GI warnt vor unsicherem Onlinebanking
Angesichts der zunehmenden Spamflut und der zahlreichen Phishingmails, die sich tagtäglich auf den E-Mailkonten ansammeln, weist die Gesellschaft für Informatik e.V. (GI) auf nach wie vor gegebene Sicherheitsbedenken beim Onlinebanking über Webseiten hin.
Angesichts der zunehmenden Spamflut und der zahlreichen Phishingmails, die sich tagtäglich auf den E-Mail-Konten ansammeln, weist die Gesellschaft für Informatik e.V. (GI) auf nach wie vor gegebene Sicherheitsbedenken beim Onlinebanking über Webseiten hin.
Nach Auffassung der GI hat auch das vor zwei Jahren eingeführte iTAN-Verfahren das Sicherheitsniveau kaum verbessert. Die grundsätzliche Schwachstelle aller webbasierten Transaktionsverfahren bleibe bestehen.
Hartmut Pohl, Sprecher des GI-Arbeitskreises "Datenschutz und IT-Sicherheit": "Die iTAN bringt kein Mehr an Sicherheit sondern suggeriert sie nur." Diese Tatsache sei Fachleuten seit langem bekannt, ohne dass sich die Sparkassen- und Bankenwelt zu der unverzichtbar notwendig breiten Information der Öffentlichkeit bereit gefunden habe.
Für Transaktionen beim Onlinebanking werden persönliche Identifikationsnummern (PIN) sowie Transaktionsnummern (TAN) eingesetzt, die die Sicherheit von Online-Transaktionen und den Schutz vor Missbrauch garantieren sollen. Der Bankkunde verfügt dazu über eine Liste von TANs zur einmaligen Verwendung: Bei einer Online-Transaktion muss eine gültige, noch nicht "verbrauchte" Transaktionsnummer angegeben werden. Im letzten Jahr wurde das TAN-Verfahren auf das iTAN-Verfahren umgestellt: Dabei sind die TANs mit so genannten Indizes durchnummeriert; bei der Einleitung einer Transaktion wird der Kunde mit der Angabe einer Nummer aufgefordert, die zugehörige, also eine bestimmte TAN einzugeben, z.B. die mit dem "Index 23". Begründet wurde dieses kompliziertere Verfahren mit dem angeblich besseren Schutz vor Phishing-Angriffen, bei denen ein Angreifer über eine gefälschte Webseite eine TAN abfangen und dann selbst verwenden kann.
Phisher schieben dem Benutzer eine gefälschte Webseite unter, fordern vertrauliche Daten des Benutzers an und fangen sie ab. Der Phisher kann sich also unbemerkt zwischen Kunden und Bank positionieren (man-in-the-middle-attack) und die TANs oder iTANs in beliebiger Weise nutzen - und z.B. eine Überweisung seiner Wahl (auf sein eigenes Konto, ins Ausland oder zu einem Strohmann) vornehmen. Die GI weist darauf hin, dass Phishing-Angriffe mit den beiden folgenden Maßnahmen erschwert werden können:
- 'Trojanische Pferde' auf dem heimischen PC suchen und löschen.
- Sorgfältig das vom Browser angezeigte Zertifikat der Banking-Webseite überprüfen. Dies ist der Nachweis, dass die Internet-https-Verbindung tatsächlich mit der eigenen Bank hergestellt ist und nicht mit einer Webseite von sogenannten Phishern.
Erläuterungen zur iTAN von Seiten der Banken sollten nach Auffassung der GI den eher begrenzten Beitrag der iTANs zur Sicherheit präzise darstellen und unmissverständlich klarstellen, dass es keine Sicherheit ohne die penible Beachtung der obigen beiden Regeln geben könne.
Die Gesellschaft für Informatik e.V. (GI) wurde 1969 in Bonn mit dem Ziel gegründet, die Informatik zu fördern. Sie verfolgt ausschließlich gemeinnützige Zwecke. Die Mitglieder der GI kommen aus Wissenschaft, Wirtschaft, Lehre und Forschung. Derzeit hat die GI rund 24.000 Mitglieder und ist damit die größte Vertretung von Informatikerinnen und Informatikern im deutschsprachigen Raum.
Bei Veröffentlichung Beleg erbeten. Vielen Dank!
05. März 2007, Cornelia Winter, Tel. 0228/302-147
Gesellschaft für Informatik e.V. (GI)
Ahrstr. 45
53175 Bonn
Tel 0228/302-145 (Geschäftsstelle)
Fax 0228/302-167
Für weitere Fragen stehen wir Ihnen gerne unter Kontakt zur Verfügung.
Wenn Sie unsere Pressemeldungen regelmäßig erhalten möchten, tragen Sie sich bitte in den GI-Presseverteiler ein: E-Mail
Bitte geben Sie Ihren Namen und Redaktion an.