Das neue iTan-Verfahren der Postbank schützt nicht vor Betrügern

Fragwürdige Sicherheit

Schaut auf den ersten Blick nach Postbank aus, ist aber eine Betrüger-E-Mail. Banken fragen niemals Daten per E-Mail ab - und wer genau hinschaut, wird von selbst mißtrauisch: „Wir schätzen Ihr Business ein. Für uns ist eine große Ehre, Sie zu bedienen.“

Auch über die Weihnachtsfeiertage sind sie millionenfach in elektronische Postfächer getrudelt – die so genannten „Pishing“-Mails, mit denen betrügerische Banden versuchen, die Online-Banking-Daten von ahnungslosen Bürgern auszuspionieren.

Wer diese Mails erhält, wird den Betrug in der Regel schnell erkennen: Darin wird der nicht namentlich angesprochene Empfänger in schlechtem Deutsch aufgefordert, Passwort und einige für das Online-Banking nötige Transaktionsnummern in ein meist angehängtes Formular einzutragen und zurückzuschicken. Wer so gutgläubig ist und dies tatsächlich auch macht, kann beim nächsten Blick auf seinen Kontostand einen Schock erleben. Betroffen sind im Grunde alle Bankunternehmen, die Online-Banking anbieten.

Im Oktober erklärte die Postbank nun, ein neues Verfahren entwickelt zu haben, durch das Pishing-Attacken wirkungslos werden sollten. Beim so genannten indizierten Transaktionsnummern-Verfahren (iTan) verlangt das System jeweils eine ganz bestimmte Tan aus der Liste – bislang war es egal, welche Tan man verwendete. Durch das neue iTan-Verfahren würde sich die Gefahr einer erfolgreichen Pishing-Attacke bei einer Liste von 100 Tans nun auf ein Prozent reduzieren. Doch verlassen sollten sich die Kunden auf dieses mit großem Tamtam eingeführte Verfahren nicht: Im Wesentlichen ist es genau so unsicher wie das alte! Im Grunde sind die Postbank und andere Bankinstitute gegen diese Pishing-Attacken machtlos. Schützen können sich die Kunden nur selbst: Indem sie solche E-Mails gar nicht erst öffnen und sie sofort löschen.

Das neue System der Postbank schützt nämlich nur die Kunden vor Pishing-Mail-Betrügern, die ihre Bankgeschäfte auf dem Online-Interface der Banken erledigen. Wer eine Finanzsoftware nutzt und am so genannten „HBCI“-Verfahren teilnimmt, kann auch weiterhin jede x-beliebige Tan aus der Liste verwenden. „Das ist technisch derzeit leider nicht anders möglich“, erklärte eine Postbank-Sprecherin auf unsere Anfrage hin.

Als das neue Verfahren eingeführt wurde, war hiervon noch nichts zu hören. Und auch vor Trojanern und dem so genannten „Mann in der Mitte“ schützt das neue hochgepriesene System nicht. Dabei schalten sich die Betrüger mit einer vom Kunden versehentlich installierten Software zwischen Kunden und Bank, so dass der Kunde dem Betrüger unfreiwillig jede erforderliche Information gibt. „Gegen den ‚Mann in der Mitte’ können wir leider nichts tun“, erklärt die Postbank-Sprecherin weiter. „Da müssen wir leider an die Eigenverantwortung der Kunden appellieren und können nur dazu auffordern, die Anti-Virenprogramme ständig zu aktualisieren.“ Auch davon war bei Einführung des Systems noch nicht die Rede.

Ein richtig sicheres Online-Banking bietet also auch das iTan-Verfahren nicht. Die Postbank arbeit jedoch an einer anderen Lösung: Mittelfristig soll das Online-Banking mit einer so genannten Signatur-Karte möglich sein. Dabei soll sich, ähnlich wie bei den geplanten neuen Versichertenkarten, jeder Kunde vor jedem Bankgeschäft digital bei der Bank anmelden – wobei er digital unterschreiben muss. Leider hat das Ganze noch einige Haken: Erstens fehlt hierfür noch die rechtliche Grundlage, zweitens müssten sich die Kunden dann sowohl die Signatur-Karte als auch ein Kartenlesegerät anschaffen.

Artikel vom 28.12.2005
Auf Facebook teilen / empfehlen Whatsapp

Weiterlesen

• Münchner Wochenblatt / SamstagsBlatt (weitere Artikel)

Login