Heise Medien Gruppe  


Über uns   
Produkte   
Nachrichten   
Presse-Service   
Presse-Informationen
  aktuell
  c't
  iX
  Technology Review
  Telepolis
  heise online
  Telefonbücher
  Verlag Heinz Heise
  Heise Zeitschriften Verlag
  Heise Medien Gruppe
  heise-marktplatz
c't-Hörfunkservice
Bilder & Vitae
Multimedia
Presse-Abo
Ansprechpartner
  
Beruf & Karriere   
Kontakt   
Impressum   

 
  

c't zeigt weitere Lücke beim Online-Banking auf

Hintertür beim iTAN-Verfahren der Postbank

 Titelbild der c't-Ausgabe 25/2005

Hannover, 25. November 2005 - Anders als bisher angenommen ist das iTAN-Verfahren der Postbank nicht nur unter Laborbedingungen zu umgehen. Das Computermagazin c't berichtet in der aktuellen Ausgabe 25/05, dass Betrüger sich mit bekannten Phishing-Methoden vergleichsweise einfach Zugriff auf Online-Bankkonten verschaffen könnten.

iTAN verspricht einen besseren Schutz vor Phishing als das herkömmliche PIN/TAN-Verfahren. Neben der PIN, einer feststehenden Geheimzahl, muss der Nutzer nicht nur irgendeine der vorgegebenen TAN-Nummern eingeben, sondern eine ganz bestimmte, etwa die dritte auf der TAN-Liste. Das macht es Betrügern schwer, das iTAN-Verfahren zu überlisten. Die bisher bekannte Variante funktioniert nur unter Laborbedingungen, Betrüger müssten in Sekunden handeln, um eine Überweisung tätigen zu können.

Die c't-Redaktion warnt jedoch, dass Überweisungen mit jeder beliebigen TAN einer Liste durchführbar sind - obwohl das iTAN-Verfahren aktiviert ist. "Die Postbank bietet für alle Kunden als Alternative zum Webzugang das Homebanking Computer Interface (HBCI) mit dem unsicheren PIN/TAN-Verfahren an, das nach wie vor beliebige TANs akzeptiert", erläutert c't-Redakteur Daniel Bachfeld die Schwachstelle. Nach wie vor könnten also Betrüger über herkömmliche Phishing-Seiten, die Nutzer dazu verleiten, PIN- und TAN-Nummern einzugeben, das Konto ihrer Opfer leerräumen. Sie müssten dafür nur eine Finanzsoftware wie WISO Geld oder Starmoney einsetzen, um den Kontakt zum HBCI-Server aufzubauen.

Zwar gilt der HBCI-Standard beim Online-Banking als sicher, aber nur in Verbindung mit einer Chipkarte und einem Lesegerät. Erfolgt der HBCI-Zugang über die Eingabe von PIN- und TAN-Nummern wie bei der Postbank, bietet es keinen zusätzlichen Schutz.

c't rät deshalb verunsicherten Postbank-Kunden, ihr HBCI-Überweisungslimit auf 0 Euro zu setzen. Denn erst im Frühjahr soll es einen Nachfolgestandard für das bisherige HBCI-Verfahren geben, das auch iTAN unterstützt. (dab)

Bildmaterial: Das Titelbild der aktuellen c't-Ausgabe 25/2005 steht zum Download bereit.

Hinweis für Hörfunkredaktionen: Ein Radiobeitrag zu diesem Thema sowie O-Töne von c't-Redakteur Daniel Bachfeld sind unter 05 11/2 79 15 60 beim c't-Hörfunk-Service abrufbar. Unter www.radioservice.de steht das Angebot für akkreditierte Hörfunkredakteure auch im MP3-Format zum Download bereit.

Ihre Ansprechpartnerin für Rückfragen

Anja Reupke
Heise Medien Gruppe
Presse- und Öffentlichkeitsarbeit
Telefon: +49 [0] 511 5352-561
Telefax: +49 [0] 511 5352-563
anja.reupke@heise-medien.de

[Version zum Drucken] 		  

Heise Logo

© 2012 Heise Medien Gruppe GmbH & Co. KG