Das BSI in der Informationstechnik beobachtet kontinuierlich die Gefährdungslage der Sicherheit im IT-Bereich. Im September 2020 haben sie ihren neuen Bericht zur Lage der IT-Sicherheit in Deutschland veröffentlicht. Der Berichtszeitraum erstreckt sich von Juni 2019 bis Mai 2020.
Das Ergebnis zeigt, dass die Bezahlverfahren von Banken durch die vielen Authentifizierungslösungen weitestgehend abgesichert sind. Doch auch hier gibt es noch Angriffsfläche für Betrüger.
Die Payment Service Directive 2 (PSD2), die 2018 eingeführt wurde, wirkt Betrugsmaschen entgegen. PSD2 zielt darauf ab, die Sicherheit im Zahlungsverkehr zu erhöhen und den Verbraucherschutz zu stärken. Im Zuge von PSD2 haben sich verschiedene Authentifizierungsmethoden etabliert, die die Sicherheit der Kunden und ihrer Daten gewährleisten sollen.
Das Bundesamt für Sicherheit in der Informationstechnik unterteilt die Authentifizierungsmethoden in zwei Kategorien. Unter dem Begriff „Wissen und Besitz“ finden sich oft eine Zwei-Faktor-Authentifizierung wie etwa der Kombination aus physischer Karte und PIN. „Inhärenz“ ist die zweite Kategorie, die das BSI anführt. Unter ihr finden sich biometrische Methoden, wie etwa die Authentifizierung mittels Fingerabdruck.
Diese Maßnahmen betreffen nur elektronische Zahlungen, die von Kunden getätigt werden. Lastschrift und Rechnungen fallen nicht unter PSD2..
Banking-Apps werden immer beliebter
Das Bezahlwesen hat sich durch die Digitalisierung gewandelt und bietet neue Transaktionsmethoden. Banking-Apps werden dank der verstärkten Nutzung von Mobilgeräten immer häufiger genutzt von Kunden. Zudem bieten Handys durch Funktionen wie Near Field Communication oder Quick Response Code (QR) einen hohen Grad an Benutzerfreundlichkeit. Die BSI rät hier explizit keine Abstriche bei der Sicherheit zugunsten der Benutzerfreundlichkeit einzugehen.
Zudem weisen die BSI-Experten darauf hin, dass Mobilgeräte selten in einer kontrollierten Umgebung genutzt werden und die biometrischen Funktionen noch zu unsicher seien. Deshalb entwickelt das BSI Prüfkriterien für biometrische Authentifizierungslösungen.
Abseits des Zahlungsverkehrs erwies sich besonders der Banking-Trojaner „Emotet“ als schädlich. Emotet vereint verschiedene Schadsoftware in einem Programm und greift seine Opfer an verschiedenen Stellen gleichzeitig an. Nach Angaben des BSI ist die Anzahl neuer Schadprogamm-Varianten im Berichtszeitraum auf rund 117,4 Millionen gestiegen.
Solche Schadsoftware gelangt beispielsweise über vermeintliche E-Mails des eigenen Kreditinstituts auf den Computer. Die gefälschten E-Mails enthalten Anhänge, die dann häufig auf eine manipulierte Website verweisen, über die das Programm im Hintergrund installiert wird. Um sich vor diesen Tojanern zu schützen, genügt in der Regel eine aktuelle Antiviren-Software.
Aus den Erkenntnissen, die die BSI im Berichtszeitraum gewonnen hat, sollen in Zukunft neue Schutzmaßnahmen und Lösungen für alle Gefährdungslagen im digitalen Zeitalter entwickelt werden. Für den Finanzsektor wurden erste Schritte eingeleitet.
So entwickelt die BSI gemeinsam mit dem Kanzleramt neue Schutzmaßnahmen für Online-Konten. Dazu wurden in einem ersten Schritt Befragungen durchgeführt, um Nutzerverhalten sowie Erkenntnisse über Umgang mit Passwörtern und anderen Sicherheitsmaßnahmen zu gewinnen.
Daily-Highlights: Sie kriegen nicht genug von unseren Dailys? Dann lesen Sie hier mehr über die erfolgreiche Crowdinvest-Kampagne der Tomorrow Bank oder erfahren Sie mehr über die Fusionspläne der Frankfurter Volksbank.