Auch iTAN-Verfahren nicht sicher genug

Die Überlistung des iTAN-Systems sei mit Hilfe von Phishing-Methoden möglich, teilte die Arbeitsgruppe Identitätsschutz im Internet am Freitag in Bochum mit.

Mit dem iTAN-Verfahren wollen viele Banken Online-Transaktionen sicherer machen. Kunden, die eine Transaktion online tätigen wollen, geben bei dieser Technik nicht wie bisher einen beliebigen TAN-Code zur Freigabe ein, sondern werden von der Bank zur Eingabe eines bestimmten Codes aus einer Liste aufgefordert.

Die Arbeitsgruppe habe es innerhalb nur eines Tages geschafft, das System zu knacken und den symbolischen Betrag von einem Euro zu transferieren.

Vertrauen sinkt
Auch wenn sich Regulatoren, Banken und Online-Shops bemühen, die Sicherheit zu verbessern, verlieren immer mehr Nutzer ihr Vertrauen ins Netz.

Vertrauen in Online-Banking sinkt

Mehr Aufklärung nötig

Bei Einhaltung aller von Banken vorgegebenen Sicherheitshinweise sei das System zwar sicher, teilte die Universität mit. Otto Normalverbraucher sei dabei aber zu leichtsinnig, hier müsse Aufklärungsarbeit geleistet werden

Beim "Angriff" sendet der Betrüger ein E-Mail an sein Opfer. Dieses soll mit falschen, aber plausiblen Begründungen dazu gebracht werden, den Anhang zu öffnen und wird so mit der Website des Angreifers verbunden, die der Bankenseite ähnlich sieht.

SSL-Status überprüfen

"Das Opfer könnte den Unterschied zwar durch das Klicken auf das Status-Symbol - die SSL-Verschlüsselung - am unteren Rand des Browsers erkennen.

"Dies unterblieb bei allen bisher bekannt gewordenen Phishing-Fällen in Deutschland aber aus Unwissenheit", erklärte Prof. Jörg Schwenk vom Institut für IT-Sicherheit der Ruhruniversität.

Sobald Kontonummer un PIN beim Betrüger eingetroffen seien, baue der Angreifer eine Verbindung zum echten Bankserver auf. Die bei einer Transaktion gestellte Frage nach einer iTAN wird dann automatisch an das Opfer weitergeleitet. Der Angreifer erhält alle Daten und könne eine Überweisung tätigen.