Nachdem Software-Experten der Universität Bochum das neue Sicherheitssystem der Postbank für Online-Banking geknackt haben, hat die Postbank zwar einen Euro mehr, dafür aber ein massives Problem. Denn sie ist gerade dabei, das "iTAN"-Verfahren einzuführen und damit so genannte Pishing-Attacken weitestgehend unmöglich machen. Das berichtet das "Handelsblatt".
Neu an dem iTAN-Verfahren ist, dass der Nutzer bei jeder Überweisung eine indizierte TAN-Nummer verschicken muss. Bisher konnte er aus 100 TAN-Nummer frei auswählen. Doch die Hochschulhacker hatten eigenen Angaben zufolge nur einen Tag benötigt, um das iTAN-Verfahren zu überwinden. Ihren Erfolg dokumentierten sie mit der symbolischen Überweisung von einem Euro.
Dem Handelsblatt zufolge erklärte ein Postbank-Sprecher, sein Institut habe nie behauptet, dass iTAN absolut sicher sei.
Nicht nur die Postbank, sondern auch die Deutsche Bank ist dabei, das iTAN-Verfahren einzuführen, und die Sparkassen planen, demnächst mit iTAN starten.
Der Grund für die Einführung des iTAN-Verfahrens beim Online-Banking liefern so genannte Phishing-Attacken. Dabei navigieren Hacker Bankkunden per E-Mail auf gefälschte Internet-Seiten und fragen unter einem Vorwand deren Kontendaten und Transaktionsnummern ab.
Um diese Angriffe weitgehend unmöglich zu machen, sollen indexierte Transaktionsnummern (iTAN) helfen. Denn nunmehr fordert die Bank eine ganz bestimmte Transaktionsnummer von der TAN-Liste des Kunden an - diese aber können Pisher nicht wissen, da sie den Index nicht kennen.
Doch die Bochumer konnten bei ihrem Angriff einen gleichzeitigen Online-Dialog mit Kunden und mit der Bank aufbauen, so dass sie durch diese so genannte "Man in the middle"-Attacke die Abfrage einer bestimmten TAN abfangen und sofort beantwortet konnten. "Es war viel einfacher, als wir uns das vorgestellt hatten", sagte Henrik Te Heesen, einer der beteiligten Bochumer Forscher, die den Angriff programmierten.
Laut dem Handelsblatt sind Sicherheitsexperten über diesen erfolgreichen Angriff nicht überrascht. "Wenn Kriminelle ihr Verhalten leicht modifizieren, wird das iTAN-Verfahren nahezu wirkungslos", wird Maximilian Dornseif von der Universität Mannheim, von der Zeitung zitiert. Dornseif hat die Aachener RedTeam-Initiative, die Sicherheitssysteme auf Schwachstellen prüft, ins Leben gerufen. (wl)