Deutsche Bank Opfer von Sicherheitslücken bei iTAN
Als vor Jahren bekannt wurde, dass das einfache PIN/TAN Verfahren zur Legitimation von Zahlungsaufträgen im Online Banking sicherheitsanfällig ist und Täter das Abgreifen der Daten und das Leerräumen der Konten gelang, wechselten sehr viele Banken auf das etwas verbesserte indizierte PIN/TAN-Verfahren (iTAN). Dieses Verfahren geht einen Schritt weiter als das einfache PIN/TAN-Verfahren. Der Kunde kann hier seinen Auftrag nicht mehr mit einer beliebigen TAN aus seiner Liste legitimieren, sondern wird von der Bank aufgefordert, eine bestimmte, durch eine Positionsnummer (Index) gekennzeichnete TAN aus seiner zu diesem Zweck nun durchnummerierten Liste einzugeben. Die TAN-Aufforderung muss zudem innerhalb weniger Minuten erfolgen. Außerdem wird die angeforderte TAN auf jeden Fall verbraucht. Doch auch dieses Verfahren kann schon seit geraumer Zeit von Hackern auf zwei verschiedene Weisen angegriffen werden. Ilex Rechtsanwälte & Steuerberater warnt deshalb seit Jahren vor den Gefahren der Nutzung von iTAN und hält es für erforderlich, dass veraltete System durch ein sichereres System zu ersetzen. Nunmehr wurde ilex Rechtsanwälte und Steuerberater mit der Prüfung eines Falles beauftragt, bei denen im Juni 2010 eine nichtautorisierte Zahlung von einem Konto vorgenommen wurde, das bei der Deutschen Bank Privat- und Geschäftskunden AG geführt wird.
Es gibt prinzipiell zwei Methoden, wie die Täter das iTAN-Verfahren aushebeln können. Bei einem Man-in-the-middle-Angriff schaltet sich ein auf dem Rechner des Bankkunden installierter Virus (ein sogenanntes „trojanisches Pferd“) automatisch ein, sobald der Online-Kunde eine Überweisung tätigen will. Der Virus tauscht im Hintergrund die Überweisungsdaten aus. Mit der angeforderten TAN bestätigt der Online-Banking-Kunde die betrügerische Überweisung des Hackers. Auf seinem eigenen PC-Bildschirm sieht er allerdings immer noch die von ihm veranlasste Original-Überweisung. Selbst die Umsatzanzeige und der Kontosaldo kann durch einen solchen Virus manipuliert und somit perfekt vorgetäuscht werden, dass alles in Ordnung sei. In Wirklichkeit wurde das Konto des Bankkunden längst leergeräumt.
Ein anderer Angriff funktioniert so, dass dem Bankkunden während der Online-Bank-Sitzung durch den Virus ein Formular innerhalb des Online-Banking-Systems zur Eingabe einer oder mehrerer indizierten TANs eingespielt wird. Beispielsweise wird dem Bankkunden täuschend echt vorgespielt, er habe sich beim Login vertippt und müsse den Zugang nun mit einer indizierten TAN freigeben. Das ist allerdings dann genau die TAN, die die Bank für die Legitimation einer zuvor angefragten nichtautorisierten Überweisung von den Straftätern abgefragt hatte.
Warum ist das iTAN-Verfahren heute unsicher?
Immer mehr Banken sehen das iTAN-Verfahren deshalb als nicht mehr sicher an und stellen ihre Systeme auf neuere Verfahren um. Ein weiterer Nachteil des iTAN-Verfahrens ist es, dass für Überweisungen von unterwegs (z. B. aus dem Urlaub) immer die komplette iTAN-Liste mitgeführt werden muss. Eine iTAN-Liste ist jedoch schwerer zu tarnen und einem Dieb fällt stets die komplette Liste in die Hände.
Anfang 2007 tauchten erstmals Phishing-Kits auf, die in der Lage waren, über die bereits genannte Man-in-the-middle-Attacke iTANs in Echtzeit für eigene Transaktionen zu benutzen. Das Bundeskriminalamt in Wiesbaden hatte daraufhin im Jahr 2008 rund 1.800 erfolgreiche Phishing-Angriffe registriert, die in aller Regel durch die Einschleusung von trojanischen Pferden auf den Computern der Bankkunden erfolgten. Im Mai 2009 gab das BKA dann bekannt, dass Phishing-Angriffe durch iTAN zwar etwas schwieriger, „aber keineswegs unmöglich“ seien.
Ulrich Schulte am Hülse
RechtsanwaltWeitere Infos zu dieser Pressemeldung:
Themen in dieser Pressemitteilung:
Unternehmensinformation / Kurzprofil:
ilex Rechtsanwälte & Steuerberater ist eine Rechtsanwaltskanzlei mit Sitz in Berlin und Potsdam und deckt ein breites Spektrum wirtschaftsrechtlicher Themenstellungen ab. Interdisziplinär arbeiten die Rechtsanwälte mit Steuerberatern zusammen. Ergänzende Absenderangaben mit allen unseren Standorten finden Sie im Impressum auf unserer Internetseite.
ilex Rechtsanwälte & Steuerberater
Berlin & Potsdam
Alleestraße 13
14469 Potsdam
Telefon 0331 97 93 75 0
Telefax 0331 97 93 75 20
E-Mail potsdam(at)ilex-recht.de
Datum: 01.09.2010 - 17:14 Uhr
Sprache: Deutsch
News-ID 250770
Anzahl Zeichen: 3860
Kontakt-Informationen:
Ansprechpartner: Ulrich Schulte am Hülse
Stadt:
Potsdam
Telefon: 0331 9793750
Kategorie:
Banken
Meldungsart: Finanzinformation
Versandart: Veröffentlichung
Freigabedatum: 01.09.2010
Diese Pressemitteilung wurde bisher 578 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
"Deutsche Bank Opfer von Sicherheitslücken bei iTAN"
steht unter der journalistisch-redaktionellen Verantwortung von
ilex Rechtsanwälte & Steuerberater (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).
1. Grundlagen der Strafzumessung Wenn ein Gericht, den Angeklagten verurteilt, stellt sich stets die Frage, wie dieser zu bestrafen ist. Hierbei orientiert sich das Gericht in einem ersten Schritt am sog. Strafrahmen. Denn der Gesetzgeber hat für bestimmte Straftaten ganz bestimmte Sanktionsm
Wie können Unternehmen ihr Audio-Logo schützen? ...
Was ist eine Hörmarke? Der Sinn und Zweck einer Marke besteht darin, ein Unternehmen von vielen anderen Unternehmen zu unterscheiden und die Herkunft von Produkten bzw. Dienstleistungen von einem bestimmten Unternehmen gegenüber dem Verbraucher zu garantieren. Unter Marketingaspekten kommt der
(Sport-)Strafrecht: Die Verteidigung gegen Dopingvorwürfe ...
1. Ist das Doping strafbar? Die berechtigte Frage "Ist Doping strafbar" darf nicht pauschal mit "Ja" oder "Nein" beantwortet werden. Beides wäre unseriös. Vielmehr kommt es auf die konkrete Art des Dopings an. a) Verstoß gegen das Arnzeimittelgesetz Wer best
Weitere Mitteilungen von ilex Rechtsanwälte & Steuerberater
Gold kaufen online: Ophirum erweitert Serviceangebot ...
Ophirum bietet interessierten Anlegern jetzt weitere Neuerungen, um den Goldkauf noch sicherer und einfacher zu gestalten. Darüber hinaus wurden auch die Kosten für den Versand reduziert. Goldkauf mit Gütesiegel Nach Abschluss einer umfangreichen Prüfung hinsichtlich der Erfüllung von meh
VR Kreditservice bringt Baufinanzierung der PSD Banken auf die Überholspur ...
Mit der IT-Lösung Baufi FastLane verbessern Finanzdienstleister ihre Produktivität in der privaten Immobilienfinanzierung und erhöhen ihre Zusagegeschwindigkeit. Hiervon profitieren jetzt auch die PSD Banken. Die genossenschaftlichen PSD Banken bringen ihr Baufinanzierungsangebot auf die Übe
Internationale Immobilien-Plattform www.PRIKUMI.com ist am 16.08.2010 gestartet ...
PRIKUMI.com sieht sich als „Internationales Immobilienportal“ für Anbieter von Immobilien ohne Maklergebühr. PRIKUMI richtet sich speziell an Interessenten von Internationalen Immobilien von Privatanbietern oder auch für Objekte direkt vom Bauträger. Allerdings besteht PRIKUMI strengstens a
Verkauf der Lebensversicherung vorteilhafter als Kündigung ...
Regensburg, 27.08.2010 - Regensburg – August 2010. Der Versicherungszweitmarkt boomt. Immer mehr Haushalte entscheiden sich nach Erfahrung der CIC WBG mbH für den Verkauf ihrer Kapitallebensversicherung, um auf die sinkenden Renditeperspektiven zu reagieren. Mit Ihren Produkten ermöglicht die CI
