iTAN-Verfahren leichter auszuhebeln als angenommen

Das neue iTAN-System der Postbank ist offenbar leichter auszuhebeln als bisher angenommen. Wie Computerexperten jetzt herausfanden, können Betrüger trotz des als sicherer angepriesenen Verfahrens mit ergatterter PIN und TAN Bankkonten plündern. Dazu benötigten sie neben den vertraulichen Online-Banking-Daten lediglich eine Finanzsoftware und eine Verbindung zum Homebanking Computer Interface-Server (HBCI), berichtet das Magazin c't in seiner aktuellen Ausgabe. Bislang ließ sich das iTAN-System, bei dem der Online-Banking-User statt nach einer beliebigen nach einer bestimmten TAN gefragt wird, nur unter Laborbedingungen austricksen.

Den Testern gelang es nach eigenen Angaben, durch die Hintertür mit beliebig ausgewählten TANs Überweisungen zu tätigen, obwohl das iTAN-System aktiviert war. Möglich sei dies gewesen, da die Postbank als Alternative zum Webzugang das HBCI mit dem bisherigen, unsichereren PIN/TAN-Verfahren anbietet. Nach Angaben des Magazins bestätigte die Postbank die Schwachstelle: "Für eine Übergangszeit werden indizierte TAN und mobile TAN noch nicht über die HBCI-Schnittstelle geprüft", wird der Pressesprecher Jürgen Ebert in dem Bericht zitiert. Nachbesserungen seien für das kommende Frühjahr zu erwarten, wenn die derzeitigen Tests mit HBCI-Nachfolgestandard FinTS 3.0 abgeschlossen seien.

Bis dahin sollten Postbank-Kunden, die kein HBCI mit Homebanking-Software nutzen, das HBCI-Überweisungslimit über den Web-Zugang auf null Euro setzen. Für Betroffene Konten wolle die Potsbank das im Dezember automatisch nachholen. Möglicherweise seien auch die Kunden anderer Banken von dem Problem betroffen. Sicher vor solchem Betrug durch so genannte Phisher sind diejenigen Kunden, die ihre PIN und TAN nicht auf manipulierten Bank-Seiten eingeben haben.