Netzpolitik
Hackerattacke gegen Online-Banking-System
Mitglied des "Chaos Computer Clubs" konnte sich Zugang zu einem fremden Konto verschaffen und Überweisungen auf Fremdkonten tätigen können
Das IT-Unternehmen XCOM
weist Vorwürfe zurück, wonach das für Online-Banking
entwickelte Sicherheitssystem HBCI (Homebanking Computer Interface) nicht
wirksam gegen Hackerangriffe sei. In einem am Mittwochabend ausgestrahlten
Beitrag Fernsehwirtschaftsmagazins "trends" des Hessischen Rundfunk
demonstrierte ein Mitglied des Frankfurter "Chaos Computer Clubs", wie sich
Hacker trotz HBCI über das Internet Zugang zu einem fremden Konto
verschaffen und Überweisungen auf Fremdkonten tätigen können.
XCOM-Sprecherin Gilla Lörcher sagte, dass der
dargestellte Fall auf unsicheres Equipment des Users zurückzuführen sei.
"Der User verwendete einen Kartenleser, bei dem der Konto-PIN auslesbar
ist."
Damit dies nicht geschehe, empfiehlt Lörcher sogenannte PIN-Pad-Leser, bei
denen während der PIN-Verifikation die Übertragung für einige Sekunden
unterbrochen wird, so dass Unbefugte in dieser Zeit keinen Zugriff auf die
PIN haben und auslesen können. "Üblicherwiese empfehlen aber Bankhäuser
ohnehin solche Leser", versichert Lörcher.
Das System HBCI identifiziert den Nutzer über eine spezielle persönliche
Chipkarte und wurde als "absolut hackersicher" gepriesen. HBCI wird von
vielen Banken und Sparkassen bereits angeboten und soll das bisherige
Verfahren ablösen, bei dem die Identifikation des Kontoinhabers über so
genannte einmalig nutzbare TAN-Nummern erfolgt. Die bei dem Versuch des
Hessischen Rundfunks betroffene Dresdner Bank räumte das Sicherheitsdefizit
ein und kündigte Konsequenzen an. Laut dem Bericht werfen
Sicherheitsexperten den Banken vor, ein besseres Sicherheitssystem aus
Kostengründen verworfen zu haben. Demnach seien Mängel von HBCI bereits seit
längerem bekannt gewesen. (pte)