0
Gefällt Ihnen der Artikel? Bewerten Sie ihn jetzt:

Deutsche Bank Opfer von Sicherheitslücken bei iTAN

Als vor Jahren bekannt wurde, dass das einfache PIN/TAN Verfahren zur Legitimation von Zahlungsaufträgen im Online Banking sicherheitsanfällig ist und Täter das Abgreifen der Daten und das Leerräumen der Konten gelang, wechselten sehr viele Banken auf das etwas verbesserte indizierte PIN/TAN-Verfahren (iTAN). Dieses Verfahren geht einen Schritt weiter als das einfache PIN/TAN-Verfahren. Der Kunde kann hier seinen Auftrag nicht mehr mit einer beliebigen TAN aus seiner Liste legitimieren, sondern wird von der Bank aufgefordert, eine bestimmte, durch eine Positionsnummer (Index) gekennzeichnete TAN aus seiner zu diesem Zweck nun durchnummerierten Liste einzugeben. Die TAN-Aufforderung muss zudem innerhalb weniger Minuten erfolgen. Außerdem wird die angeforderte TAN auf jeden Fall verbraucht. Doch auch dieses Verfahren kann schon seit geraumer Zeit von Hackern auf zwei verschiedene Weisen angegriffen werden. Ilex Rechtsanwälte warnt deshalb seit Jahren vor den Gefahren der Nutzung von iTAN und hält es für erforderlich, dass veraltete System durch ein sichereres System zu ersetzen. Nunmehr wurde ilex Rechtsanwälte mit der Prüfung eines Falles beauftragt, bei denen im Juni 2010 eine nichtautorisierte Zahlung von einem Konto vorgenommen wurde, das bei der Deutschen Bank Privat- und Geschäftskunden AG geführt wird.

Übersicht


Wie funktioniert das Abgreifen der Daten bei den iTAN?

Es gibt prinzipiell zwei Methoden, wie die Täter das iTAN-Verfahren aushebeln können. Bei einem Man-in-the-middle-Angriff schaltet sich ein auf dem Rechner des Bankkunden installierter Virus (ein sogenanntes „trojanisches Pferd“) automatisch ein, sobald der Online-Kunde eine Überweisung tätigen will. Der Virus tauscht im Hintergrund die Überweisungsdaten aus. Mit der angeforderten TAN bestätigt der Online-Banking-Kunde die betrügerische Überweisung des Hackers. Auf seinem eigenen PC-Bildschirm sieht er allerdings immer noch die von ihm veranlasste Original-Überweisung. Selbst die Umsatzanzeige und der Kontosaldo kann durch einen solchen Virus manipuliert und somit perfekt vorgetäuscht werden, dass alles in Ordnung sei. In Wirklichkeit wurde das Konto des Bankkunden längst leergeräumt.

Ein anderer Angriff funktioniert so, dass dem Bankkunden während der Online-Bank-Sitzung durch den Virus ein Formular innerhalb des Online-Banking-Systems zur Eingabe einer oder mehrerer indizierten TANs eingespielt wird. Beispielsweise wird dem Bankkunden täuschend echt vorgespielt, er habe sich beim Login vertippt und müssen den Zugang nun mit einer indizierten TAN freigeben. Das ist allerdings dann genau die TAN, die die Bank für die Legitimation einer zuvor angefragten nichtautorisierten Überweisung von den Straftätern abgefragt hatte.

Warum ist das iTAN-Verfahren heute unsicher?

Immer mehr Banken sehen das iTAN-Verfahren deshalb als nicht mehr sicher an und stellen ihre Systeme auf neuere Verfahren um. Ein weiterer Nachteil des iTAN-Verfahrens ist es, dass für Überweisungen von unterwegs (z. B. aus dem Urlaub) immer die komplette iTAN-Liste mitgeführt werden muss. Eine iTAN-Liste ist jedoch schwerer zu tarnen und einem Dieb fällt stets die komplette Liste in die Hände.

Anfang 2007 tauchten erstmals Phishing-Kits auf, die in der Lage waren, über die bereits genannte Man-in-the-middle-Attacke iTANs in Echtzeit für eigene Transaktionen zu benutzen. Das Bundeskriminalamt in Wiesbaden hatte daraufhin im Jahr 2008 rund 1.800 erfolgreiche Phishing-Angriffe registriert, die in aller Regel durch die Einschleusung von trojanischen Pferden auf den Computern der Bankkunden erfolgten. Im Mai 2009 gab das BKA dann bekannt, dass Phishing-Angriffe durch iTAN zwar etwas schwieriger, „aber keineswegs unmöglich“ seien.

Autor

Dr. Ulrich Schulte am Hülse

Publikationen:

Veröffentlichungsliste Dr. Schulte am Hülse (PDF)

Auswahl (Sonderdrucke als PDF)

Das Abgreifen von Zugangsdaten zum Online-Banking, in: MMR 7/2016, S. 435-440.

Umfang des Auskunftsanspruches gegen die Schufa-Scorewerte, in: NJW 17/2014, S. 1235-1239

Der Anscheinsbeweis bei missbräuchlicher Bargeldabhebung an Geldautomaten mit Karte und Geheimzahl, in: NJW 18/2012, S. 1262-1266.

Das Abgreifen von Bankzugangsdaten im Online-Banking, in: MMR, 2010, S. 84-90.

Weitere Sonderdrucke auf Anfrage

ilex Rechtsanwälte – Berlin & Potsdam Yorckstraße 17, 14467 Potsdam Hohenzollerndamm 123, 14199 Berlin

Telefon +49 331 9793750
Telefax +49 331 97937520

E-Mail: schulte@ilex-recht.de
Internet: ilex-bankrecht.de

Verwandte Themen

Zurück

Sie haben Fragen? Gleich Kontakt aufnehmen!

Medienpräsenz

Chip Online
Frankfurter Allgemeine
Merkur
Berliner Morgenpost
Sat1
Der Spiegel
ZDF
Chip Online
Frankfurter Allgemeine
Merkur
Berliner Morgenpost
Sat1
Der Spiegel
ZDF
ilex Rechtsanwälte hat 4,99 von 5 Sternen 84 Bewertungen auf ProvenExpert.com