Datenschützer warnen vor der nächsten, noch gefährlicheren Phishing-Welle. "Trojaner, die über unauffällige Websites eingefangen werden, könnten schon in naher Zukunft die Kontrolle über das Onlinebanking beim Kunden übernehmen", ist die Arge Daten überzeugt. Selbst die relativ neuen Sicherheitslösungen mit indizierten Transaktionsnummern, kurz iTANs, seien zu knacken.

Das Ziel: die Daten.

Unter Phishing versteht man kriminelle Angriffe auf Bankkunden, die ihre Geldgeschäfte online abwickeln. Betrüger versenden zum Beispiel Massen-Emails, um Konsumenten auf gefälschte Internetseiten zu locken, die den Originalseiten der Geldinstitute stark ähnlich sehen. Das Ziel: die Daten. Codes und Passwörter der getäuschten Kunden. Die Banken bemühen sich um mehr Sicherheit, etwa durch die Weiterentwicklung des TAN-Verfahrens zu iTAN. Aber die Phisher ziehen mit.

Sinnlos

Beim iTAN-Banking können Kunden die TAN für die Bestätigung ihrer Bankaufträge im Internet nicht mehr frei wählen, sondern müssen eine von der Bank vorgegebene TAN verwenden. Das soll das Abfangen einer Nummer zwecks Missbrauchs sinnlos machen, da sie an die eine Transaktion gebunden ist.

Selbst diese Vorsichtsmaßnahme kann umgangen werden, warnt die Arge Daten. Angriffe würden durch ein am Computer des Kunden installiertes Programm, einen Trojaner, realisiert. "Die Attacke kann vollautomatisiert innerhalb weniger Sekunden geführt werden, also im Rahmen des typischen Antwortverhaltens von Online-Banking-Systemen abgewickelt werden", so die Datenschützer. Auch Signaturkartenlösungen würden keinen Schutz bieten. "Aus der Überweisung von 128 Euro auf das Konto der Hausverwaltung werden dann rasch 1.280 Euro auf ein Fremdkonto", so das Szenario.

So läuft ein iTAN-Hack laut Arge Daten ab: ~ A = der Angreifer, B = die Bank, C = der Konsument:

1. C ruft seine Online-Banking-Seite auf

2. A registriert die Logindaten von C

3. C startet eine Transaktion (Banküberweisung an XY), die einen

iTAN erfordert

4. A unterbricht die Transaktion und speichert die Transaktionsdaten

5. A startet seine eigene Transaktion und benutzt dazu die

Logindaten von C (aus 2.)

6. B verlangt für die Transaktion von A einen iTAN und sendet eine

entsprechende Anforderungsnummer X.

7. A unterbricht wiederum die Kommunikation

8. A sendet nun an C die Anforderung den iTAN einzugeben,

der der Anforderungsnummer X entspricht

9. C glaubt, dass seine ursprüngliche Transaktion durchgeführt wird,

und gibt iTAN ein

10. A unterbricht wiederum die Kommunikation und

speichert den iTAN für seine eigene Transaktion
11. A meldet an C den "erfolgreichen" Abschluss der Transaktion oder

er bricht die Transaktion wegen eines "Fehlers" des B-Servers ab 12. A verwendet den iTAN und schließt seine Transaktion ab. (APA)