Tag Archive for 'Schutzmassnahmen'

Tutorial: Online Banking – aber sicher!

Vor noch nicht all zu langer Zeit habe ich in einem Artikel Schutz vor Phishing auf die Gefahren beim Online Banking hingewiesen sowie Schutzmassnahmen aufgezeigt. Mit den im Artikel beschrieben Schutzmassnahmen sind bereits viele Privatanwender überfordert. Es gibt aber eine wesentlich einfachere Möglichkeit, sich vor Phishing beim Online Banking zu schützen. Aus diesem Grund habe ich mir Zeit genommen, und ein ausführliches Tutorial (=Anleitung) zum Thema geschrieben.

Das nachfolgende Tutorial richtet sich vor allem an Heimanwender, welche sich beim Thema EDV zwar nicht all zu sehr auskennen, sich aber trotzdem einfach und effizient vor Phishing Attacken schützen möchten.

Einleitung

Ich spreche sicher im Namen von vielen Benutzern, wenn ich sage, dass sich viele beim Online Banking unsicher fühlen und dabei ein mulmiges Gefühl im Bauch verspüren. Oftmals hört man, dass für das Online Banking jeweils ein separater Computer verwendet werden soll. Nicht jeder kann sich jedoch einen weiteren Computer leisten. Die in diesem Tutorial beschriebene Methode erreicht für das Online Banking fast die gleiche Sicherheit wie die Nutzung eines septeraten Computers – jedoch mit einem erheblich geringeren Aufwand. Alles, was Sie dazu benötigen, ist Folgendes:

Voraussetzung

  • Einen PC (am besten Ihr eigener)
  • Einen CD Brenner
  • Eine leere CD (Rohling)
  • Einen Internet Anschluss (am besten ADSL/DSL oder Cable)
  • 45 Minuten Zeit

Des Weiteren gilt es zu beachten, dass Ihr Modem oder Router im Lokal Netzwerk (LAN) dynamisch IP Adressen (via DHCP) vergeben muss, damit das unten stehende Tutorial bei Ihnen ohne grösseren Aufwand funktioniert. Falls Sie ein USB-Modem verwenden, um sich ins Internet einzuwählen, funktioniert das unten beschriebene Tutorial leider nicht.

Es ist von Vorteil, wenn Sie dieses Tutorial ausdrucken, da Sie ein paar Aktionen/Einstellungen ohne Internet vornehmen müssen.

1. Ubuntu herunterladen

Als erstes brauchen wir ein Linux Betriebsystem (OS), welches auf einer CD betrieben werden kann. Dazu eignet sich vor allem Ubuntu und Knoppix. In diesem Tutorial werden wir Ubuntu verwenden. Sie können jedoch auch Knoppix oder eine beliebige andere Linux-Distribution benützen, wie etwa das in der Heft-DVD des c’t Magazins, Ausgabe 17/2008, beschriebene Bankix.

Ubuntu ist (wie andere Linux-Distributionen auch) Kostenlos erhältlich und kann auf der Ubuntu-Webseite heruntergeladen werden:

www.ubuntu.com/getubuntu/download

Wählen Sie auf der Webseite die aktuellste Version von Ubuntu (gekennzeichnet mit latest version) sowie die download location (z.B. Switzerland) aus und klicken Sie danach auf Begin Download:

Als Ziel-Ort des Downloads wählen Sie am besten Ihren Desktop aus.
Erschrecken Sie nicht: Der download ist knapp 700 MB gross. Bei den heutigen Breitband-Internetanschlüssen dauert der Download jedoch in der Regel nur ca. 20-30 Minuten:

Ist der Download abgeschlossen, sollten Sie nun die Datei ubuntu-8.10-desktop-i386.iso in dem Ordner vorfinden, welchen Sie vor dem Download als Ziel-Ort definiert haben:

2. CD Brennen

Nun müssen wir die Datei (Dateiendung .iso), welche wir soeben heruntergeladen haben, auf eine leere CD (Rohling) brennen. Dazu müssen wir jedoch zuerst ein entsprechendes Brenn-Programm herunterladen und installieren, welches die heruntergeladene ISO-Datei brennen kann. Im Internet gibt es dazu beispielsweise das Programm ImgBurn, welches für uns die Datei auf CD brennt. Auch dieses Programm ist Kostenlos und kann unter folgendem Link heruntergeladen werden (natürlich kann stattdessen auch jedes andere Programm benutzt werden, welches .iso Files brennen kann wie z.B. Nero):

www.imgburn.com/index.php?act=download

Klicken Sie auf der Webseite den Link Mirror 7 – Provided by ImgBurn an, um den download zu starten:

Nach dem der Download abgeschlossen ist, sollte auch diese Datei im Ordner erscheinen, welchen Sie vor dem download als Ziel-Ort angegeben haben:

Mit einem Doppelklick auf die Datei starten wir die Installation. Beim ersten Fenster klicken wir auf Next:

Beim darauf folgenden Fenster wählen wir die folgenden Optionen aus und klicken danach auf Next:

Nun wählen wir den Pfad aus, wohin das Programm installiert werden soll. Ich empfehle, den vom Programm vorgeschlagenen Pfad unverändert zu lassen und auf Install zu klicken:

Während der Installation fragt uns das Programm noch, ob es gelegentlich im Internet nach neuen Versionen suchen soll. Am besten antworten Sie mit Ja (spielt aber eigentlich keine Rolle):

Klicken Sie nun im nächsten Fenster auf Finish, um die Installation abzuschliessen und das Programm zu starten:

Als nächstes brennen wir nun die zuvor heruntergeladene Datei mit dem soeben installierten Programm auf eine CD. Das geht ganz einfach: Klicken Sie im Programm ImgBurn auf die Schaltfläche, welche mit Write image file to disc beschrieben ist:

Nun öffnet sich ein Fenster mit verschiedenen Brenn-Optionen. Hier klicken wir unter Source auf das Symbol mit der Lupe und dem Ordner:

Im nächsten Fenster können wir nun auswählen, welche Datei wir auf die CD brennen wollen. Hier wählen wir nun die Datei aus, welche wir zuvor von der Ubuntu Webseite heruntergeladen haben (also die Datei, welche die Ubuntu-Distribution enthält):

Nun legen wir eine leere CD in den CD-Brenner ein und drücken auf das Brenn-Symbol (hier Rot eingekreist):

Das Programm Brennt nun die Datei auf die leere CD. Dies kann, je nach Geschwindigkeit Ihres Brenners, einige Minuten dauern:

War der Brennvorgang erfolgreich, erscheint folgende Meldung:

Nun können die beiden heruntergeladenen Dateien ubuntu-8.10-desktop-i386.iso und SetupImgBurn_2.4.2.0.exe gelöscht werden, da wir diese nun nicht mehr benötigen.

3. Aufstarten mit CD

Nun kommt das Final: Wir starten mit der gebrannten CD den Computer auf. Legen Sie dazu die zuvor gebrannte CD in Ihr CD-Laufwerk ein und starten Sie ihren Computer Neu. Ist der Computer richtig eingestellt, sollte er automatisch von der CD starten und folgendes Menü auf Ihrem Bildschirm anzeigen:

Mit der Pfeiltaste auf Ihrer Tastatur können Sie jetzt auswählen, welche Sprache Ubuntu verwenden soll und bestätigen dies mit der Taste ENTER. Nun kommt der wichtigste Teil: Im nächsten Menü wählen wir nun Ubuntu ausprobieren (Rechner bleibt unverändert) aus und bestätigen dies ebenfalls wieder mit der Taste ENTER:

Nun startet die CD das Ubuntu Betriebssystem. Dies kann, je nach Geschwindigkeit Ihres Computers, einige Minuten dauern:

Herzlichen Glückwunsch – Sie führen nun Ubuntu aus! Was nun? Tief durchatmen – hier sind Sie weitgehend sicher vor Viren, Trojanern, Spyware und anderen Bösewichten, welche Ihnen und Ihrem Computer bis jetzt das Leben schwer gemacht haben.

4. Login Online Bank

Suchen Sie erst gar nicht nach Microsoft’s Internet Explorer, den werden Sie hier nicht finden. Stattdessen finden Sie oben Links neben dem Menü System das Firefox Symbol:

Hat alles funktioniert, sollte nun nach einem klick auf das Firefox Symbol die Ubuntu Startseite auf Ihrem Bildschirm erscheinen:

Nun ist es soweit: Sie können Ihre Geschäfte in Ihrer Online Bank erledigen ohne Angst haben zu müssen, Opfer einer phishing Attacke zu werden.

5. nach getaner Arbeit

Sobald Sie mit den Geschäften in Ihrer Online Bank fertig sind, können Sie über das Menü Live session user -> Ausschalten in der oberen rechten Bildecke die Arbeit mit Ubuntu beenden und den Computer ausschalten:

Nachdem Ubuntu das System heruntergefahren hat, fordert Ubuntu Sie mit der Meldung Please remove the disc, close the tray (if any) and press ENTER to continue dazu auf, die CD aus dem CD-ROM Laufwerk zu entfernen . Wenn Sie nun Ihren Computer wieder einschalten, finden Sie wie gewohnt wieder Ihr Windows Betriebssystem vor, ohne das irgendwelche Änderungen vorgenommen wurden.

WICHTIG: Da Sie nun bereits über eine Ubuntu-CD verfügen, müssen Sie nun wenn Sie das nächste mal Online Banking betreiben wollen lediglich die Punkte 3, 4 und 5 dieses Tutorials beachten.

Weitere Erläuterungen / Technische Erklärung

Jetzt fragen sich sicher viele, wieso diese Variante des Online Banking so viel sicherer sein soll. Deswegen erläutere ich hier noch kurz das Prinzip sowie die technische Erklärung zur beschriebenen Technik:

Linux Distributionen (wie z.B. Ubuntu) sind dafür bekannt, dass sie sicherer sind und aufgrund der geringeren Verbreitung seltener zum Ziel von Angriffen werden. Eine weitere wichtige Eigenschaft von Ubuntu & Co ist, dass sie sich auf beliebigen Computern betreiben lassen, ohne sie vorher installieren zu müssen. Da wir Ihr System (Windows Installation) unverändert lassen möchen und trotzdem eine relativ hohe Sicherheit erreichen wollen, nutzen wir diesen Vorteile und starten Ihren Computer mit einer Linux Distribution auf. Da sich diese auf einem unveränderlichen Medium (CD)
befindet, kann sich kein Trojaner darauf permanent einnisten und nach jedem Booten ist ein sauberes System sichergestellt. Daher ist das Starten von der CD einer permanenten Linux Installation auf der Festplatte vorzuziehen, selbst wenn damit eine längere Bootzeit in Kauf genommen werden muss.

Wenn Sie nun mit Ubuntu arbeiten, werden keine Daten auf Ihre Festplatte geschrieben, sondern nur im Arbeitsspeicher temporär aufbewahrt. Wenn Sie nach getaner Arbeit Ihren Computer herunterfahren, wird der Arbeitsspeicher vollständig geleert, und es bleiben keine Daten aus der Ubuntu-Session auf Ihrem Computer. Eine Malware kann sich so nur in der kurzen Zeit zwischen dem Booten und der Telebanking Session temporär im Speicher einnisten, was sich durch das Aktivieren der Firewall-Funktionen im Router und dem Verzicht des Ansurfens fremder Seiten (wozu auch Google zu zählen ist) vor dem Start der Telebanking Session weitgehend verhindern lässt. Es verbleibt zwar die theoretische Möglichkeit, dass sich Malware direkt in die Firmware Ihres Rechners (BIOS) oder anderer Hardware wie Netzwerkkarten einschleicht; dies stellt zum heutigen Zeitpunkt aber lediglich Theorie dar und ist in der Praxis bislang noch nicht beobachtet worden.

Ein weiterer Vorteil ist, dass es beinahe unmöglich ist, dass sich ein Virus, ein Trojaner oder sonstige Malware, die früher Ihr Windows System erfolgreich angegriffen hat und daher beim Booten Ihres Windows Systems aktiv würde, sich in Ihre Ubuntu-Session einschleicht. Daher sollten Sie nach Möglichkeit darauf verzichten, während der Ubuntu Session Ihre Windows Partitionen anzumounten. Falls ein Datenaustausch zwischen Windows und Ubuntu unumgänglich ist, können Sie einen USB Stick benutzen, der nach dem Einstecken in Ubuntu unter /media auftaucht – der Verzicht auf diese Möglichkeit ist aber auf jeden Fall die sicherere Variante.

Um die Sicherheit beim Arbeiten mit Ubuntu noch weiter zu erhöhen, empfehle ich noch zusätzlich folgende Sicherheitsmassnahmen:

  • Geben Sie direkt die Telebanking-URL ihrer Bank von Hand ein, und zwar möglichst von Anfang den verschlüsselten https Link statt einem http Link. Auf diese Weise ist die Authentizität der Bank von Anfang an gewährleistet.
  • Surfen Sie vor dem Beginn der Telebanking Session nicht andere Seiten an. Sie sind mit Ubuntu zwar vor Trojaner relativ sicher, die sich auf ihrer Festplatte einnisten – aber nicht unbedingt vor Trojanern, die sich seit dem letzten Booten durch unsichere Seiten einschleusen und lediglich im flüchtigen RAM verbleiben. Daher sollten Sie vor einer Telebanking Session neu von der CD booten, und dann unmittelbar mit der Telebanking Session beginnen.
  • Von Zeit zu Zeit sollten Sie eine neue Ubuntu Version herunterladen, und sich eine neue CD brennen, damit auch aktuelle Patches nachgeführt werden. In der Regel reicht es, dies alle zwei- bis dreimal im Jahr durchzuführen. Dies gilt im Ãœbrigen auch für die Firmware ihres Routers – auch diese sollten sie ab und zu auf den neuesten stand bringen, denn auch dort kann sich Malware einnisten.

Schlusswort & Disclamer

Sicherheit ist ein sehr heikles Wort in der EDV. Grundsätzlich gilt es zu beachten, dass es in der Informatik nie eine 100%ige Sicherheit gibt. Dies gilt auch für die obige Variante resp. für dieses Tutorial.

Fragen? Anregungen? Korrekturen? Benützen Sie das Kontaktformular auf der rechten Seite dieses Artikels unter Pages -> Kontakt.

Tutorial Version: 1.00 / 23. November 2008




economics-recluse
Scene
Urgent!