Einem Team der Ruhr Universität Bochum ist es gelungen, das beim Online-Banking verwendete Sicherheitsverfahren iTAN zu knacken. Das Expertenteam der Universität hat das Verfahren mit einem nicht spezialisierten Programmieren innerhalb eines Tages überwunden. Mit Hilfe eines Man-in-the-Middle-Angriffs über eine gefälschte Webseite konnte ein symbolischer Betrag von einem Euro auf ein anderes Konto überwiesen werden.
Als Reaktion auf die Häufung von Phishing-Attaken der vergangen Zeit führten einige Banken das iTAN-Verfahren ein. Kunden, die eine Transaktion online tätigen wollen, geben bei dieser Technik nicht wie bisher einen beliebigen TAN-Code zur Freigabe ein, sondern werden von der Bank zur Eingabe eines bestimmten Codes aus einer Liste aufgefordert. Damit sollte unterbunden werden, dass sich Betrüger mit einem beliebigen ergaunerten Code am Kundenkonto bedienen können.
"Mit einer geringen Modifizierung der verwendeten Technik können Kriminelle auch das iTAN-Verfahren austricksen", teilte Christoph Wegener von der RUB mit. Die Testbetrüger der RUB forderten das Opfer per Mail zur Eingabe von Kontonummer und Passwort auf einer gefälschten Bank-Seite auf. Sobald diese Daten am Server eingelangt waren, stellte dieser eine Verbindung mit den echten Bankserver des Opfers her. Die bei der Transaktion gestellten Frage nach dem Freigabecode, wurde dann automatisch an den ahnungslosen Kunden weitergeleitet. So erhielt der Angreifer den korrekten TAN und konnte die Überweisung durchführen.
Wegener betonte, dass sowohl TAN und iTAN bei korrekter Überprüfung der SSL-Verbindung sicher sind. Allerdings hätten Angriffe der letzten Zeit gezeigt, dass die Betroffenen den Schutzmechanismus SSL schlichtweg ignorieren oder nicht verstehen. "Hier ist bei den Kunden verstärkt Aufklärungsarbeit zu leisten", fordert Wegener.
"Die einzig wirklich sichere Lösung ist der Einsatz von Kartenlesern der Klasse drei. Bei diesen Geräten wird sichergestellt, dass die persönlichen Informationen des Kunden auf dem Kartenleser verbleiben und nur verschlüsselt gesendet werden", erläuterte Wegener. Doch diese Methode stößt bei den Bankkunden auf wenig Gegenliebe, da sie mit zusätzlichem Aufwand verbunden ist. "Zudem sind diese Geräte nicht gerade preiswert", meinte Wegener abschließend. Mit Kosten zwischen 80 und 100 Euro ist zu rechnen.
Lesermeinungen zum Artikel