 |
(am 31.07.2007)Von Jörg Stroisch
Online-Banking ist alles andere als sicher: Die Phisher betreiben professionell und mit allen zur
Verfügung stehenden Hacking-Methoden den Datenklau. Problematisch ist allerdings, dass das
Phishing-Opfer auf dem finanziellen Schaden sitzen bleibt, wie beispielsweise der Ombudsmann
der Volks- und Raiffeisenbanken kürzlich entschied. Und der Schaden ist nicht unerheblich: Die
B eratungsgesellschaft G artner schätzt alleine für die USA in diesem Jahr einen Schaden von
2,8 Milliarden US-Dollar. Personen, die einer E-Mail der so genannten Nigeria-Connection
aufgesessen sind und in diesem Zusammenhang eine Überweisung eines Phishing-Opfers erhalten
haben, müssen zusätzlich mit einem staatsanwaltschaftlichen Ermittlungsverfahren wegen des
Verdachts der Geldwäsche rechnen.
mTAN für mehr Sicherheit
Postbank mTAN Mittlerweile haben diverse Banken auf die anhaltenden Phishing-Attacken
reagiert. Per iTAN ist nur noch eine zuvor konkret benannten Transaktionsnummer - kurz TAN -
gültig und nicht eine beliebige Nummer von der Liste. Dadurch soll verhindert werden, dass die
Phisher schon mit einer TAN Zugriff auf das Konto erhalten. Und mit mTAN, Abkürzung für
mobile Transaktionsnummer, beschreiten in Deutschland die Postbank und einige Volks- und
Raiffeisenbanken ein weiteres Sicherheitsverfahren. Die Postbank ließ sich ihr Verfahren sogar
kürzlich vom TüV besiegeln.
Das Prinzip dabei: In seinem Onlineaccount meldet der Nutzer sein Handy an. Fortan erhält er
für jede durchgeführte Transaktion per SMS die TAN auf das Handy zugesendet, zusätzlich noch
Informationen zu seinem Konto. Mit dieser TAN muss er dann die Transaktion bestätigen. Das
Problem dabei: Zunmindest bei der Postbank muss der Kunde 9 Cent pro SMS berappen. Und die
erste Authentifizierung der eigenen Handynummer erfolgt über eine TAN vom Bogen. Besitzt ein
Phisher also eine gültige TAN, kann er theoretisch sein eigenes Handy für das mTAN-Verfahren
frei schalten lassen und erhält so unbeschränkten Zugriff auf das Konto des Opfers.
Eine optimale Sicherheitslösung wäre nur der HBCI-Standard mit einer Chipkarte. Dabei besitzt
der Nutzer eine Chipkarte, ein Chipkartenlesegerät und eine PIN. Per öffentlichem und privatem
Schlüssel macht er sich gegenüber der Bank kenntlich und kann dann Transaktionen durchführen.
Dieses Verfahren gilt als nahezu 100 Prozent sicher, sofern der Nutzer nicht Chipkarte und PIN
leichtsinnig verwahrt. Nach eigenem Bekunden verzichtet die Postbank darauf aber, weil man auf
die kommenden Signaturkarte nach Signaturgesetz setze. Eine solche Vereinheitlichung lässt aber
schon seit Jahren auf sich warten. Andere Banken haben deshalb HBCI - mittlerweile zu FinTS
weiterentwickelt - schon seit Jahren eingeführt. Die Umstellungskosten sind aber für die Banken
recht hoch.
|
|
