Online-Banking: iTAN-Verfahren unsicher

Das iTAN-Verfahren, welches aktuell von mehreren deutschen Banken eingeführt wird, um ihre Kunden effektiv vor Trojaner- und Phishing-Angriffen zu schützen, wird diesem Anspruch nicht gerecht, warnt die Forschungsgruppe RedTeam der Rheinisch-Westfälischen Technischen Hochschule Aachen (RWTH Aachen). Der einzige Unterschied von iTAN zum klassischen TAN-System besteht darin, dass nicht mehr eine beliebige Transaktionsnummer (TAN) zur Bestätigung eines Auftrages vom Kunden genutzt werden kann, sondern diese von der Bank vorgeben wird. Dass sich dieser Mechanismus austricksen lässt, zeigten die Sicherheitsexperten anhand einer Phishing-Seite, die sich mit den Login-Daten des Bankkunden bei der echten Bank-Website anmeldet. Dort wird eine Transaktion ausgelöst und die Frage nach der iTAN dem Anwender auf der Phishing-Seite präsentiert. (dd)