Online-Banking:Neues Sicherheitssystem geknackt

Das kürzlich eingeführte Verfahren sollte Online-Banking sicherer machen. Doch ein paar Experten von der Uni Bochum brauchten nur einen Tag, um iTan zu knacken.

Software-Techniker haben das neue Sicherheitssystem für Online-Banking überwunden. Das Handelsblatt berichtete, die Experten der Universität Bochum hätten das so genannte iTAN-Verfahren der Postbank binnen 24 Stunden überlistet.

Postbank, dpa

Das neue iTAN-Verfahren der Postbank weist Lücken auf. Bei korrekter SSL-Verbindung besteht laut Experten jedoch kaum Gefahr.

(Foto: Foto: dpa)

Absolute Sicherheit wurde nie behauptet

Ihren Erfolg hätten die "Hacker" mit der symbolischen Überweisung von einem Euro dokumentiert, schrieb das Blatt. Ein Postbank-Sprecher sagte der Zeitung zufolge, man habe nie behauptet, dass iTAN absolut sicher sei. Längerfristig hoffe die Bank, dass sich die von der Bundesregierung geförderte elektronische Signatur am Markt durchsetze.

Mit dem iTAN-Verfahren sollten eigentlich vorhandene Sicherheitslücken geschlossen werden. Bei diesem Verfahren benutzt der Bankkunde nicht eine beliebige TAN (Transaktions-Nummer) aus seiner Liste, sondern eine indexierte. Das heißt, die TANs sind jeweils zusätzlich mit einer Nummer versehen. Der Kunde wird seitens der Bank aufgefordert, eine ganz bestimmte, zufällig ausgewählte TAN einzugeben. Auf dieses Verfahren setzen seit kurzem die Postbank und Sparkassen, weitere Banken wollen es einführen.

Seit geraumer Zeit versuchen Kriminelle mit gefälschten E-Mails und Webseiten, Online-Bankkunden zur Preisgabe ihrer Kontendaten und Transaktionsnummern zu bewegen. Die Fälle dieses so genannten "Phishing", einem Kunstwort aus "Password" und "Fishing", haben dieses Jahr drastisch zugenommen.

"Man-in-the-Middle"-Angriff

Auch die "Arbeitsgruppe Identitätsschutz im Internet" der Ruhr-Uni Bochum ging auf diesem Weg vor. Mit Hilfe eines sogenannten "Man-in-the-Middle"-Angriffs über eine gefälschte Webseite wurde das System unterlaufen: Die Angreifer senden bei dieser Methode eine klassische Phishing-Mail an das Opfer. Mit einer falschen, aber plausiblen Begründung wird es dazu gebracht, auf einen in der E-Mail enthaltenen Hyperlink zu klicken und wird so mit der Webseite des Angreifers verbunden.

Die aufgerufene Webseite sieht einer echten Webseite einer Bank zum Verwechseln ähnlich. Die falsche Seite fordert das Opfer zunächst auf, Kontonummer und PIN einzugeben. Sobald diese Daten beim Server des Angreifers eingetroffen sind, baut dieser eine Verbindung zum echten Bankserver auf.

Die bei einer Transaktion gestellte Frage nach einer bestimmten iTAN wird dann automatisch an das Opfer weitergeleitet. So erhält der Angreifer genau die von der Bank gewünschte iTAN und kann zum Beispiel eine Überweisung tätigen.

Korrekte SSL-Verbindung gilt als sicher

Das Opfer könne allerdings den Unterschied am Schlosssymbol im unteren Rand des Browsers erkennen, so die Wissenschaftler der Uni Bochum. Dort lässt sich per Doppelklick stets das SSL-Zertifikat der Bank aufrufen, welches eine sichere SSL-Verbindung bestätigt.

Theoretisch könne zwar sogar dieses Zertifikat gefälscht werden. Alle bisher in Deutschland bekannt gewordenen Phishing-Fälle hätten sich aber durch einen Zertifikat-Test vermeiden lassen, so Professor Georg Borges von der Bochumer Arbeitsgruppe. Bei überprüftem SSL-Zertifikat seien daher sowohl TAN- als auch iTAN-Verfahren als sicher einzustufen.

Zur SZ-Startseite
Jetzt entdecken

Gutscheine: