Phishing nimmt noch immer zu
|14.03.2007|
Vor dem Hintergrund zunehmender Phishingangriffe kritisiert die Gesellschaft für Informatik e.V., dass iTAN Online-Banking nicht sicherer mache. Nach Auffassung der Experten hat das vor zwei Jahren eingeführte iTAN-Verfahren das Sicherheitsniveau nicht wesentlich verbessert. "Die grundsätzliche Schwachstelle aller webbasierten Transaktionsverfahren bleibt bestehen", moniert Hartmut Pohl, Sprecher des GI-Arbeitskreises "Datenschutz und IT-Sicherheit". Kurz nach Einführung des Verfahrens wurde es bereits geknackt.
Fachleute wissen das bereits länger, doch die Sparkassen- und Bankenwelt hielt es bis dato nicht für notwendig gehalten, die Öffentlichkeit ausreichend darüber zu informieren.
Nach Eingabe der PIN wird beim iTAN-Verfahren wird eine indexierte Trans AktionsNummer vom Bankkunden angefordert. Gegenüber dem einfachen TAN-Verfahren, bei welchem der Kunde entscheidet, welche TAN er von seiner Liste verwendet, kann er bei iTAN explizit nur eine ganz bestimmte TAN ver-
wenden. Sicherer als TAN ist iTAN damit auf jeden Fall. So kann ein Betrüger, der eine iTAN besitzt, damit nichts anfangen. Es sei denn, der Phisher positioniert sich im Rahmen eines man-in-the middle-Angriffes zwischen dem Kunden und seiner Onlinebank. Dazu schiebt er dem Benutzer eine gefälschte Webseite unter, fordert vertrauliche Daten an, fängt diese ab und setzt sie zur Freigabe einer Überweisung ein.
Von den Banken fordert Pohl mehr Transparenz. "Die Erläuterungen zur iTAN von Seiten der Banken sollten den eher begrenzten Beitrag der iTANs zur Sicherheit präzise darstellen und unmissverständlich klarstellen, dass es keine Sicherheit ohne die penible Beachtung wichtiger Regeln geben kann", fordert der Experte.
Pohl zufolge verdienen die folgenden Aspekte besondere Beachtung: Der Rechner darf nicht durch Trojaner verseucht sein. Außerdem müssen die Kunden das vom Browser angezeigte Zertifikat der Banking-Webseite prüfen. Dies stellt sicher, dass die https-Verbindung auch wirklich mit der eigenen Bank hergestellt ist und nicht mit einer Phishing-Webseite.
(c) 2011 ppcw.com - alle Rechte vorbehalten