Der Grund für die Einführung des iTAN-Verfahrens beim Online-Banking liefern so genannte Phishing-Attacken. Dabei navigieren Hacker Bankkunden per E-Mail auf gefälschte Internet-Seiten und fragen unter einem Vorwand deren Kontendaten und Transaktionsnummern ab.
Um diese Angriffe weitgehend unmöglich zu machen, sollen indexierte Transaktionsnummern (iTAN) helfen. Denn nunmehr fordert die Bank eine ganz bestimmte Transaktionsnummer von der TAN-Liste des Kunden an - diese aber können Pisher nicht wissen, da sie den Index nicht kennen.
Doch die Bochumer konnten bei ihrem Angriff einen gleichzeitigen Online-Dialog mit Kunden und mit der Bank aufbauen, so dass sie durch diese so genannte "Man in the middle"-Attacke die Abfrage einer bestimmten TAN abfangen und sofort beantwortet konnten. "Es war viel einfacher, als wir uns das vorgestellt hatten", sagte Henrik Te Heesen, einer der beteiligten Bochumer Forscher, die den Angriff programmierten.
Laut dem Handelsblatt sind Sicherheitsexperten über diesen erfolgreichen Angriff nicht überrascht. "Wenn Kriminelle ihr Verhalten leicht modifizieren, wird das iTAN-Verfahren nahezu wirkungslos", wird Maximilian Dornseif von der Universität Mannheim, von der Zeitung zitiert. Dornseif hat die Aachener RedTeam-Initiative, die Sicherheitssysteme auf Schwachstellen prüft, ins Leben gerufen. (wl)