BMBF-Innovationsforum -Betrugsschutz beim Online-Banking

Institut für Internet-Sicherheit – if(is)

Westfälische Hochschule, Gelsenkirchen

http://www.internet-sicherheit.de

Prof. Dr.

(TU NN)

Norbert Pohlmann

Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen

Projekt-Partner

 Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen

Es gibt sichere Verfahren, die kosten aber mehr Geld (z.B. Signaturbasiert)

 Maximale Schadenshöhe ist zurzeit begrenzt: Finanz-Agenten (GWG, …)

 Der Level der Sicherheit orientiert sich an der heutigen Schadenshöhe

(Banken zahlen aus der „Portokassen“, die Kunden haben kein Problem, …)

3

Einführung von „smsTAN“ und „chipTAN“

Finanzielle Schäden

 Online-Banking in Deutschland

Schäden (nicht alle), die durch

kriminelle Organisationen entstehen.

 Ziel der Angreifer:

Geld verdienen

(TAN, iTAN)

Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen

$

Bank

Nutzt das Online-Banking

Manipuliert

Transaktionen

(z.B. sehr aktuell: lokale Manipulation

der Browser-Darstellung)

Stiehlt

Informationen

(Passworte,

Kontodaten, …)

Greift Banken an

(z.B. Manipulation

von Transaktionen

auf der Server-Seite)

Überblick

Malware

 Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen

Forschungen

 Nutzerseitiger Schutz (1/2)

5

$

Bank

Nutzt das

Online-Banking

Stiehlt

Informationen

Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen

Erkennen von lokalen Manipulationen der

Browser-Darstellung

 Verteiltes Wissen

Wissen:



Struktur der Webseiten



Anonymisierte Inhalt



…

Verteiltes Wissen: Idee



Jeder gibt seine

Sichtweise weiter



Damit können

lokale Manipulationen

erkannt werden

 Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen

Forschungen

 Nutzerseitiger Schutz (2/2)

7

$

Bank

Nutzt das

Online-Banking

Manipuliert

Transaktionen

Einsatz

starker Authentifikations- und Signaturverfahren

 nPA, Signaturbasiert (XignQR), Aufgaben lösen, …

© I v elin Iv anov -Fo tolia. c om

Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen

Forschungen

 Bankenseitiger Schutz

$

Bank

Nutzt das

Online-Banking

Greift an

 Prof . Nor bert Pohl m ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen

Koordinierter

Angriff

auf

alle

Banken

9

© St.Op. - Fotolia.com

CyberWar

 Die neue Realität berücksichtigen

Die Schäden werden deutlich größer werden, weil es nicht um Geldverdienen geht,

sondern darum die Gesellschaft zu schädigen!

Institut für Internet-Sicherheit – if(is)

Westfälische Hochschule, Gelsenkirchen

http://www.internet-sicherheit.de

Prof. Dr.

(TU NN)

Norbert Pohlmann

Wir müssen deutlich strategischer

für mehr IT-Sicherheit sorgen!