Presse-Informationen
c't

  1. heise group
  2. Presse-Informationen
  3. c't

Hintertür beim iTAN-Verfahren der Postbank
c't zeigt weitere Lücke beim Online-Banking auf

Hannover, 25. November 2005 - Anders als bisher angenommen ist das iTAN-Verfahren der Postbank nicht nur unter Laborbedingungen zu umgehen. Das Computermagazin c't berichtet in der aktuellen Ausgabe 25/05, dass Betrüger sich mit bekannten Phishing-Methoden vergleichsweise einfach Zugriff auf Online-Bankkonten verschaffen könnten.

iTAN verspricht einen besseren Schutz vor Phishing als das herkömmliche PIN/TAN-Verfahren. Neben der PIN, einer feststehenden Geheimzahl, muss der Nutzer nicht nur irgendeine der vorgegebenen TAN-Nummern eingeben, sondern eine ganz bestimmte, etwa die dritte auf der TAN-Liste. Das macht es Betrügern schwer, das iTAN-Verfahren zu überlisten. Die bisher bekannte Variante funktioniert nur unter Laborbedingungen, Betrüger müssten in Sekunden handeln, um eine Überweisung tätigen zu können.

Die c't-Redaktion warnt jedoch, dass Überweisungen mit jeder beliebigen TAN einer Liste durchführbar sind - obwohl das iTAN-Verfahren aktiviert ist. "Die Postbank bietet für alle Kunden als Alternative zum Webzugang das Homebanking Computer Interface (HBCI) mit dem unsicheren PIN/TAN-Verfahren an, das nach wie vor beliebige TANs akzeptiert", erläutert c't-Redakteur Daniel Bachfeld die Schwachstelle. Nach wie vor könnten also Betrüger über herkömmliche Phishing-Seiten, die Nutzer dazu verleiten, PIN- und TAN-Nummern einzugeben, das Konto ihrer Opfer leerräumen. Sie müssten dafür nur eine Finanzsoftware wie WISO Geld oder Starmoney einsetzen, um den Kontakt zum HBCI-Server aufzubauen.

Zwar gilt der HBCI-Standard beim Online-Banking als sicher, aber nur in Verbindung mit einer Chipkarte und einem Lesegerät. Erfolgt der HBCI-Zugang über die Eingabe von PIN- und TAN-Nummern wie bei der Postbank, bietet es keinen zusätzlichen Schutz.

c't rät deshalb verunsicherten Postbank-Kunden, ihr HBCI-Überweisungslimit auf 0 Euro zu setzen. Denn erst im Frühjahr soll es einen Nachfolgestandard für das bisherige HBCI-Verfahren geben, das auch iTAN unterstützt. (dab)

Hinweis für Hörfunkredaktionen: Ein Radiobeitrag zu diesem Thema sowie O-Töne von c't-Redakteur Daniel Bachfeld sind unter 05 11/2 79 15 60 beim c't-Hörfunk-Service abrufbar. Unter www.radioservice.de steht das Angebot für akkreditierte Hörfunkredakteure auch im MP3-Format zum Download bereit.

Copyright 2024 Heise Gruppe GmbH & Co. KG