c't zeigt weitere Lücke beim Online-Banking auf

Hintertür beim iTAN-Verfahren der Postbank
(PresseBox) (Hannover, ) [1] Anders als bisher angenommen ist das iTAN-Verfahren der Postbank nicht nur unter Laborbedingungen zu umgehen. Das Computermagazin c't [2] berichtet in der aktuellen Ausgabe 25/05, dass Betrüger sich mit bekannten Phishing-Methoden vergleichsweise einfach Zugriff auf Online-Bankkonten verschaffen könnten.

iTAN verspricht einen besseren Schutz vor Phishing als das herkömmliche PIN/TAN-Verfahren. Neben der PIN, einer feststehenden Geheimzahl, muss der Nutzer nicht nur irgendeine der vorgegebenen TAN-Nummern eingeben, sondern eine ganz bestimmte, etwa die dritte auf der TAN-Liste. Das macht es Betrügern schwer, das iTAN-Verfahren zu überlisten.
Die bisher bekannte Variante funktioniert nur unter Laborbedingungen, Betrüger müssten in Sekunden handeln, um eine Überweisung tätigen zu können.

Die c't-Redaktion warnt jedoch, dass Überweisungen mit jeder beliebigen TAN einer Liste durchführbar sind - obwohl das iTAN-Verfahren aktiviert ist. "Die Postbank bietet für alle Kunden als Alternative zum Webzugang das Homebanking Computer Interface (HBCI) mit dem unsicheren PIN/TAN-Verfahren an, das nach wie vor beliebige TANs akzeptiert", erläutert c't-Redakteur Daniel Bachfeld die Schwachstelle. Nach wie vor könnten also Betrüger über herkömmliche Phishing-Seiten, die Nutzer dazu verleiten, PIN- und TAN-Nummern einzugeben, das Konto ihrer Opfer leerräumen. Sie müssten dafür nur eine Finanzsoftware wie WISO Geld oder Starmoney einsetzen, um den Kontakt zum HBCI-Server aufzubauen.

Zwar gilt der HBCI-Standard beim Online-Banking als sicher, aber nur in Verbindung mit einer Chipkarte und einem Lesegerät. Erfolgt der HBCI-Zugang über die Eingabe von
PIN- und TAN-Nummern wie bei der Postbank, bietet es keinen zusätzlichen Schutz.

c't rät deshalb verunsicherten Postbank-Kunden, ihr HBCI-Überweisungslimit auf 0 Euro zu setzen. Denn erst im Frühjahr soll es einen Nachfolgestandard für das bisherige HBCI-Verfahren geben, das auch iTAN unterstützt. (dab)

Bildmaterial:
Das Titelbild der aktuellen c't-Ausgabe 25/2005 steht zum Download [3] bereit.

Hinweis für Hörfunkredaktionen:
Ein Radiobeitrag zu diesem Thema sowie O-Töne von c't-Redakteur Daniel Bachfeld sind unter 05 11/2 79 15 60 beim c't-Hörfunk-Service abrufbar. Unter www.radioservice.de [4] steht das Angebot für akkreditierte Hörfunkredakteure auch im MP3-Format zum Download bereit.

Links in diesem Artikel:
[1] http://www.heise-medien.de/...
[2] http://ctmagazin.de/
[3] http://www.heise-medien.de/...
[4] http://www.radioservice.de

Kontakt

Heise Medien Gruppe GmbH & Co KG
Karl-Wiechert-Allee 10
D-30625 Hannover
Anja Reupke
Presse- und Öffentlichkeitsarbeit Heise Medien Gru
Social Media