webdesign-hannover.cc
News

Onlinebanking Phishing Atacken nehmen trotz iTAN zu

Hannover, 05.03.07 - Über Phishingangriffe sollen geheime Passwörter, meist die Zugangsdaten für das Onlinebanking, ausgespäht werden. Nach Ansicht der Gesellschaft für Informatik bietet die iTAN bietet keinen ausreichenden Schutz.

Die Gesellschaft für Informatik e.V. warnt Angesichts der zahlreichen Phishingmails und der nur schwer zu durchschauenden Spamflut vor den nach wie vor gegebenen Sicherheitsbedenken beim Onlinebanking. Nach Ansicht der Gesellschaft für Informatik hat auch das vor über zwei Jahren gestartete iTAN-Verfahren das Sicherheitsrisiko nur unwesentlich verbessert.

Nach Ansicht der GI gewährleistet die iTAN kein Mehr an Sicherheit sondern suggeriert sie nur. Es entstehe bei den Anwendern so nur ein trügerisches Gefühl der Sicherheit. Diese Tatsache sei Fachleuten aus den zuständigen IT-Abteilungen der führenden Banken schon seit langem bekannt. Die Sparkassen- und Bankenwelt versäumt es jedoch, Ihre Kunden und die Öffentlichkeit über die Risiken aufzuklären.

Für alle Transaktionen beim Onlinebanking ist die sogenannte persönliche Identifikationsnummern (PIN) sowie eine Transaktionsnummern (TAN) erforderlich, welche die Sicherheit der Online-Transaktion und einen ausreichenden Schutz vor Missbrauch garantieren soll. Jeder Bankkunde, der Onlinebanking betreibt erhältt dazu eine eine Liste von ca. 60 TANs zur einmaligen Verwendung. Bei jeder Transaktion muss eine gültige, also noch nicht „verbrauchte“ TAN angegeben werden. Im vergangenen Jahr haben die Banken und Sparkassen das das TAN-Verfahren auf das iTAN-Verfahren umgestellt. Alle TANs werden dabei mit so genannten Indizes nummeriert (z.B. von 1 - 60). Bei der Einleitung einer Onlinetransaktion wird der Bankkunde mit der Angabe einer noch nicht vergebenen Zufallsnummer aufgefordert, eine bestimmte TAN einzugeben.

Die Sparkassen und Banken begründeten die Einführung des komplexen Verfahren mit dem angeblich besseren Schutz vor Phishing Atacken, bei denen ein Angreifer über eine gefälschte bzw. vorgetäuschte Bankwebsite eine TAN abfangen und dann für eigene Zwecken verwenden bzw. mißbrauchen kann. Phisher wollen dem Anwender eine gefälschte Webseite vortäuschen um vertrauliche Daten des Benutzers abzufangen. Der Phisher kann sich so also unbemerkt zwischen Bank und Kundenpositionieren. In diesem Kontext sprechen die Datenschützer auch vom "man-in-the-middle-attack".

Nach Ansicht der Gesellschaft für Informatik können Phishing-Angriffe mit zwei Maßnahmen deutlich erschwert werden:

1. Alle "Trojanische Pferde’ auf dem heimischen PC mit geeigneter Software suchen und löschen
2. Das vom Browser angezeigte Zertifikat sorgfältig überprüfen

Die GI fordert die Banken und Sparkassen auf, ihren Kunden den begrenzten Beitrag der iTANs zur Sicherheit präzise darzustellen und deutlich zu machen, dass es keine Sicherheitsgarantie ohne die Beachtung der obigen Regeln geben kann.

zur News Übersichtzur News Übersicht

CrawlTrack: free crawlers and spiders tracking script for webmaster- SEO script -script gratuit de détection des robots pour webmaster