Die Kunden der Citibank werden derzeit von einer neuen Art Phishing-Fall bedrängt: Klickt der Kunde auf die URL in der Betrüger-Mail, öffnet sich die richtige Citibank-Seite. Nur das Pop-Up-Menu, in das der Kunde seine geheimen PINs und TANs eintippen soll, führt zu einer manipulierten Website. Hier nützen auch Virenscanner und Firewalls nichts – wer seine Daten jetzt weggibt, verschafft einem Kriminellen freien Zugang zu seinem Konto.
Während die Banken ihre Kunden auf Informations-Websites zu warnen, hoffen Token-Anbieter auf das große Geschäft: „Die Anbieter stehen derzeit alle in den Startlöchern“, sagt Peter Schill, zuständig für den E-Token-Vertrieb der Firma Aladdin. Die Technologie zum besseren Schutz der Online-Kunden ist im Markt längst ausgereift. Aladdin zum Beispiel kann auf dem „E-Token“ alle Passwörter eines Nutzers speichern und überprüft bei der Anmeldung automatisch jede Website, bevor Daten freigegeben werden. Auf diese Weise soll das Gerät gefälschte Phishing-Seiten erkennen und den Nutzer warnen.
Auch die Sicherheitshersteller RSA Security, Kobil und Vasco hätten Abhilfe gegen Phishing in ihren Lagern – nur sind deutsche Banken noch nicht dafür zu begeistern. „Das Geschäft läuft sehr zäh“, sagt ein Insider. Bei unseren Nachbarn sieht das anders aus:
Bei der SEB-Bank in Schweden hat noch nie jemand PINs und TANs für Online-Banking benutzt. „Wie wollten von Anfang an stärkere Sicherheitsmechanismen“, erzählt Niklas van Ingelandt, Information Security Manager bei der SEB. Da hier die User-ID immer die Sozialversicherungsnummer ist, könnte ein Hacker leicht den dazugehörigen, statischen PIN-Code herausfinden. Für die derzeit 600.000 Online-Kunden hat die SEB ein Challenge-Response-System eingeführt: Der Kunde aktiviert seinen Token mit einer PIN und gibt dann die ID ein. Die Website sagt, was er in den Digipass eintippen soll und das dann errechnete Ergebnis ist das Passwort für den Internet-Zugang, 3DES-verschlüsselt und nur 30 Sekunden gültig.
Neueste Kommentare
3 Kommentare zu Tokens statt PIN/TAN: Sicheres Online-Banking ohne Kartenleser
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
TAN-Sicherheit
Hier wird mal wieder Panik gemacht. Tatsache ist, dass deutsche Banken einen Sicherheitsstandard haben, von dem viele andere, besonders in Nordamerika (dort wird allgemein nur ein gewoehnliches fixes Passwort geprueft), traeumen (http://www.celent.com/PressReleases/20030709/OnlineBankingSec.htm).
Meines Erachtens ist PIN/TAN sicher, zumindest, wenn der TAN-code bei jeder einzelnen Transaktion abgefragt wird; in diesem Fall haben Phishing-angriffe keine Chance. Noch besser waere es wohl, wenn die TAN-codes nicht der reihe nach verbraucht werden, sondern jedesmal zufaellig eines ausgewaehlt wuerde.
Wenn der Laie jetzt noch erfahren würde, was ein "Token" ist…
Wenn der Laie jetzt noch erfahren würde, was ein "Token" ist, würde er den Artikel vielleicht auch verstehen.
Er könnte zwar in einem Wörterbuch nachschlagen und "Anzeichen, Gutschein, Kürzel, Kurzzeichen, Merkmal, Spielmarke, Spielstein, Wertmarke, Zeichen" finden… das bringt aber kaum weiter.
AW: Wenn der Laie jetzt noch erfahren würde, was ein "Token" ist…
Stimme meinem Vorredner voll und ganz zu … lieber Autor des Artikels: "Setzen – 6 – Beruf verfehlt"!