c't zeigt weitere Lücke beim Online-Banking auf

Hintertür beim iTAN-Verfahren der Postbank

(PresseBox) (Hannover, ) [1] Anders als bisher angenommen ist das iTAN-Verfahren der Postbank nicht nur unter Laborbedingungen zu umgehen. Das Computermagazin c't [2] berichtet in der aktuellen Ausgabe 25/05, dass Betrüger sich mit bekannten Phishing-Methoden vergleichsweise einfach Zugriff auf Online-Bankkonten verschaffen könnten.

iTAN verspricht einen besseren Schutz vor Phishing als das herkömmliche PIN/TAN-Verfahren. Neben der PIN, einer feststehenden Geheimzahl, muss der Nutzer nicht nur irgendeine der vorgegebenen TAN-Nummern eingeben, sondern eine ganz bestimmte, etwa die dritte auf der TAN-Liste. Das macht es Betrügern schwer, das iTAN-Verfahren zu überlisten.
Die bisher bekannte Variante funktioniert nur unter Laborbedingungen, Betrüger müssten in Sekunden handeln, um eine Überweisung tätigen zu können.

Die c't-Redaktion warnt jedoch, dass Überweisungen mit jeder beliebigen TAN einer Liste durchführbar sind - obwohl das iTAN-Verfahren aktiviert ist. "Die Postbank bietet für alle Kunden als Alternative zum Webzugang das Homebanking Computer Interface (HBCI) mit dem unsicheren PIN/TAN-Verfahren an, das nach wie vor beliebige TANs akzeptiert", erläutert c't-Redakteur Daniel Bachfeld die Schwachstelle. Nach wie vor könnten also Betrüger über herkömmliche Phishing-Seiten, die Nutzer dazu verleiten, PIN- und TAN-Nummern einzugeben, das Konto ihrer Opfer leerräumen. Sie müssten dafür nur eine Finanzsoftware wie WISO Geld oder Starmoney einsetzen, um den Kontakt zum HBCI-Server aufzubauen.

Zwar gilt der HBCI-Standard beim Online-Banking als sicher, aber nur in Verbindung mit einer Chipkarte und einem Lesegerät. Erfolgt der HBCI-Zugang über die Eingabe von
PIN- und TAN-Nummern wie bei der Postbank, bietet es keinen zusätzlichen Schutz.

c't rät deshalb verunsicherten Postbank-Kunden, ihr HBCI-Überweisungslimit auf 0 Euro zu setzen. Denn erst im Frühjahr soll es einen Nachfolgestandard für das bisherige HBCI-Verfahren geben, das auch iTAN unterstützt. (dab)

Bildmaterial:
Das Titelbild der aktuellen c't-Ausgabe 25/2005 steht zum Download [3] bereit.

Hinweis für Hörfunkredaktionen:
Ein Radiobeitrag zu diesem Thema sowie O-Töne von c't-Redakteur Daniel Bachfeld sind unter 05 11/2 79 15 60 beim c't-Hörfunk-Service abrufbar. Unter www.radioservice.de [4] steht das Angebot für akkreditierte Hörfunkredakteure auch im MP3-Format zum Download bereit.

Links in diesem Artikel:
[1] http://www.heise-medien.de/...
[2] http://ctmagazin.de/
[3] http://www.heise-medien.de/...
[4] http://www.radioservice.de

Heise Medien Gruppe GmbH & Co KG

heise jobs ist die IT-Jobbörse unter dem Dach von heise online (www.heise.de [1]). Der renommierte Internet-Auftritt mit seinem umfangreichen News- und Service-Angebot ist täglicher Treffpunkt für Computerprofis und IT-Interessierte. Mit über 709.838 PageImpressions im Monat (IVW 04/08) gehört heise jobs zu den führenden IT-Jobbörsen Deutschlands. heise online zählt laut IVW zu den meistbesuchten deutschen Special-Interest-Angeboten.

Eingebunden in dieses kontaktstarke Medium bietet heise jobs Personalverantwortlichen die optimale Zielgruppe für die Mitarbeiterrekrutierung in den Bereichen Informationstechnologie und Telekommunikation.

Diese Pressemitteilungen könnten Sie auch interessieren

News abonnieren

Mit dem Aboservice der PresseBox, erhalten Sie tagesaktuell und zu einer gewünschten Zeit, relevante Presseinformationen aus Themengebieten, die für Sie interessant sind. Für die Zusendung der gewünschten Pressemeldungen, geben Sie bitte Ihre E-Mail-Adresse ein.

Es ist ein Fehler aufgetreten!

Vielen Dank! Sie erhalten in Kürze eine Bestätigungsemail.


Ich möchte die kostenlose Pressemail abonnieren und habe die Bedingungen hierzu gelesen und akzeptiert.