Eric-Cartman
Threadstarter
- Dabei seit
- 22.06.2005
- Beiträge
- 8.644
- Alter
- 42
Newsmeldung von bullayer
Hallo, liebe Leser,
vor dem Hintergrund der zunehmenden Phishingangriffe kritisiert die
Gesellschaft für Informatik e.V. (GI) die Unsicherheit des
iTAN-Verfahrens im Onlinebanking. Nach Auffassung der Experten hat
das vor zwei Jahren eingeführte - und kurz darauf geknackte -
iTAN-Verfahren das Sicherheitsniveau kaum verbessert. "Die
grundsätzliche Schwachstelle aller webbasierten Transaktionsverfahren
bleibt bestehen", moniert Hartmut Pohl, Sprecher des GI-Arbeitskreises
"Datenschutz und IT-Sicherheit. "Die iTAN bringt kein Mehr an
Sicherheit sondern suggeriert sie nur." Pohl fordert vermehrte
Aufklärungsarbeit seitens der Banken.
Diese Tatsache sei Fachleuten seit langem bekannt, ohne dass sich die
Sparkassen- und Bankenwelt zu der unverzichtbar notwendig breiten
Information der Öffentlichkeit bereit gefunden habe, meint Pohl. Beim
iTAN-Verfahren wird im Gegensatz zur TAN-Methode ein bestimmter Code
vom Bankkunden gefordert. Dafür sind die TANs mit so genannten
Indizes durchnummeriert. Bei der Einleitung einer Transaktion wird
der Kunde mit der Angabe einer Nummer aufgefordert, einen bestimmten
TAN einzugeben. Begründet wurde dieses kompliziertere Verfahren mit
dem besseren Schutz vor Phishing-Angriffen, bei denen ein Angreifer
über eine gefälschte Webseite eine TAN abfangen und dann selbst
verwenden kann.
An sich kann ein Betrüger, der einen iTAN in die Hände bekommt, damit
nichts anfangen. Es sei denn, der Phisher positioniert sich im Rahmen
eines man-in-the middle-Angriffes zwischen dem Kunden und seiner
Onlinebank. Dazu schiebt er dem Benutzer eine gefälschte Webseite
unter, fordert vertrauliche Daten an, fängt diese ab und setzt sie
umgehend zur Freigabe einer Überweisung ein. Vor diesen Angriffen
kann sich der Kunde durch Aufmerksamkeit und Vorsicht bei seinen
Onlinebankgeschäften schützen.
Von den Banken fordert Pohl mehr Transparenz. "Die Erläuterungen zur
iTAN von Seiten der Banken sollten den eher begrenzten Beitrag der
iTANs zur Sicherheit präzise darstellen und unmissverständlich
klarstellen, dass es keine Sicherheit ohne die penible Beachtung
wichtiger Regeln geben kann", fordert der Experte. Zwei Punkte sind
dabei laut Pohl besonders zu beachten: Der Computer darf nicht durch
Trojaner verseucht sein und die Kunden müssen das vom Browser
angezeigte Zertifikat der Banking-Webseite überprüfen. Dies ist der
Nachweis, dass die https-Verbindung tatsächlich mit der eigenen Bank
hergestellt ist und nicht mit einer Phishing-Webseite. "Wenn die
Verschlüsselung zwischen Bankserver und Kunden-PC funktioniert, ist
ein man-in-the middle-Angriff wirkungslos", so Pohl.
Quelle: Newsletter von Computerwissen.de
Hallo, liebe Leser,
vor dem Hintergrund der zunehmenden Phishingangriffe kritisiert die
Gesellschaft für Informatik e.V. (GI) die Unsicherheit des
iTAN-Verfahrens im Onlinebanking. Nach Auffassung der Experten hat
das vor zwei Jahren eingeführte - und kurz darauf geknackte -
iTAN-Verfahren das Sicherheitsniveau kaum verbessert. "Die
grundsätzliche Schwachstelle aller webbasierten Transaktionsverfahren
bleibt bestehen", moniert Hartmut Pohl, Sprecher des GI-Arbeitskreises
"Datenschutz und IT-Sicherheit. "Die iTAN bringt kein Mehr an
Sicherheit sondern suggeriert sie nur." Pohl fordert vermehrte
Aufklärungsarbeit seitens der Banken.
Diese Tatsache sei Fachleuten seit langem bekannt, ohne dass sich die
Sparkassen- und Bankenwelt zu der unverzichtbar notwendig breiten
Information der Öffentlichkeit bereit gefunden habe, meint Pohl. Beim
iTAN-Verfahren wird im Gegensatz zur TAN-Methode ein bestimmter Code
vom Bankkunden gefordert. Dafür sind die TANs mit so genannten
Indizes durchnummeriert. Bei der Einleitung einer Transaktion wird
der Kunde mit der Angabe einer Nummer aufgefordert, einen bestimmten
TAN einzugeben. Begründet wurde dieses kompliziertere Verfahren mit
dem besseren Schutz vor Phishing-Angriffen, bei denen ein Angreifer
über eine gefälschte Webseite eine TAN abfangen und dann selbst
verwenden kann.
An sich kann ein Betrüger, der einen iTAN in die Hände bekommt, damit
nichts anfangen. Es sei denn, der Phisher positioniert sich im Rahmen
eines man-in-the middle-Angriffes zwischen dem Kunden und seiner
Onlinebank. Dazu schiebt er dem Benutzer eine gefälschte Webseite
unter, fordert vertrauliche Daten an, fängt diese ab und setzt sie
umgehend zur Freigabe einer Überweisung ein. Vor diesen Angriffen
kann sich der Kunde durch Aufmerksamkeit und Vorsicht bei seinen
Onlinebankgeschäften schützen.
Von den Banken fordert Pohl mehr Transparenz. "Die Erläuterungen zur
iTAN von Seiten der Banken sollten den eher begrenzten Beitrag der
iTANs zur Sicherheit präzise darstellen und unmissverständlich
klarstellen, dass es keine Sicherheit ohne die penible Beachtung
wichtiger Regeln geben kann", fordert der Experte. Zwei Punkte sind
dabei laut Pohl besonders zu beachten: Der Computer darf nicht durch
Trojaner verseucht sein und die Kunden müssen das vom Browser
angezeigte Zertifikat der Banking-Webseite überprüfen. Dies ist der
Nachweis, dass die https-Verbindung tatsächlich mit der eigenen Bank
hergestellt ist und nicht mit einer Phishing-Webseite. "Wenn die
Verschlüsselung zwischen Bankserver und Kunden-PC funktioniert, ist
ein man-in-the middle-Angriff wirkungslos", so Pohl.
Quelle: Newsletter von Computerwissen.de
