Sicheres Online-Banking mit Bankix
Mirko Dölle
c't Bankix ist ein Live-Linux-Betriebssystem, das speziell für sicheres Online-Banking konzipiert wurde und von CD oder USB-Stick arbeitet.
Neue Version c't Bankix 12.04.2 vom 08.03.2013 mit UEFI-Secure-Boot-Unterstützung steht zum Download bereit
Beschreibung
c't Bankix ist ein von Ubuntu abgeleitetes Live-Linux-Betriebssystem, das speziell für sicheres Online-Banking konzipiert wurde und von CD oder USB-Stick arbeitet. Die Version 12.04.1, die in c't 16/12 vorgestellt wurde, ist die dritte von grundauf neu entworfene Version des Online-Banking-Systems und basiert auf Ubuntu 12.04 LTS, die zusammen mit c't 1/13 veröffentlichte Version 12.04.2 ist eine aktualisierte Fassung, die nun DVDs als optischen Datenträger sowie aktuelle Hardware mit aktiviertem UEFI Secure Boot unterstützt.
Beim Entwurf von c't Bankix stand der Gedanke im Vordergrund, das System gegen Angriffe von außen und gegen Schadsoftware abzusichern. Einmal auf einer DVD installiert, kann es auch von einem Angreifer nicht mehr manipuliert werden. Durch einen mit Signaturen und Prüfsummen gesicherten Update-Mechanismus lassen sich dennoch im laufenden Betrieb aktuelle Security-Fixes aus vertrauenswürdiger Quelle installieren, ohne die Sicherheit des Systems zu gefährden.
Zudem haben wir bei c't Bankix Vorkehrungen gegen sogenannte Zero Day Exploits getroffen: Selbst wenn ein Angreifer über eine bislang unbekannte Schwachstelle eindringt, bietet c't Bankix ihm keine Gelegenheit, sich dauerhaft auf dem PC einzunisten, da die internen Festplatten Ihres Rechners durch einen speziellen Patch des Linux-Kernels unerreichbar und das Bootmedium von c't Bankix schreibgeschützt sind.
Mit Hibiscus von Olaf Willuhn bietet c't Bankix neben herkömmlichem Online-Banking via Browser ein ausgewachsenes Finanzverwaltungsprogramm,das über die HBCI-Schnittstelle (Home Banking Computer Interface) auf Online-Konten zugreift, aber auch Umsätze von Offline-Konten wie Sparbüchern erfassen kann -- auf diese Weise bietet Ihnen Hibiscus einen beliebig genauen Überblick über Ihre Finanzsituation.
Wir empfehen, c't Bankix mittels UNetbootin auf einem USB-Stick mit Schreibschutzschalter oder einer SD-Speicherkarte zu installieren – wobei es insbesondere bei SD-Karten entscheidend ist, den Schreibschutz zu überprüfen, da dessen Funktion einzig vom verwendeten Kartenleser abhängt. Alternativ können Sie das ISO-Image als erste Session auf eine Multi-Session-DVD brennen.
Nach dem ersten Start von dem noch beschreibbaren USB-Stick bzw. der noch nicht abgeschlossenen DVD haben Sie die Möglichkeit, Updates sowie zusätzliche Programme einzuspielen, können im Firefox die Online-Banking-Seite Ihrer Bank als Lesezeichen oder Startseite hinterlegen, einen E-Mail-Account einrichten und nahezu beliebige Änderungen am Basissystem vornehmen. Wenn Sie fertig sind, speichern Sie die Systemeinstellungen über das entsprechende Icon im Launcher und fahren den Rechner herunter oder starten ihn neu. Beim Herunterfahren oder Neustart werden die zusätzlichen Pakete und die geänderten Einstellunge unter dem Dateinamen settings.squashfs auf dem USB-Stick gespeichert oder als finale Session auf die Multi-Session-DVD geschrieben. Anschließend ist die DVD nicht mehr veränderbar, beim USB-Stick müssen Sie entsprechend den Schreibschutz aktivieren.
Alle weiteren Änderungen am System wirken lediglich auf die aktuell laufende Sitzung von c't Bankix. Um Bookmarks oder ihre Hibiscus-Finanzdaten zu speichern, können Sie einen USB-Stick (ohne Schreibschutz) als Home-Laufwerk einrichten. Dann werden beim Herunterfahren sämtliche Benutzerdaten, darunter die Firefox-, Thunderbird- und Hibiscus-Einstellungen, auf dem USB-Stick gespeichert und beim nächsten Neustart beschreibbar als Home-Verzeichnis eingebunden, sodass Sie diese Einstellungen jederzeit aktualisieren können.
Aktuelle Version: c't Bankix 12.04.2 vom 08.03.2013 (539 MByte, Prüfsummen)
Die Aktualisierungen in c't Bankix 12.04.2 betreffen mehrere Bereiche: Neben verschiedenen kleineren Aktualisierungen enthält c't Bankix 12.04.2 einen neuen Kernel, der insbesondere aktuelle Hardware besser unterstützt. Zudem haben wir das ISO-Image mit einem signierten Bootloader versehen, sodass c't Bankix 12.04.2 auf Rechnern mit aktiviertem UEFI Secure Boot startet. Das sind üblicherweise alle Rechner, die mit Windows 8 als Betriebssystem verkauft werden.
Auch die Installation auf USB-Stick ist mit aktiviertem Secure Boot möglich: Dazu lassen Sie eine GPT-Partitionstabelle auf dem USB-Stick erstellen, legen eine FAT-32-formatierte Partition an, markieren ihn als bootfähig (Typ EE) und kopieren dann einfach den Inhalt des ISO-Images (nicht das Image selbst!) auf den USB-Stick. Eine Bootloader-Konfiguration oder ähnliches ist hier nicht erforderlich, UEFI findet den Bootloader direkt über das Dateisystem.
Ein Nachteil der Version 12.04.2 ist, dass sie auf alten Rechnern mit Pentium-M-Prozessor, die keine PAE-Unterstützung aufweisen, nicht mehr startet. Hier müssen Sie auf die Version 12.04.1d zurückgreifen
Außerdem verwendet c't Bankix seit Version 12.04.1d DVDs als optische Datenspeicher (lässt sich aber weiterhin wie gewohnt auf SD-Karte oder USB-Stick installieren), zudem lässt sich die neue Version von c't Bankix mit dem sicheren Surf-Livesystem c't Surfix kombinieren. Eine entsprechende Anleitung findet sich in c't 1/13.
Nach Redaktionsschluss haben wir eine weitere, einfachere Methode zur Kombi-Installation von c't Bankix und c't Surfix entwickelt. Dazu installieren Sie im ersten Schritt wie gewohnt c't Bankix auf einer DVD oder auf einem USB-Flash-Speicher. Anschließend starten Sie c't Bankix, öffnen die Paketverwaltung Synaptic und installieren das Paket ctsurfix-addon nach. Daraufhin taucht im Launcher auf der linken Seite ein weiteres Symbol auf, das c't Surfix hinzufügt – dieses starten Sie. Als Zwischenspeicher benötigen Sie einen leeren, formatierten USB-Stick, der mindestens 1 GByte groß ist. Beim Herunterfahren wird dann c't Surfix zu Ihrer c't-Bankix-Installation hinzugefügt und kann beim nächsten Start des Rechners im Boot-Menü ausgewählt werden.
Sollte der Server aufgrund großer Nachfrage keine weitern Verbindungen annehmen, können Sie c't Bankix auch von einem der Mirrors herunterladen. Sie finden das ISO-Image dort im Unterverzeichnis ct/projekte/ctbankix/, zusammen mit der signierten Prüfsummendatei. Die ID des Signaturschlüssels lautet 6FED0D61, der Fingerprint 8EEA 880B 4524 5752 35D7 776F A255 A2F1 6FED 0D61. Zudem haben wir den Schlüssel auf der Desinfec't-DVD in c't 08/11 veröffentlicht.
