Onlinebanking: Sicherheitsstandard HBCI hat angeblich ein Loch

An HBCI bastelten die Banken mehrere Jahre, der Standard gilt als derzeit beste Lösung fürs Onlinebanking. Doch HBCI sei nicht sicher genug, berichtet der "Stern": Das Sicherungsverfahren könne mit einem "Trojaner" geknackt werden.

Online-Banking: Neben E-Mail und Filesharing beliebteste Nutzanwendung des Internet
GMS

Online-Banking: Neben E-Mail und Filesharing beliebteste Nutzanwendung des Internet

In dem als besonders sicher geltenden Onlinebanking-Standard HBCI klafft nach Darstellung des "Stern" eine gefährliche Sicherheitslücke. Experten hätten im Auftrag des Magazins die Identität eines Bankkunden gestohlen und die Verfügungsgewalt über sein Konto bei der Deutschen Bank 24 gewonnen. "Sie überwiesen Geld an sich selbst und hätten das Konto bis zur vom Kunden eingestellten Obergrenze für Transaktionen abräumen können", heißt es in dem am Mittwoch vorab veröffentlichten Bericht.

HBCI steht für Homebanking Computer Interface und bezeichnet ein Online-Banking-Verfahren, das mit Chipkarten oder Datenschlüsseln auf Diskette arbeitet. Beim Online-Banking benötigt der Kunde nur eine einzelne Geheimnummer, nicht aber Transaktionsnummern für jede Überweisung.

Bei ihrem Angriff setzten Mitarbeiter des Hamburger Beratungsunternehmens Datamedical ein so genanntes Trojanisches Pferd ein. Das ist ein Stück Sabotagesoftware, in diesem Fall als harmloser Euro-Umrechner getarnt. Nach der Installation des Währungsumrechners habe das "Knackprogramm" darauf gewartet, dass der Kunde mit dem Computer seine Bank besucht und dabei die Diskette mit dem HBCI-Schlüssel einlegt. Danach sei eine Kopie der Schlüsseldiskette erstellt und das Passwort abgefangen worden. Die Daten wurden anschließend über das Internet an die Datendiebe verschickt.

Nach Darstellung der Experten im "Stern" wurden dabei "gravierende Sicherheitslücken" im Windows-Betriebssystem von Microsoft ausgenutzt. Die Schwachstelle betreffe vor allem HBCI-Varianten, die mit Schlüsseldisketten betrieben werden. Vermutlich sei aber auch das Verfahren mit einfachen Chipkarten nicht sicher. "Erst Kartenleser ab Sicherheitsstufe zwei verhindern den Angriff, weil die Datenbearbeitung nicht im PC, sondern im Kartenleser selbst erfolgt." Für diese Geräte verlangten fast alle Banken Geld, nämlich bis zu 130 Euro.

Weniger schick als HBCI, aber dafür vergleichsweise sicher ist das alte PIN/TAN-Modell, das auch von der Deutschen Bank 24 weiterhin angeboten wird. Dabei kommt neben einem Zugangscodewort ("PIN") eine Transaktionsnummer ("TAN") zum Einsatz, die nur zum einmaligen Gebrauch gedacht ist. Die TAN verliert mit jeder erfolgten Transaktion sofort ihre Gültigkeit und kann so auch nicht missbraucht werden. Statt eines Chipkartenlesers oder einer Zugangsdiskette kommen bei diesem Verfahren ein Stück Papier ("TAN-Block") und ein Kugelschreiber zum Einsatz - verbrauchte TANs streicht man einfach.

Diesen Artikel...
Aus Datenschutzgründen wird Ihre IP-Adresse nur dann gespeichert, wenn Sie angemeldeter und eingeloggter Facebook-Nutzer sind. Wenn Sie mehr zum Thema Datenschutz wissen wollen, klicken Sie auf das i.

Auf anderen Social Networks teilen

  • Xing
  • LinkedIn
  • Tumblr
  • studiVZ meinVZ schülerVZ
  • deli.cio.us
  • Digg
  • reddit
News verfolgen

HilfeLassen Sie sich mit kostenlosen Diensten auf dem Laufenden halten:

alles aus der Rubrik Netzwelt
Twitter | RSS
alles aus der Rubrik Tech
RSS

© SPIEGEL ONLINE 2002
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH

SPIEGEL ONLINE Schließen


  • Drucken Versenden
  • Nutzungsrechte Feedback
  • Zur Startseite

E-Book-Tipp
  • Christian Stöcker:
    Spielmacher
    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.A.

    Kindle Edition: 1,99 Euro.

  • Einfach und bequem: Direkt bei Amazon bestellen.