[1] Anders als bisher angenommen ist das iTAN-Verfahren der Postbank nicht nur unter Laborbedingungen zu umgehen. Das Computermagazin c't [2] berichtet in der aktuellen Ausgabe 25/05, dass Betrüger sich mit bekannten Phishing-Methoden vergleichsweise einfach Zugriff auf Online-Bankkonten verschaffen könnten.
iTAN verspricht einen besseren Schutz vor Phishing als das herkömmliche PIN/TAN-Verfahren. Neben der PIN, einer feststehenden Geheimzahl, muss der Nutzer nicht nur irgendeine der vorgegebenen TAN-Nummern eingeben, sondern eine ganz bestimmte, etwa die dritte auf der TAN-Liste. Das macht es Betrügern schwer, das iTAN-Verfahren zu überlisten.
Die bisher bekannte Variante funktioniert nur unter Laborbedingungen, Betrüger müssten in Sekunden handeln, um eine Überweisung tätigen zu können.
Die c't-Redaktion warnt jedoch, dass Überweisungen mit jeder beliebigen TAN einer Liste durchführbar sind - obwohl das iTAN-Verfahren aktiviert ist. "Die Postbank bietet für alle Kunden als Alternative zum Webzugang das Homebanking Computer Interface (HBCI) mit dem unsicheren PIN/TAN-Verfahren an, das nach wie vor beliebige TANs akzeptiert", erläutert c't-Redakteur Daniel Bachfeld die Schwachstelle. Nach wie vor könnten also Betrüger über herkömmliche Phishing-Seiten, die Nutzer dazu verleiten, PIN- und TAN-Nummern einzugeben, das Konto ihrer Opfer leerräumen. Sie müssten dafür nur eine Finanzsoftware wie WISO Geld oder Starmoney einsetzen, um den Kontakt zum HBCI-Server aufzubauen.
Zwar gilt der HBCI-Standard beim Online-Banking als sicher, aber nur in Verbindung mit einer Chipkarte und einem Lesegerät. Erfolgt der HBCI-Zugang über die Eingabe von
PIN- und TAN-Nummern wie bei der Postbank, bietet es keinen zusätzlichen Schutz.
c't rät deshalb verunsicherten Postbank-Kunden, ihr HBCI-Überweisungslimit auf 0 Euro zu setzen. Denn erst im Frühjahr soll es einen Nachfolgestandard für das bisherige HBCI-Verfahren geben, das auch iTAN unterstützt. (dab)
Bildmaterial:
Das Titelbild der aktuellen c't-Ausgabe 25/2005 steht zum Download [3] bereit.
Hinweis für Hörfunkredaktionen:
Ein Radiobeitrag zu diesem Thema sowie O-Töne von c't-Redakteur Daniel Bachfeld sind unter 05 11/2 79 15 60 beim c't-Hörfunk-Service abrufbar. Unter www.radioservice.de [4] steht das Angebot für akkreditierte Hörfunkredakteure auch im MP3-Format zum Download bereit.
Links in diesem Artikel:
[1] http://www.heise-medien.de/...
[2] http://ctmagazin.de/
[3] http://www.heise-medien.de/...
[4] http://www.radioservice.de
iTAN verspricht einen besseren Schutz vor Phishing als das herkömmliche PIN/TAN-Verfahren. Neben der PIN, einer feststehenden Geheimzahl, muss der Nutzer nicht nur irgendeine der vorgegebenen TAN-Nummern eingeben, sondern eine ganz bestimmte, etwa die dritte auf der TAN-Liste. Das macht es Betrügern schwer, das iTAN-Verfahren zu überlisten.
Die bisher bekannte Variante funktioniert nur unter Laborbedingungen, Betrüger müssten in Sekunden handeln, um eine Überweisung tätigen zu können.
Die c't-Redaktion warnt jedoch, dass Überweisungen mit jeder beliebigen TAN einer Liste durchführbar sind - obwohl das iTAN-Verfahren aktiviert ist. "Die Postbank bietet für alle Kunden als Alternative zum Webzugang das Homebanking Computer Interface (HBCI) mit dem unsicheren PIN/TAN-Verfahren an, das nach wie vor beliebige TANs akzeptiert", erläutert c't-Redakteur Daniel Bachfeld die Schwachstelle. Nach wie vor könnten also Betrüger über herkömmliche Phishing-Seiten, die Nutzer dazu verleiten, PIN- und TAN-Nummern einzugeben, das Konto ihrer Opfer leerräumen. Sie müssten dafür nur eine Finanzsoftware wie WISO Geld oder Starmoney einsetzen, um den Kontakt zum HBCI-Server aufzubauen.
Zwar gilt der HBCI-Standard beim Online-Banking als sicher, aber nur in Verbindung mit einer Chipkarte und einem Lesegerät. Erfolgt der HBCI-Zugang über die Eingabe von
PIN- und TAN-Nummern wie bei der Postbank, bietet es keinen zusätzlichen Schutz.
c't rät deshalb verunsicherten Postbank-Kunden, ihr HBCI-Überweisungslimit auf 0 Euro zu setzen. Denn erst im Frühjahr soll es einen Nachfolgestandard für das bisherige HBCI-Verfahren geben, das auch iTAN unterstützt. (dab)
Bildmaterial:
Das Titelbild der aktuellen c't-Ausgabe 25/2005 steht zum Download [3] bereit.
Hinweis für Hörfunkredaktionen:
Ein Radiobeitrag zu diesem Thema sowie O-Töne von c't-Redakteur Daniel Bachfeld sind unter 05 11/2 79 15 60 beim c't-Hörfunk-Service abrufbar. Unter www.radioservice.de [4] steht das Angebot für akkreditierte Hörfunkredakteure auch im MP3-Format zum Download bereit.
Links in diesem Artikel:
[1] http://www.heise-medien.de/...
[2] http://ctmagazin.de/
[3] http://www.heise-medien.de/...
[4] http://www.radioservice.de
