Nahezu alle Risiken im Zusammenhang mit Benutzernamen und Passwörtern sind auf die Tatsache zurückzuführen, dass die Kommunikation zwischen Website und Benutzer meist nach einem ganz bestimmten Muster abläuft:

Nachdem er Zugang zu einer Website gefordert hat, wird der Benutzer zur Eingabe eines Benutzernamens und Passworts aufgefordert. Nach der Überprüfung des Benutzers beginnen Website und Benutzer eine Reihe von Navigations- und Transaktionsschritten.

Die meisten im Internet vertretenen Finanzinstitute verwenden eine Kombination aus Benutzername, Passwort und teilweise an eine Standard-HTML-Seite übertragener PIN. Dies ist eine äußerst simple Lösung, die Online-Dieben den Weg bereitet, da sie keine wirksame Abwehr von Attacken durch Phishing oder Spyware bzw. Trojanern vorsieht.

Hat sich der Benutzer erst einmal erfolgreich angemeldet, wird für die Dauer der gesamten Sitzung angenommen, dass er auch der ist, für den er sich ausgibt. Und genau an diesem Punkt setzen die Man-In-The-Middle-Angriffe an. Der zwischengeschaltete Hacker muss Benutzername und Passwort erst gar nicht abfangen oder knacken - der Benutzer meldet sich einfach wie gewohnt an und dann wird die Sitzung angezapft und/oder gekapert.

SSL: völlig nutzlos

"SSL wird uns schützen, schließlich ist auf jeder Website, auf der ich etwas kaufe, zu lesen, dass alles mit 128-Bit-SSL verschlüsselt und absolut sicher ist."

SSL ist die Abkürzung für Secure Sockets Layer, eine Technologie, die zur Verschlüsselung des Datenverkehrs zwischen zwei Punkten in einem Netzwerk entwickelt wurde, also z. B. zwischen zwei Computern im Internet. Wenn Sie sich bei Ihrer Bank einloggen, sehen Sie SSL bei der Arbeit - gewöhnlich wird dies durch ein kleines Vorhängeschloss in der unteren Statuszeile des Browsers angezeigt. Unter Umständen kann man die Verwendung von SSL auch daran erkennen, dass am Beginn der Webadresse "https:" statt "http:" steht.

SSL erhöht in der Tat die Sicherheit zwischen zwei Punkten im Netzwerk, allerdings hat die Sache einen Haken: Einer der beiden Punkte könnte ein durch eine MITM-Attacke kontrollierter Computer sein. Eine weitere Schwachstelle von SSL ist seine Anfälligkeit für Pharming, das den Benutzer unbemerkt umleitet. Es könnte also sein, dass Sie auf eine gefälschte Website zugreifen und deren SSL-Symbol in Ihrem Browser sehen. Sie fühlen sich also ganz sicher, sind aber in größter Gefahr.

Desktop-Attacken erfolgen wiederum direkt auf dem Computer des Benutzers, wogegen SSL machtlos ist. Das liegt daran, dass SSL zwischen Ihrem Browser und der aufgerufenen Website aktiv wird. Wenn auf dem Desktop jedoch ein Trojaner oder Spyware am Werk ist, werden die eingegebenen Daten abgefangen bevor sie verschlüsselt werden können.

Was aber noch schlimmer ist: Alles SSL der Welt kann nichts gegen böswillige Mitarbeiter ausrichten, die Zugang zu persönlichen und vertraulichen Daten haben. SSL kann bestenfalls einen Schutz gegen Phishing darstellen, aber nur, wenn der Benutzer weiß wie er reagieren muss, wenn ihm ein unrechtmäßiges Zertifikat angezeigt wird. Aber wie viele Benutzer wissen das schon?