Tokens statt PIN/TAN: Sicheres Online-Banking ohne Kartenleser

Während in der Öffentlichkeit die Phishing-Vorfälle der letzten Wochen diskutiert werden, verschweigen deutsche Banken gemächlich, dass es das Problem nicht gäbe, wenn sie die neueste Technologie einsetzen würden. In den Niederlanden und Belgien längst Alltag, sind sichere Token und Einmalpasswörter in Deutschland noch Exoten.

Die Kunden der Citibank werden derzeit von einer neuen Art Phishing-Fall bedrängt: Klickt der Kunde auf die URL in der Betrüger-Mail, öffnet sich die richtige Citibank-Seite. Nur das Pop-Up-Menu, in das der Kunde seine geheimen PINs und TANs eintippen soll, führt zu einer manipulierten Website. Hier nützen auch Virenscanner und Firewalls nichts – wer seine Daten jetzt weggibt, verschafft einem Kriminellen freien Zugang zu seinem Konto.

Während die Banken ihre Kunden auf Informations-Websites zu warnen, hoffen Token-Anbieter auf das große Geschäft: „Die Anbieter stehen derzeit alle in den Startlöchern“, sagt Peter Schill, zuständig für den E-Token-Vertrieb der Firma Aladdin. Die Technologie zum besseren Schutz der Online-Kunden ist im Markt längst ausgereift. Aladdin zum Beispiel kann auf dem „E-Token“ alle Passwörter eines Nutzers speichern und überprüft bei der Anmeldung automatisch jede Website, bevor Daten freigegeben werden. Auf diese Weise soll das Gerät gefälschte Phishing-Seiten erkennen und den Nutzer warnen.

Auch die Sicherheitshersteller RSA Security, Kobil und Vasco hätten Abhilfe gegen Phishing in ihren Lagern – nur sind deutsche Banken noch nicht dafür zu begeistern. „Das Geschäft läuft sehr zäh“, sagt ein Insider. Bei unseren Nachbarn sieht das anders aus:

Bei der SEB-Bank in Schweden hat noch nie jemand PINs und TANs für Online-Banking benutzt. „Wie wollten von Anfang an stärkere Sicherheitsmechanismen“, erzählt Niklas van Ingelandt, Information Security Manager bei der SEB. Da hier die User-ID immer die Sozialversicherungsnummer ist, könnte ein Hacker leicht den dazugehörigen, statischen PIN-Code herausfinden. Für die derzeit 600.000 Online-Kunden hat die SEB ein Challenge-Response-System eingeführt: Der Kunde aktiviert seinen Token mit einer PIN und gibt dann die ID ein. Die Website sagt, was er in den Digipass eintippen soll und das dann errechnete Ergebnis ist das Passwort für den Internet-Zugang, 3DES-verschlüsselt und nur 30 Sekunden gültig.

Themenseiten: IT-Business, Technologien

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

3 Kommentare zu Tokens statt PIN/TAN: Sicheres Online-Banking ohne Kartenleser

Kommentar hinzufügen
  • Am 17. September 2004 um 15:16 von Uwe Weitz

    Wenn der Laie jetzt noch erfahren würde, was ein "Token" ist…
    Wenn der Laie jetzt noch erfahren würde, was ein "Token" ist, würde er den Artikel vielleicht auch verstehen.
    Er könnte zwar in einem Wörterbuch nachschlagen und "Anzeichen, Gutschein, Kürzel, Kurzzeichen, Merkmal, Spielmarke, Spielstein, Wertmarke, Zeichen" finden… das bringt aber kaum weiter.

    • Am 22. September 2004 um 16:51 von E. Merl

      AW: Wenn der Laie jetzt noch erfahren würde, was ein "Token" ist…
      Stimme meinem Vorredner voll und ganz zu … lieber Autor des Artikels: "Setzen – 6 – Beruf verfehlt"!

  • Am 30. November 2004 um 20:47 von piglet

    TAN-Sicherheit
    Hier wird mal wieder Panik gemacht. Tatsache ist, dass deutsche Banken einen Sicherheitsstandard haben, von dem viele andere, besonders in Nordamerika (dort wird allgemein nur ein gewoehnliches fixes Passwort geprueft), traeumen (http://www.celent.com/PressReleases/20030709/OnlineBankingSec.htm).

    Meines Erachtens ist PIN/TAN sicher, zumindest, wenn der TAN-code bei jeder einzelnen Transaktion abgefragt wird; in diesem Fall haben Phishing-angriffe keine Chance. Noch besser waere es wohl, wenn die TAN-codes nicht der reihe nach verbraucht werden, sondern jedesmal zufaellig eines ausgewaehlt wuerde.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *