Weitere Hintertür beim iTAN-Verfahren der Postbank entdeckt

HBCI-Standard bei der Postbank weiterhin ohne iTan-Unterstützung. Schon einmal ist eine Lücke im neuen iTan-Verfahren der Postbank entdeckt worden, doch Mitarbeiter der c't haben nun noch eine weitere Methode gefunden, das Sicherheitsverfahren zu umgehen: Beim eigentlich sicheren HBCI-Überweisungsverfahren wird nämlich iTan bis dato gar nicht genutzt.

25. November 2005 um 15:25 Uhr / Ingo Pakalski

55 Kommentare News folgen (öffnet im neuen Fenster)

Anders als die erste bekannte Sicherheitslücke, die die Arbeitsgruppe "Identitätsschutz im Internet (AI3)" der Ruhr-Universität Bochum (RUB) herausfand, ist bei der neuerlichen Schwachstelle gar kein Man-in-the-Middle-Angriff notwendig. Der Betrüger müsste wie gehabt seinem Opfer PIN und TAN entwenden, indem er mit den einschlägigen Phishing-Tricks arbeitet.

Die erbeuteten Nummernkombinationen müssen dann mit einer HBCI-fähigen Banking-Software und nicht wie sonst mit dem Onlinebanking-Webportal der Postbank zum Leerräumen des Kontos genutzt werden. Dies ist nur deshalb möglich, weil beim HBCI-Verfahren, das die Postbank einsetzt, nach Angaben der c't weder Kartenleser noch dazugehörige Chipkarte, sondern nur die Eingabe dieser beiden Zahlenkombinationen benötigt werden. Ausgerechnet das ansonsten sichere HBCI-Verfahren allerdings arbeitet nicht nach dem iTan-Verfahren, sondern wie gehabt mit einer beliebigen TAN.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

Hardwaretechniker / IT-Systemelektroniker (m/w/d) – Computer- & Servermontage sowie Reparatur Systerra Computer GmbH, Wiesbaden (öffnet im neuen Fenster)

(Wirtschafts-)Informatikerin bzw. (Wirtschafts-)Informatiker oder (Wirtschafts-)Mathematikerin bzw. (Wirtschafts-)Mathematiker (w/m/d) Bundeskartellamt, Bonn (öffnet im neuen Fenster)

Full-Stack Software Entwickler:in (m/w/d) Herole Reisen GmbH, Dresden (öffnet im neuen Fenster)

IT-Systemadministrator (w/m/d) INSIGMA IT Engineering GmbH, Frechen (öffnet im neuen Fenster)

SAP & Data Architekt Logistik (w/m/d) dmTECH GmbH, Karlsruhe (öffnet im neuen Fenster)

Mitarbeiter (m/w/d) in der Anwendungsentwicklung KRAFTFAHRER-SCHUTZ e.V., München (öffnet im neuen Fenster)

IT-Systemadministrator/-in für die Integrierte Leitstelle (ILS) (m/w/d) Stadt Rosenheim, Rosenheim (öffnet im neuen Fenster)

Duales Studium - Software Engineering (m/w/d) Deutsche Gesetzliche Unfallversicherung e.V., Sankt Augustin (öffnet im neuen Fenster)

C't rät deshalb Postbank-Kunden, ihr HBCI-Überweisungslimit auf 0,- Euro zu setzen. Erst im Frühjahr 2006 soll das bisherige HBCI-Verfahren auch iTAN unterstützen.

Beim iTan-Verfahren verlangt das Online-Banking-Webportal die Eingabe einer bestimmten TAN aus der TAN-Liste und akzeptiert nicht mehr eine aus beliebiger Position.

Zur Startseite 55 Kommentare

Reklame Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon

Postbank: Indizierte TAN gegen Phishing

Diverse Maßnahmen sollen Kunden besser schützen. Die Postbank will Betrügern im Internet mit der indizierten Transaktionsnummer (iTAN) das Handwerk legen. Während die Bank heute eine beliebige TAN aus der Liste akzeptiert, gibt sie dem Kunden ab sofort den Einsatz einer bestimmten TAN vor. Selbst wenn die Betrüger in Besitz dieser iTAN gelangen, ist sie wertlos, denn bei der nächsten Online-Buchung verlangt der Bankrechner eine andere iTAN.

GnuCash-Finanzverwaltung für Linux unterstützt HBCI

Open-Source-Finanzverwaltung GnuCash 1.8 veröffentlicht. Das GnuCash-Entwicklerteam hat jetzt die Version 1.8 von GnuCash veröffentlicht, einer Open-Source-Finanzverwaltung für Linux/Unix, die sich an Privatanwender und Kleinbetriebe richtet. In der neuen stabilen Version wird erstmals das Online-Banking über HBCI unterstützt.

OpenHBCI 0.9.4 - Homebanking-Standard HBCI für Linux/Unix

Ersten freie Open-Source-Implementierung des Homebanking-Standards HBCI. Laut OpenHBCI-Entwicklerteam ist mit der nun erfolgten Veröffentlichung von OpenHBCI 0.9.4 die erste freie Open-Source-Implementierung des Homebanking-Standards HBCI für Linux/Unix verfügbar. HBCI ist ein bankunabhängiger Standard, der die Kommunikation zwischen beliebigen Finanzapplikationen eines Kunden einerseits und dem Server einer beliebigen HBCI-fähigen Bank andererseits beschreibt.

Relevante Themen