Online-Banking erfreut sich bei den Deutschen wachsender Beliebtheit. Über 20 Millionen Konten werden nach Angaben des Bundesverbandes deutscher Banken bereits online geführt. Als sicheres Verfahren für die Bankgeschäfte via PC galt bislang die HBCI-Technologie (Homebanking Computer Interface). Doch nun wurde auch HBCI erstmals überlistet.
Die Masse der Online-Kunden nutzt das sogenannte PIN/TAN-Verfahren für das Online-Banking. Das ist solange sicher, wie der Zugangscode (PIN) und die jeweils nur einmal verwendbaren Transaktionsnummern (TAN)nicht in falsche Hände geraten. Als deutlich sicherer galt bislang das der digitalen Signatur verwandte HBCI-System. Hierbei schützt ein persönlicher digitaler Schlüssel, der auf einer Diskette oder Chipkarte gespeichert wird, die Bankgeschäfte in Verbindung mit einem PIN-Code. Schätzungsweise jeder zehnte Online-Kunde vertraut auf dieses Verfahren.
In Zusammenarbeit mit dem Magazin „Stern“ ist es Software-Experten jetzt allerdings gelungen, ein HBCI-Online-Konto zu knacken. Dazu wurde ein sogenannter „Trojaner“ über das Internet auf einen Rechner geschleust, der die persönlichen Schlüssel von der HBCI-Diskette mitsamt dem zugehörigen Passwort ausspioniert und an den Hacker sendet. Mit diesen Informationen bekommen die Hacker vollständigen Zugriff auf das Online-Konto. Der ahnungslose Online-Banker merkt von all dem indes nichts und wird erst beim nächsten Blick auf seinen Kontoauszug aus dem Dornröschen-Schlaf geweckt.
Diese Schwachstelle betrifft alle Banken, die zur HBCI-Sicherung den digitalen Schlüssel lediglich auf einer Diskette ablegen. Grund: Hacker können die Signale vom Diskettenlaufwerk abfangen. Diese Gefahr besteht nicht, wenn der Schlüssel auf einer Chipkarte abgelegt ist, die über einen Kartenleser der Klasse 2 ausgelesen wird. Grund: Bei Klasse-2-Geräten erfolgt Datenbearbeitung und PIN-Eingabe getrennt vom PC und ist somit für Trojaner nicht zugänglich.
Verbraucherschützer fordern daher bereits, dass alle Banken ihren Kunden die sicheren Kartenleser mit der Chipkarte kostenlos zur Verfügung stellen. Bisher verlangen die Geldinstitute teilweise bis zu 130 Euro für die Geräte.
Handelsblatt
