Experten: iTAN erhöht kaum die Sicherheit

Das von vielen Banken eingeführte iTAN-Verfahren im Online-Banking bringt nach Ansicht der Gesellschaft für Informatik e. V. kein Mehr an Sicherheit, sondern suggeriert sie nur, wie Hartmut Pohl, Sprecher des GI-Arbeitskreises, erklärt.

Beim iTAN-Verfahren wird der Kunde zur Bestätigung einer Transaktion nicht mehr aufgefordert, eine beliebige TAN einzugeben, sondern eine spezielle, die auf seiner TAN-Liste mit einer entsprechende Index-Zahl gekennzeichnet ist. Damit sollen solche TAN-Nummern wertlos werden, die von Phishern erbeutet wurden.

Das Risiko eines Man-in-the-Middle-Angriffs wird dadurch jedoch nicht geringer, auch wenn ein solcher Angriff mehr Aufwand seitens des Angreifers erfordert. Bei einem Man-in-the-Middle-Angriff schiebt der Angreifer dem Bankkunden eine gefälschte Website unter, stellt im Hintergrund aber eine Verbindung zur Original-Website her, von der auch die Anforderung einer speziellen iTAN kommen muss. Hat der Kunde diese eingegeben, führt der Angreifer damit augenblicklich eine Transaktion zum eigenen Vorteil durch.

"Die Erläuterungen zur iTAN von Seiten der Banken sollten den eher begrenzten Beitrag der iTANs zur Sicherheit präzise darstellen und unmissverständlich klarstellen, dass es keine Sicherheit ohne die penible Beachtung wichtiger Regeln geben kann", fordert der Experte.

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben