Wie funktioniert das Abgreifen der Daten bei den iTAN?
Es gibt prinzipiell zwei Methoden, wie die Täter das iTAN-Verfahren aushebeln können. Bei einem Man-in-the-middle-Angriff schaltet sich ein auf dem Rechner des Bankkunden installierter Virus (ein sogenanntes „trojanisches Pferd“) automatisch ein, sobald der Online-Kunde eine Überweisung tätigen will. Der Virus tauscht im Hintergrund die Überweisungsdaten aus. Mit der angeforderten TAN bestätigt der Online-Banking-Kunde die betrügerische Überweisung des Hackers. Auf seinem eigenen PC-Bildschirm sieht er allerdings immer noch die von ihm veranlasste Original-Überweisung. Selbst die Umsatzanzeige und der Kontosaldo kann durch einen solchen Virus manipuliert und somit perfekt vorgetäuscht werden, dass alles in Ordnung sei. In Wirklichkeit wurde das Konto des Bankkunden längst leergeräumt.
Ein anderer Angriff funktioniert so, dass dem Bankkunden während der Online-Bank-Sitzung durch den Virus ein Formular innerhalb des Online-Banking-Systems zur Eingabe einer oder mehrerer indizierten TANs eingespielt wird. Beispielsweise wird dem Bankkunden täuschend echt vorgespielt, er habe sich beim Login vertippt und müsse den Zugang nun mit einer indizierten TAN freigeben. Das ist allerdings dann genau die TAN, die die Bank für die Legitimation einer zuvor angefragten nichtautorisierten Überweisung von den Straftätern abgefragt hatte.
Warum ist das iTAN-Verfahren heute unsicher?
Immer mehr Banken sehen das iTAN-Verfahren deshalb als nicht mehr sicher an und stellen ihre Systeme auf neuere Verfahren um. Ein weiterer Nachteil des iTAN-Verfahrens ist es, dass für Überweisungen von unterwegs (z. B. aus dem Urlaub) immer die komplette iTAN-Liste mitgeführt werden muss. Eine iTAN-Liste ist jedoch schwerer zu tarnen und einem Dieb fällt stets die komplette Liste in die Hände.
Anfang 2007 tauchten erstmals Phishing-Kits auf, die in der Lage waren, über die bereits genannte Man-in-the-middle-Attacke iTANs in Echtzeit für eigene Transaktionen zu benutzen. Das Bundeskriminalamt in Wiesbaden hatte daraufhin im Jahr 2008 rund 1.800 erfolgreiche Phishing-Angriffe registriert, die in aller Regel durch die Einschleusung von trojanischen Pferden auf den Computern der Bankkunden erfolgten. Im Mai 2009 gab das BKA dann bekannt, dass Phishing-Angriffe durch iTAN zwar etwas schwieriger, „aber keineswegs unmöglich“ seien.
Ulrich Schulte am Hülse
Rechtsanwalt
Deutsche Bank Opfer von Sicherheitslücken bei iTAN hinzugefügt von Presse am
Alle Beiträge von Presse →
