unsicher

Experten knacken Sicherheitssystem für Online-Banking

iTAN-Verfahren ist "nahezu wirkungslos"
Von ddp / Marie-Anne Winter

Software-Experten der Universität Bochum haben nach einem Zeitungsbericht das neue Sicherheitssystem der Postbank ausgetrickst. Wie das Düsseldorfer Handelsblatt vorab berichtete, soll das so genannte iTAN-Verfahren eigentlich vorhandene Sicherheitslücken schließen. Die Hochschulhacker aus Bochum hätten nach eigenen Angaben gerade einmal einen Tag benötigt, um das iTAN-Verfahren zu überwinden und ihren Erfolg mit der symbolischen Überweisung von einem Euro zu dokumentieren.

Dem Bericht zufolge stehen Postbank und Deutsche Bank mitten in der Einführung des Systems. Auch die Sparkassen wollen demnächst mit iTAN starten. Ein Postbank-Sprecher verwies auf Nachfrage des Blattes darauf, sein Institut habe nie behauptet, dass iTAN absolut sicher sei. Längerfristig hoffe das Institut, dass sich die von der Bundesregierung geförderte elektronische Signatur am Markt durchsetzen werde.

"Man in the middle"-Attacke

Seit geraumer Zeit häufen sich beim Online-Banking so genannte Phishing-Attacken. Dabei locken Hacker die Bankkunden per E-Mail auf gefälschte Internet-Seiten und fragen unter einem Vorwand Kontendaten und Transaktionsnummern ab. Diese Angriffe sollten mit indexierten Transaktionsnummern (iTAN) unterbunden werden. Die Bank fordert dabei eine ganz bestimmte Transaktionsnummer von der TAN-Liste des Kunden an. Die Bochumer Wissenschaftler haben bei ihrem Angriff einen gleichzeitigen Online-Dialog mit Kunden und mit der Bank aufgebaut, wie das Blatt schrieb. Durch diese "Man in the middle"-Attacke kann die Abfrage einer bestimmten TAN praktisch sofort beantwortet werden. "Es war viel einfacher, als wir uns das vorgestellt hatten", sagte Henrik Te Heesen, einer der beteiligten Bochumer Forscher, die den Angriff programmierten.

Für Sicherheitsexperten kommt der erfolgreiche Angriff nicht überraschend. "Wenn Kriminelle ihr Verhalten leicht modifizieren, wird das iTAN-Verfahren nahezu wirkungslos", sagte Maximilian Dornseif von der Universität Mannheim dem Handelsblatt. Dornseif ist Initiator der Red-Team-Initiative, die Sicherheitssysteme auf Schwachstellen prüft.