Pecunia
Sicherheit
Open Source Online-Banking für den Mac
Zum Thema Sicherheit...
Das Thema Sicherheit ist natürlich gerade beim Thema Online-Banking außerordentlich wichtig und Leute, die sich überlegen ihre Bankgeschäfte künftig mit einem Banking-Client durchzuführen entsprechend sensibilisiert. Die Vergangenheit hat auch gezeigt, dass diese Aufmerksamkeit wichtig und richtig ist - schliesslich versuchen Kriminelle mit immer neuen Tricks die Konten argloser Online-Banker zu plündern. Dabei liefern sich Banken und Kriminelle derzeit ein Katz- und Maus-Spiel. Auf neue Lücken folgen neue Sicherheitsmechanismen.
Jeder, der Online-Banking macht sollte sich darüber bewusst sein, dass es keine hundertprozentige Sicherheit gibt. Grundsätzlich sind Angriffe von Außen immer möglich. Die gute Nachricht ist, dass wir es selbst in der Hand haben wie schwer wir es potenziellen Angreifern machen und damit wie unwahrscheinlich ein Erfolg letzten Endes ist.
Die derzeit kritischste Methode seine Bankgeschäfte zu Hause zu erledigen ist sicherlich das Banking mit dem WebBrowser. Von allen Banken angeboten, sind Bankingportale in der Vergangenheit immer wieder Ziel von Angriffen geworden - von Phising bis zu CrossSite-Scripting. Besser wäre es, wenn die Banken ihren Kunden Banking-Programme, am besten noch mit Karte und Lesegerät, mitgeben würden. Aber das ist den Banken zu teuer.
Die derzeit sicherste Methode ist das Banking mit einem speziellen Programm nebst Chipkarte und Kartenleser. Leider bieten die wenigsten Banken bisher diese Art des Banking an (hauptsächlich wohl die Sparkassen).
Und dann gibt es noch das PIN/TAN-Verfahren mit seinen immer irrwitziger werdenden Mutationen: iTAN, mTAN, chipTAN usw. mit dem die Browser-Anwendungen, aber auch Banking-Programme arbeiten.
Sicherheit in Pecunia
Pecunia „kann“ derzeit nur das PIN/TAN-Verfahren (TAN, iTAN und mTAN). Das ist schon wesentlich besser als seine Geschäfte über den Browser zu machen, aber nicht ganz so sicher wie mit Karte. Die Kartenunterstützung ist grundsätzlich aber kein Problem, da das AqBanking-Backend das kann. Ich habe allerdings kaum eine Möglichkeit das anzuschließen, da meine Bank keine Karten unterstützt. Hier bräuchte Pecunia die Unterstützung eines Entwicklers mit Kartenleser...
Aber auch ohne Karte ist die Sicherheit sehr hoch. Zwar gilt das iTAN-Verfahren inzwischen als „unsicher“, da es gelungen ist über einen Man-in-the-Middle-Angriff Überweisungsinformationen zu fälschen - doch gelang dies nur unter Ausnutzung einer Sicherheitslücke im WebBrowser. Derartige Angriffe auf Banking-Software sind bisher meines Wissens nicht gelungen.
Neben der Transaktionssicherheit bekomme ich oft Anfragen, wie es mit der Sicherheit der Daten bestellt ist, die Pecunia selbst verwaltet. Zunächst einmal bedient sich Pecunia der Sicherheitsmechanismen, die ein ordentliches Betriebssystem (wie z.B. OSX) von Hause aus mitbringt. Die Daten werden benutzerspezifisch abgelegt und können von keinem anderen Systembenutzer gelesen werden. Nur wenn man anderen Zugang zu seinem Systembenutzer gibt (aus welchen Gründen auch immer) kann dieser grundsätzlich die Daten lesen.
Bitte beachten, dass dazu bei den Systemeinstellungen zu Thema „Sicherheit“ die erforderlichen Einstellungen zu machen sind (z.B. Kennwortabfrage beim Bildschirmschoner bzw. bei Anmeldung) wenn man grundsätzlich davon ausgehen kann, dass Fremde Zugang zum Rechner haben können.
Pecunia speichert weder PINs noch TANs. Die PINs können jedoch im Schlüsselbund gespeichert werden, die TANs werden derzeit nicht gespeichert.
Eine Verschlüsselung der Daten kann über die Einstellungen (Reiter Sicherheit) eingestellt werden. Eine Verschlüsselung ist eine weitere Barriere, falls das System kompromittiert würde bzw. für den Fall, das Backup-Verzeichnisse öffentlich zugänglich sind.
