Online-Banking: auch Verfahren mit Zufallsnummer unsicher

Beim iTAN-Verfahren gibt der Online-Banking-Kunde zuerst Vertragsnummer und PIN-Code ein. Zum Abschluss der Transaktion wird zusätzlich eine Transaktionsnummer (TAN) verlangt. Sie ändert sich bei jeder Sitzung. Anders als beim herkömmlichen Streichlistenverfahren fragen die Banken bei iTAN die Transaktionsnummern nicht der Reihe nach ab, sondern geben eine bestimmte Position auf der Liste an - dies soll mehr Sicherheit bringen. In der Schweiz verwendet unter anderem die Migros-Bank ein ähnliches System für ihre Online-Kunden. Hier werden Vertragsnummer, PIN-Code und eine zufällige TAN zum Einloggen benötigt.

Mitgliedern der Arbeitsgruppe Identitätsschutz im Internet [1] gelang es nachzuweisen, dass sich das iTAN-Verfahren ebenso einfach überlisten lässt wie das herkömmliche Streichlistenverfahren. In ihrem Testlauf verlangten sie auf einer gefälschten Banken-Seite Vertragsnummer und PIN-Code. Anschliessend gab ein Skript die Daten auf der Originalseite ein und überwies automatisch einen Betrag auf das Konto der "Betrüger". Sobald das System nach dem TAN an Position XY fragte, erschien auch auf der gefälschten Seite ein entsprechendes Feld. Tippt das Opfer diese Nummer ein, ist das Geld überwiesen. Laut Arbeitsgruppe Identitätsschutz im Internet ist die Programmierung eines solchen Skripts ein Einfaches. Ein nicht-spezialisierter Programmierer soll dafür gerade mal einen Tag brauchen.

Wichtig ist deshalb, dass beim Online-Banking mehrere Sicherheitsmassnahmen befolgt werden. Welche verrät Ihnen der PCtipp-Artikel "Entspanntes Online-Banking" aus Heft 8/2005 [2].