Dass das Online-Banking per PIN und TAN nicht das Prädikat „besonders sicher“ verdient, ist schon seit längerem bekannt (ZDNet berichtete laufend). Nun will das Hamburger Magazin „Stern“ die Homebanking-Technologie HBCI überlistet haben, die bisher von Banken und Experten als sehr zuverlässig gelobt wurde.
Bei dem Verfahren, das etwa jeder zehnte Online-Kunde anwendet, erhalten die Benutzer einen individuellen digitalen Schlüssel auf einer persönlichen Diskette oder Chipkarte. Diese wird während des Bankings in das Diskettenlaufwerk oder in einen Chipkartenleser geschoben. So werden alle Bankaufträge nach Eingabe des Passworts verschlüsselt.
Genau dieses Verfahren wollen Hamburger Software-Experten geknackt haben. Sie entwickelten ein Programm, das auf dem PC des Angegriffenen Daten ausspähen kann und diese dann samt dem zugehörigen Passwort des Belauschten an die Datendiebe mailt. Die bekommen so vollen Zugriff auf Konto des Bestohlenen.
Bei einem Probe-Angriff sei die Spionage-Software mit Hilfe eines Trojaner-Programms ins Web geschleust worden. Testweise überwiesen die Experten Geld an sich selbst. Das Magazin weiter: „Mit genügend krimineller Energie könnte das Überlisten der HBCI-Sicherung zu einem Massenangriff auf Tausende von Online-Konten missbraucht werden“.
Nähere Details zu dem Test sind nicht bekannt. Offenbar konnte er aber dadurch funktionieren, dass das Passwort auf dem PC abgespeichert wurde – ein Verfahren, vor dem jede Banking-Software eindrücklich warnt.
Neueste Kommentare
2 Kommentare zu HBCI angeblich geknackt
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Jeder kann den Mißbaruch einschränken!
Jeder Homebankingkunde sollten sich durch Installation eines guten (und vor allem aktuellen) Virenscanners und einer Firewall absichern. Darüber hinaus rät jede Bank vom Abspeichern von PINs und TANs ab. Speziell bei HBCI sollte man darauf achten, dass nur ein HBCI-Chipkartenleser der KLasse 2 oder 3 verwendet wird, da bei diesen Geräten eine sichere PIN-Eingabe erfolgt! Beherzigt man diese Grundvoraussetzungen, kann jeder Homebankingkunde das Risiko "Mißbrauch" sehr einschränken.
Skandal: Onlinebanking knacken kann auch jeder DV-Laie
<satire>
Forscher haben herausgefunden, daß Einbrecher, die die Zugangsdaten zum Onlinebanking bei einem Einbruch entwendeten ohne weiteres Zugang zum Konto des Opfers erreichten.
Jetzt wird überprüft ob es eventuell ähnliche Sicherheitslücken beim Telefonbanking und beim Geldabheben mit EC-Karte plus PIN gibt.
</satire>