Wirtschaft: Computer-Experten knacken Postbank

Düsseldorf - Software-Experten der Universität Bochum haben das neue Sicherheitssystem der Postbank geknackt. Dieses System, das so genannte iTANVerfahren, wird derzeit bei der Postbank und der Deutschen Bank eingeführt und sollte vorhandene Sicherheitslücken schließen. Auch die Sparkassen wollen demnächst mit iTAN starten. Doch offenbar kann das System die hoch gesteckten Erwartungen nicht erfüllen: Die Hacker der Uni Bochum benötigten nach eigenen Angaben gerade einmal einen Tag, um das iTAN-Verfahren auszutricksen. Ihren Erfolg dokumentierten sie mit der symbolischen Überweisung von einem Euro.

Die Aktion der Bochumer ist ein herber Rückschlag für die Internetpläne der Kreditwirtschaft. Durch die Online-Transaktionen sparen die Banken beträchtliche Kosten. Ersparnisse, die durch die zunehmende Zahl von Hackerangriffen auf das Internetbanking gefährdet sind.

Beim Online-Banking melden sich die Kunden bei ihrer Bank an und bestätigen ihre Online-Transaktionen mit einer so genannten Transaktionsnummer (TAN). Seit geraumer Zeit werden jedoch immer häufiger so genannte „Phishing“-Attacken (von Password-Fishing) gestartet. Dabei locken Hacker die Bankkunden per Mail auf gefälschte Internetseiten und fragen unter einem Vorwand Kontendaten und Transaktionsnummern ab.

Diese Angriffe sollten mit indexierten Transaktionsnummern (iTAN) unterbunden werden. Die Bank fordert dabei eine bestimmte Transaktionsnummer von der TAN-Liste des Kunden an. Die Bochumer Wissenschaftler haben bei ihrem Angriff einen gleichzeitigen Online-Dialog mit Kunden und mit der Bank aufgebaut. Durch diese „Man in the middle“-Attacke kann die Abfrage einer bestimmten TAN praktisch sofort beantwortet werden. „Es war viel einfacher, als wir uns das vorgestellt hatten“, sagte Henrik Te Heesen, einer der beteiligten Bochumer Forscher, die den Angriff programmierten.

Für Sicherheitsexperten ist es allerdings nicht überraschend, dass es den Wissenschaftlern gelungen ist, das neue Sicherheitssystem zu knacken. „Wenn Kriminelle ihr Verhalten leicht modifizieren, wird das iTAN-Verfahren nahezu wirkungslos“, sagte Maximilian Dornseif von der Universität Mannheim und Initiator der Red-Team-Initiative, die Schwachstellen für Sicherheitssysteme prüft.

Die Phishing-Angriffe sind zu einem ernsten Problem für die Banken geworden. Ein Drittel bis die Hälfte der Bankkunden führt die Bankgeschäfte inzwischen online aus. Dabei kommt es jedes Jahr zu mehreren tausend Betrugsfällen – Tendenz steigend. „Wir gehen von einer hohen Dunkelziffer aus“, sagt Michael Dickopf, Sprecher des Bundesamtes für Sicherheit in der Informationstechnik (BSI).

Die Schäden, die bei den Bankkunden entstehen, werden zurzeit in den meisten Fällen von den Banken über Kulanzklauseln beglichen. Rechtlich allerdings liegt das Risiko – dafür sorgen die Teilnahmebedingungen des Internet-Bankings – bei den Kunden.

Die Banken prüfen bereits weitere Sicherheitsmaßnahmen wie etwa die TAN-Abfrage per SMS. Allerdings hält das Bundesamt für Sicherheit in der Informationstechnik auch dieses Verfahren für angreifbar. Es sei nur eine Frage der Zeit, bis Experten entsprechende Programme entwickeln. Die einzige dauerhaft sichere Lösung sind nach BSI-Einschätzung registrierte Geräte wie der Kartenleser. Allerdings stoßen solche Zusatzgeräte bei den Bankkunden auf wenig Gegenliebe, da Online-Banking damit nur am heimischen PC möglich ist.

Ein Postbank-Sprecher verwies am Donnerstag darauf, das Geldinstitut habe nie behauptet, dass das iTAN-Verfahren absolut sicher sei. Längerfristig hoffe die Postbank, die rund 15 Millionen Kunden hat, dass sich die von der Bundesregierung geförderte elektronische Signatur am Markt durchsetzen werde. Auch die Deutsche Bank setzt auf dieses System, das den Einsatz eines Kartenlesers voraussetzt. hsn/sia (HB)

-