Kommentar: Nach .com, .info und .museum - warum nicht auch .bank?

Schon im letzten Herbst sinnierte Virenforschungsleiter Mikko Hyppönen im F-Secure-Weblog [1] über die Möglichkeit, für Banken eine separate Top-Level-Domain einzuführen, wie z.B. ".bank". Bei seinem kürzlichen Besuch in Zürich erläuterte er diese Idee genauer.

Unter den typischen Top-Level-Domains (TLD) wie beispielsweise .com, .net, .de oder .ch kann heute jeder nach Belieben neue Domainnamen registrieren, auch wenn diese sehr den Namen bestehender Finanzdienstleister ähneln. So ist es keine Überraschung, dass sich Phishing-Betrüger auf verfängliche Namen wie "creditsuisse-safe-login.com" oder "ebaysecure-login.net" stürzen. Von den vielen Millionen Anwendern, die Mails mit solchen Links erhalten, sind nur die wenigsten in der Lage, die Fälschungen selber zu erkennen.

Machbar wäre es. "Warum gibt es beispielsweise bereits eine TLD '.museum'", fragt sich Hyppönen (Bild links), "aber nicht '.bank'? Die Banken würden sie nutzen und die Leute gewöhnten sich bestimmt schnell daran". Was für Regeln müssten für die Vergabe von ".bank"-Domains gelten? Eine zentrale Domainvergabestelle dürfte diese Domains nur an echte, überprüfte Finanzinstitute ausgeben, die hierfür zwingend eine amtliche Bescheinigung vorlegen müssten. Ausserdem dürfte das Registrieren solcher Domains nicht zu billig sein; für eine Bank wären einige Tausend Franken ein Pappenstiel.

Natürlich wäre .bank nicht die alleinseligmachende Patentlösung gegen das Erschleichen von Banklogindaten. Phishing-Betrüger kennen noch ganz andere Tricks, um die wahre Natur der gefälschten Bankmails und -webseiten zu verschleiern. (Bild: Beispiel einer typischen Phishing-Mail. Hält man den Mauszeiger über den Link, ist in der Statuszeile des Mailfensters zu erkennen, dass die echte Adresse nicht die gleiche ist, die im Mailtext steht.)

So liesse sich ein Link durch absichtliches Verkomplizieren immer noch so gestalten, dass er auf den ersten Blick seriös aussähe. Auch das Problem des Pharmings wäre dadurch nicht vom Tisch: Falls ein Betrüger es schafft, dem Opfer zuerst einen Trojaner unterzujubeln, kann er damit die Eingabe der korrekten Bank-Adresse auf eine Phishing-Seite umleiten.

Wir finden: Die ".bank"-Domain wäre ein guter Schritt in die richtige Richtung. Sie wäre jedoch in einem Sicherheitskonzept nur ein Mosaikstein unter vielen.

Fünf wichtige Tipps gegen Phishing:

1. Verhindern Sie Schädlingsbefall, indem Sie Ihre Software (inkl. Virenscanner) mit regelmässigen Updates aktuell halten; und dies am besten noch einmal manuell, bevor Sie Ihre Onlinebanking-Sitzung starten.

2. Geben Sie die Webadresse Ihrer Online-Bank stets selber im Browser ein oder wählen Sie hierfür ein selbsterstelltes Lesezeichen.

3. Banken verschicken keine Mails, in denen Sie zum Eingeben von Daten in Online-Formulare aufgefordert werden; deshalb sollten Sie auf solche Links nie klicken.

4. Zeigen Sie die Mails möglichst nicht als HTML, sondern als reinen Text an; so erkennen Sie besser, wohin ein Link führt.

5. Führen Sie kein Onlinebanking an einem PC durch, der von anderen Benutzern mitverwendet wird (z.B. in Firma, Schule oder gar Internetcafé), denn die Gefahr durch einen allenfalls installierten Keylogger wäre zu gross.