißen Draht zum Finanzamt und den Steuern. Geldeingänge und Ausgaben stellt Hibiscus pro Konto feinsäuberlich auch in grafischer Form dar. So hat der Online-Bänker gleich das eigene Konto gut im Überblick.

Warum ein Bankingprogramm und nicht der Browser?

Die meisten Bankingprogramme sind auf Datensicherheit ausgelegt. Das heißt verschlüsselte Verbindungen zwischen Bankserver und Software, bei Bedarf auch End-to-End verschlüsselt, wie beim HBCI+ Verfahren. Solche Programme werden auch wesentlich regelmäßiger und schneller mit Updates versorgt, denn Banken haben durchaus ein berechtigtes Interesse an sicherer Software. Browser hingegen bekommen meist nur monatliche Updates und Patches. Manche Browser – gerade der einer großen Softwareschmiede – brauchen noch länger bevor kritische Sicherheitslücken gestopft werden. Allerdings sind Bankingprogramme und Browser auch an ein aktuell gehaltenes und neueres Betriebssystem angewisen, denn ein sicheres Programm stopft noch lange keine Lücke im Betriebssystem. Außerdem bieten Bankingprogramme noch zahlreiche Zusatzfunktionen, die ein Browser nicht bietet. Hier wird nur das genutzt, was die Bank anbietet, nicht mehr und nicht weniger.

Opensource vs. Proprietär

Bei der Frage was nun besser sei – quelloffen oder nicht quelloffen – scheiden sich die Geister. Die Allgemeinheit ruft meist nach quelloffener (opensource) Software, weil da ja jeder den Quellcode einsehen kann, im Gegensatz zu proprietärer Software, deren Code nicht offenliegt. Opensource bietet durchaus die Möglichkeit, daß viele Leute den Code überprüfen, validierenn und mit Sicherheitspatches versorgen.

Allerdings kann man auch einem proprietärem Programm, was aktiv betreut wird und regelmäßig Updates bekommt dem Vorzug zu einem Quelloffenem Programm mit kleiner Community geben, was eher nur sporadisch mit Updates versorgt wird. Im Regelfall sind aktiv betreute Programme – egal ob opensource oder proprietär – zumeist sicherer, weil es Experten gibt, die diese Programme auf Herz und Nieren geprüft haben.

Schriftliches von der Bank

Von der Bank sind natürlich einige Dinge erforderlich. Dazugehören ersteinmal die nötigen Logindaten zum Konto wie Passwort und Kundenkennung. Die kriegt man zumeist schon, wenn man ein Onlinekonto bei der eigenen Hausbank beantragt. Die Länge des Nutzerpasswortes bei der Bank darf nicht länger als 20 Zeichen sein. Es dürfen sämtliche Buchstaben, Umlaute, Ziffern und Sonderzeichen ausgiebig beim Passwort genutzt werden. Nutzt man HBCI, so braucht man noch einen sogenannten Key, der als Textdatei daher kommt – auf einer separaten Chipkarte oder auf einem USB Stick. Aber für das normale Chip-Tan mit den flackernden Balken und dem TAN-Generator ist das nicht nötig.

Hibiscus einrichten

Hat man alle Unterlagen beisammen, so geht es nun an die Einrichtung des Bankingprogramms. Allerdings installiert sich Hibiscus unter Windows nicht ganz so wie gehabt. Voraussetzung für Hibiscus ist eine aktuelle Java-Installation. Je nach Betriebssystem eben 32 oder 64 bit. Weiß man nicht genau was man hat, so verrät Windows das in der Systemsteuerung –> System. Auf Java.com bekommt man die aktuellste Version von Java zum Download. Einfach dort herunterladen und mit einem Doppelklick auf die gedonwloadete Datei installieren.

Der nächste Weg führt uns bei willuhn.de vorbei, wo wir Jameica herunterladen. Wieso denn jetzt auf einmal Jameica? Jameica ist eine auf Java basierende Arfbeitsoberfläche, ein sogenanntes Framework, in dem die Banksoftware als Plugin integriert ist. Dieses Framework wird für Windows als Zip-Datei ausgeliefert und muß natürlich ersteinmal auf dem rechner entpackt werden. Dsazu reichen die Bordmittel von Windows aus. Alle Schritte habe ich hier noch einmal genau bebildert.

Nachdem das Archiv entpackt wurde, starten wir Jameica entweder mit einem Klick auf die .exe-Datei oder die ausführbare .jar.

Jameica starten

Läuft Jameica, müssen wir uns einen Speicherort für Jameica überlegen. Standardmäßig legt Jameica alle benötigten Daten im ganz normalen Nutzerverzeichnis ab.

Speicherort für Jameica

Als nächstes will Jameica ein Masterpasswort zum Verschlüsseln der wichtigen Daten wissen, das geben wir ein und übernehmen die Eingabe natürlich auch.

Jameica Masterpasswort erstellen

Als nächstes brauchen wir noch die Bankingerweiterung Hibiscus für Jamecia. Diese ist als Plugin verfügbar und muß noch gesucht werden. Jameica fragt uns gleich nach dem Anlegen des Master-Passwortes, ob Plugins gesucht werden sollen. Also lassen wir online suchen.

Plugins suchen lassen

Wenn wir online suchen, müssen wir noch ein SSL-Zertifikat bestätigen. Das wird uns aufgezeigt und können es, wenn wir wollen noch abnicken.

Sicherheitsabfrage

Haben wir das getan, folgt ein Schirm mit allen Plugins, aus denen wir uns Hibiscus heraussuchen. Alle anderen Plugins sind nur dann nötig, wenn wir einen Betrieb haben, für den die Buchhaltung erledigt werden muß. Also markieren wir Hibiscurs und klickern auf Herunterladen und installieren. Um das zu komplettieren, wählen wir die Option Nur für den aktuellen Nutzer aus.

Plugins auswählen
Plugins auswählen

Jameica Nutzerordner

So, jetzt haben wir alles beisammen und müssen Jameica neu starten. Ein Klick auf das X rechts oben schließtz das Fenster. Wie schon vorhin starten wir Jameica neu.

Jameica starten

Nach Eingabe unseres Masterpasswortes müssen wir nun unseren Bankzugang einrichten.

Hibiscus starten

Dafür reicht ein Klick auf Bank-Zugang einrichten im Dialogfeld für Hibiscus. Die meisten Nutzer werden das bewährte PIN/TAN verfahren nutzen und das wird im folgenden Auswahlfeld auch ausgewählt.

TAN Verfahren auswaehlen
TAN Verfahren auswaehlen

Jetzt geht es ans Eingemachte. Wir brauchen unsere Zugangsdaten von unserer Hausbank. Die Nutzerkennung oder Alias ist aus irgendwelchen Gründen zweimal einzugeben und dann brauchen wir noch die Bankleitzahl. Die URL-Adresse oder Host für den Bankserver sucht sich Hibiscus automatisch heraus, also lassen wir das links liegen.

Nutzerkennung und Bankleitzahl eingeben

Auf dem jetzigen Schirm müssen wir unsere Konfiguration testen. Dabei wird das Passwort zum Bankaccount noch mit abgefragt, was man auch eingibt. Obacht: Das Passwort darf nicht länger als 20 Zeichen sein: Dafür dürfen diese aber quer Beet über die Tastaur gewählt sein, Hibiscus erlaubt alle Zeichen.

Konfiguration testen

Banking Pin Eingabe
Banking Pin Eingabe

Jetzt müssen wir nur noch unser bevorzugtes TAN-Verfahren wählen. Da haben wir die Wahl zwischen mobile-Tan (TAN via Handy), SmartTAN manuell (TAN-Liste) oder SmartTan optisch (TAN-Generator mit Bank/EC-Karte). Diese Auswahl speichern wir uns gleich fest ab und machen dazu noch einen Haken im Kästchen.

TAN Verfahren auswaehlen
TAN Verfahren auswaehlen

Jetzt währe die Installation von Hibiscus geschafft. Jetzt kann man gleich die gesamten Umsätze des eingefügten Kontos abrufen und auch Überweisungen loslassen – um Weihnachtsgeschenke zu bezahlen zum Beispiel.

Links

Feiertagsfinanzen der letzten Jahre

Kurz gemeldet – Maleware und Phishing von großen Banken

Kürzlich wurde der Onlineauftritt der Sparkasse, Sparkasse.de soweit kompromititert, so daß die genannte Website zum Verbreiten von Maleware (Schadsftware) mißbraucht wurde. Der gekaperte Server wurde laut Sparkasse nicht für das Onlinebanking eingesetzt.

In letzter Zeit wird wieder verstärkt mit gefälschten Mails der ING Diba versucht geheime Daten von Usern abzustauben. Die Phishing-Mails sind täuschend echt gemacht. Es ist daher anzuraten, daß man auf Mails der Bank, wo Daten wie PINs und TANs abgefagt werden nicht reagiert, denn eine Bank fragt nie per E-Mail nach solchen vertraulichen Daten.