"Allen heutigen Sicherheitsstandards kann man vertrauen." Das hatte der Bundesverband Deutscher Banken (BdB) noch vor einem Jahr mit Blick auf die Sicherheit des Online-Banking vollmundig verkündet. Doch ob Bankkunden dieser Aussage des Verbandes weiterhin uneingeschränkt Glauben schenken sollten, ist mittlerweile die Frage. Denn die Betrüger rüsten nach. Das sogenannte ITan-Verfahren – ein Verfahren, das sich bei vielen Instituten mittlerweile als Standard für Online-Überweisungen durchgesetzt hat – ist demnach ebenfalls anfällig für Online-Kriminalität.
Dabei hatten Experten den Einsatz indexierter Transaktionsnummern (ITans) lange Zeit als deutlichen Fortschritt angesehen. Im Gegensatz zu dem früher üblichen Tan-Verfahren sind sie tatsächlich eine Weiterentwicklung: Wollte ein Kunde früher online eine Überweisung veranlassen, konnte er dafür aus einer ihm von der Bank zugesandten Liste eine beliebige Nummer auswählen. Diese Nummer ist wie ein Passwort, das für eine einzelne Überweisung gilt. Beim ITan-Verfahren fordert die Bank den Nutzer hingegen auf, die Überweisung mit einer bestimmten Nummer aus der Liste zu bestätigen. Eine beliebige Zahl aus der Liste nutzt Betrügern also nichts.
ITan nicht vor Attacken gefeit
Doch auch das ITan-Verfahren ist nicht gegen sogenannte „Man in the Middle“-Attacken gefeit. So bezeichnen Experten Angriffe, über die Hacker jede Aktion eines Computernutzers einsehen und in vielen Fällen auch manipulieren können. Das gelingt ihnen, indem sie ein Ausspähprogramm auf dem PC installieren. Geht dann ein Bankkunde online, um eine Überweisung auszuführen, können die Betrüger das verfolgen und das Geld auf ihr eigenes Konto umleiten. „Dem Opfer fällt das in der Regel erst auf, wenn es seine Kontoauszüge betrachtet“, sagt Katrin Alberts vom Bundesamt für Sicherheit in der Informationstechnik (BSI).
Wie sich Angriffe vermeiden lassen
Allerdings warnt sie vor Panik: „Mit Hilfe bestimmter Vorsichtsmaßnahmen lässt sich die Gefahr von Hackerangriffen deutlich reduzieren.“ Regel Nummer Eins: Weder die Tan-Liste noch die Pin-Nummer, mit der sich das Online-Banking starten lässt, gehören in fremde Hände. Auch Regel Nummer Zwei scheint selbstverständlich: Das Virenschutzprogramm ihres PCs sollten Kunden täglich aktualisieren. Ein dritter Punkt ist ebenfalls wichtig: „Damit man sicher sein kann, dass man tatsächlich auf der Internetseite der Bank ist, sollte man die Internetadresse bei jedem Aufrufen erneut über die Tastatur eingeben", rät Alberts. Vor der Eingabe von Pin und Tan sollte der Kunde zudem immer prüfen, ob das Kürzel https:// vor der Internetadresse der Bank steht – ist das nicht der Fall, befindet er sich womöglich auf einer manipulierten Seite, die den Aufbau der echten Bankseite zu kopieren versucht.
Mehr Sicherheit als ITan versprechen der Tan-Generator oder das mobile Tan-Verfahren. Bei beidem ist die Tan an eine spezifische Überweisung gekoppelt, die der Kunde aber im Gegensatz zu ITan noch ein weiteres Mal bestätigen muss – ein Betrüger, der die Daten abfängt, kann diese also nicht mehr auf ein anderes Konto umleiten. Doch Hacker sind schnell. Es bleibt zu vermuten, dass sie bald eine Möglichkeit finden werden, auch diese neueren Verfahren zu knacken.
© 2009 capital.de
