Noch zögern Banken aus Kostengründen, neue Verschlüsselungstechniken einzusetzen: Sicheres Online-Banking ist möglich

Noch zögern Banken aus Kostengründen, neue Verschlüsselungstechniken einzusetzen
Sicheres Online-Banking ist möglich

Online-Bankkunden sind alarmiert: Betrüger locken sie mit E-Mails auf täuschend echt wirkende Bank-Websites oder gar, wie unlängst bei der Citibank, auf die echte Homepage. Dort öffnet sich ein gefälschtes Pop-Up-Fenster, in das der Kunde Kontonummer, Passwort und TAN eingibt. Derart vertrauliche Daten abzufischen heißt "Phishing" (Passwort Fishing). Die Betrüger nutzen die Kenntnisse, um fremdes Geld auf eigene Konten zu überweisen.

BERLIN. Die Gefahr wächst: Im Januar registrierte die Organisation Anti Working Group-Phishing 2560 gefälschte Webseiten, mit denen versucht wurde, Internetnutzern vertrauliche Daten abzuluchsen - 50 Prozent mehr als im Dezember. Auch hier zu Lande waren unter anderem Kunden der Postbank, der Deutschen Bank sowie von Volksbanken Zielscheiben der Phishing-Attacken.

Neue Authentifizierungstechniken sollen den Betrügern die Beutezüge jetzt erschweren. Im Kern stehen dabei meist Einmalpasswörter, deren kurze Gültigkeit allein schon Schutz bietet. Das Unternehmen Datadesign AG aus München ersetzt die übliche TAN-Liste aus Papier durch einen kleinen Passwort-Generator (Token). Das Teil in Größe eines Schlüsselanhängers zeigt beim Aufklappen eine sechsstellige elektronische TAN an. "Diese Ziffer ist nur 20 bis 30 Sekunden gültig, so dass für das Phishing zu wenig Zeit bleibt", erklärt Michael Göpper, Product Manager von Datadesign. Die sicherste Methode der Authentifizierung sei das Challenge-Response-Verfahren: Dabei gibt die Bank bei jeder Einwahl eine automatisch generierte Ziffernfolge aus (Challenge), die vom User mit einer Zahlenfolge (Response) bestätigt werden muss. Die passende Antwort berechnet der Token. "So wird das Ausspionieren von Transaktionsnummern unmöglich", versichert Göpper.

Auf dieses Prinzip setzt auch die RSA Security GmbH. Ein Algorithmus generiert im so genannten Secur-ID-Token fortlaufend neue sechsstellige Ziffern zur Authentifizierung. Und das, so lange das Gerät in Betrieb ist. "Gegen zeitversetzte Phishing-Attacken, bei denen Betrüger erst noch die Rückmail des Nutzer bearbeiten müssen, bietet das idealen Schutz. Bei den noch seltenen Angriffen in Echtzeit ist allerdings auch diese Technik machtlos", sagt Harald Speckbrock, Consultant der RSA Security GmbH in Mainz. Das könnte passieren, wenn eine Trojaner-Software den Online-Kunden auf eine gefälschte Seite lockt und sofort mit den abgefischten Geheimzahlen eine eigene Transaktion ausführt.

Seite 1:

Sicheres Online-Banking ist möglich

Seite 2:

Serviceangebote
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%