Wie Banken ihre Online-Kunden schützen wollen

Ausgephisht: Wege zum sicheren Online-Banking

Ausgephisht: Wege zum sicheren Online-Banking Die Abwicklung von Bankgeschäften per Onlineüberweisung nimmt in Deutschland seit Jahren zu. Klare Vorteile machen die Entscheidung leicht: Der Gang zur Bank fällt weg, Kontonummern können markiert und direkt in ein Formularfeld kopiert werden und auch Übersichtlichkeit und Direktzugriff auf das Konto werden geschätzt, wäre da nur nicht das unsichere Browserfenster, das den Kunden irgendwann auffordert, eine sogenannte Transaktionsnummer (Tan) einzugeben.

?
?

Inhaltsverzeichnis

  1. 1Ältere Tan-Verfahren
  2. 2Neue Tan-Verfahren
  3. 3Handy-Überweisung: Die mTan
  4. 4SmartTANPlus
  5. 5eTANPlus
  6. 6Fazit

Ältere Tan-Verfahren

Werbung

Die Schlüsselzahlen, die Begehrlichkeiten wecken, waren in der Steinzeit der Tan-Listen so leicht online abzufischen, dass die Banken aufgrund der hohen Schäden in die Offensive gehen mussten. Ein Angreifer benötigte nur einen Dummen, der bereitwillig Nummern in eine präparierte Seite tippte. Jede Tan war für jede Transaktion gültig. Das führte zu hohen Schäden bei den Kreditinstituten.

Die Banken führten daher das iTan-Verfahren ein. Dabei handelt es sich um Tan-Nummern, denen ein Index zugeordnet wurde. Die Kunden verwendeten zwar immer noch feststehende Tan-Nummern, diesen wurde aber eine spezielle Indexzahl zugeordnet, die die Bank erst in der konkreten Transaktion autorisierte. Das Verfahren setzte sich flächendeckend durch und ist mittlerweile Standard beim Online-Banking.

Aber auch iTan bietet keinen umfassenden Schutz vor virtuellen Bankräubern, dessen ist sich Andreas Poller vom Fraunhofer Institut für Sichere Informationstechnologie sicher. "Bei iTan benötigt der Angreifer zwar eine ganze Reihe von Tans, um eine Chance zu haben, einen Treffer zu platzieren. Damit wird aber nur der Aufwand größer." Das Grundproblem von feststehenden Zahlenkolonnen in einer Tan-Liste, die abgefischt werden können, kann auch iTan nicht lösen. Gegen Rechner-Manipulation im größeren Stile ist iTan kein wirkungsvoller Schutz.

"Ich könnte, ohne dass Sie es merken, einen Trojaner auf Ihrem System installieren, der eine andere Kontonummer zur Bank überträgt oder eine x-beliebige Angabe verändert", erklärt Poller und legt damit den Finger in die "Browserwunde": "Sie haben beim Online-Banking Eingabemasken, in denen geben Sie Ihre Daten ein. Sie haben Ausgabefenster, in denen Sie Kontoauszüge oder Überweisungsbestätigungen sehen. Ein Angreifer kann diese Inhalte, sowohl das, was Sie zur Bank übertragen, als auch das was Ihnen von der Bank angezeigt wird, komplett manipulieren. Sie können dem, was der Browser anzeigt, nicht vertrauen."

Online-Banking: Bequem und schnell, aber auch wirklich sicher?
Online-Banking: Bequem und schnell, aber auch wirklich sicher?

Neue Tan-Verfahren

Erst die Tan-Verfahren der neuen Generation, die so genannten Smart-Tans, gehen den einen Schritt weiter, der notwendig ist, um die Tan-Eingabe am Browser wirklich abzusichern. 2006 zertifizierte das Fraunhofer Institut eine Technik, die die Baden-Württembergische Landesbank für ihr Online-Banking in Zusammenarbeit mit dem Hersteller VASCO entwickelt hatte. Drei Jahre zuvor hatte die Postbank, dank eines großen Kundenstamms ein Hauptangriffsziel bei Phishing-Attacken, bereits die mobile Tan fürs Handy, die so genannte mTan, eingeführt. Auch der Verbund der Volksbanken und Raiffeisenbanken entwickelte mit SmartTAN und SmartTANPlus ein eigenes Verfahren, um mehr Kundensicherheit zu gewährleisten.

Seite 1 / 4

  1. Seite 1: Ältere Tan-Verfahren
  2. Seite 2: Handy-Überweisung: Die mTan
  3. Seite 3: SmartTANPlus
  4. Seite 4: eTANPlus

Beiträge

insgesamt 1 Beitrag
03.07.09 20:42 von Theo19

Es ist erstaunlich, was Banken alles anstellen um ihr Risikomanagement halbherzig zu verbessern – man könnte meinen, dass man sich zurückgelehnt hat und völlig damit zufrieden ist, dass die Kunden per...

Kommentieren


Das könnte Sie auch interessieren

  1. Kreditkarte mit Tastatur: Neue Sicherheit fürs Online-Shoppen
    Kreditkarte mit Tastatur: Neue Sicherheit fürs Online-Shoppen Artikel | Datum: 17.06.2008

    Kreditkarten-Sicherheit über eine integrierte Tastatur: Ein neues PIN-Verfahren soll die Transaktionsnummern sicherer machen und jedes Geschäft mit zusätzlichem Sicherheits-PIN absichern.

  2. E-Banking: Das kosten SMS- und Chip-TAN den Kunden
    E-Banking: Das kosten SMS- und Chip-TAN den Kunden Artikel | Datum: 25.07.2011

    eit der Einführung indizierter TAN-Listen gilt Online-Banking als sicher, mit SMS- und Chip-TAN soll bald jedes Restrisiko ausgeschlossen werden. Dabei sind die neuen Verfahren deutlich teurer gegenüber iTAN.

  3. Phishing: Aggressive Supporter-Mails Artikel | Datum: 08.06.2006

    Neulich im netzwelt-Postfach: "Sehr geehrter Kunde, im Zusammenhang mit dem Zuwachs der Betrugsoperationen teilen wir Ihnen mit, daß der Sicherheitsdienst von unserer Bank hat eine zusätzliche Autorisierung eingeführt." Wie bitte? Das versucht doch einer zu phishen. Dumm nur, dass das Objekt der Begierde überhaupt kein Postbank-Kunde ist.

  4. Abgefischt: Smartphone-App liest mTAN-Nummer aus
    Abgefischt: Smartphone-App liest mTAN-Nummer aus Artikel | Datum: 04.03.2011

    Smartphones werden als Angriffsziel beliebter. Das BSI warnt aus aktuellem Anlass vor einer neuen Schadsoftware, die Rechner und Smartphone des Nutzers befällt und seine Bankgeschäfte manipuliert.

Mehr zum Thema »