iTAN macht Online-Banking nicht sicherer

Nach Auffassung der Experten hat das vor zwei Jahren eingeführte – und kurz darauf geknackte – iTAN-Verfahren das Sicherheitsniveau nicht wesentlich verbessert. “Die grundsätzliche Schwachstelle aller webbasierten Transaktionsverfahren bleibt bestehen”, moniert Hartmut Pohl, Sprecher des GI-Arbeitskreises “Datenschutz und IT-Sicherheit”.
Fachleute wissen das schon seit langem. Doch die Sparkassen- und Bankenwelt hat es bis dato nicht für notwendig gehalten, die Öffentlichkeit ausreichend darüber zu informieren.

Beim iTAN-Verfahren wird ein Code vom Bankkunden gefordert. Dafür sind die TANs mit so genannten Indizes durchnummeriert. Bei der Einleitung einer Transaktion wird der Kunde mit der Angabe einer Nummer aufgefordert, einen bestimmten TAN einzugeben.

Im Prinzip kann ein Betrüger, der einen iTAN in die Hände bekommt, damit nichts anfangen. Es sei denn, der Phisher positioniert sich im Rahmen eines man-in-the middle-Angriffes zwischen dem Kunden und seiner Onlinebank. Dazu schiebt er dem Benutzer eine gefälschte Webseite unter, fordert vertrauliche Daten an, fängt diese ab und setzt sie zur Freigabe einer Überweisung ein.

Von den Banken fordert Pohl mehr Transparenz. “Die Erläuterungen zur iTAN von Seiten der Banken sollten den eher begrenzten Beitrag der iTANs zur Sicherheit präzise darstellen und unmissverständlich klarstellen, dass es keine Sicherheit ohne die penible Beachtung wichtiger Regeln geben kann”, fordert der Experte.

Pohl zufolge verdienen die folgenden Aspekte besondere Beachtung: Der Rechner darf nicht durch Trojaner verseucht sein. Außerdem müssen die Kunden das vom Browser angezeigte Zertifikat der Banking-Webseite prüfen. Dies stellt sicher, dass die https-Verbindung auch wirklich mit der eigenen Bank hergestellt ist und nicht mit einer Phishing-Webseite. (bwi)

Bild: Photodisc.com