HBCI angeblich geknackt

Dass das Online-Banking per PIN und TAN nicht das Prädikat „besonders sicher“ verdient, ist schon seit längerem bekannt (ZDNet berichtete laufend). Nun will das Hamburger Magazin „Stern“ die Homebanking-Technologie HBCI überlistet haben, die bisher von Banken und Experten als sehr zuverlässig gelobt wurde.

Bei dem Verfahren, das etwa jeder zehnte Online-Kunde anwendet, erhalten die Benutzer einen individuellen digitalen Schlüssel auf einer persönlichen Diskette oder Chipkarte. Diese wird während des Bankings in das Diskettenlaufwerk oder in einen Chipkartenleser geschoben. So werden alle Bankaufträge nach Eingabe des Passworts verschlüsselt.

Genau dieses Verfahren wollen Hamburger Software-Experten geknackt haben. Sie entwickelten ein Programm, das auf dem PC des Angegriffenen Daten ausspähen kann und diese dann samt dem zugehörigen Passwort des Belauschten an die Datendiebe mailt. Die bekommen so vollen Zugriff auf Konto des Bestohlenen.

Bei einem Probe-Angriff sei die Spionage-Software mit Hilfe eines Trojaner-Programms ins Web geschleust worden. Testweise überwiesen die Experten Geld an sich selbst. Das Magazin weiter: „Mit genügend krimineller Energie könnte das Überlisten der HBCI-Sicherung zu einem Massenangriff auf Tausende von Online-Konten missbraucht werden“.

Nähere Details zu dem Test sind nicht bekannt. Offenbar konnte er aber dadurch funktionieren, dass das Passwort auf dem PC abgespeichert wurde – ein Verfahren, vor dem jede Banking-Software eindrücklich warnt.