die Sache mit der iTAN und den Studenten
am 25.08.2005 von disLEXia.de
Meine Studenten zeigen Initiative und forschen fleißig. Sie veröffentlichen - wenn auch nicht unbedingt in den vorgefahrenen akademischen bahnen. Ich bin ganz klar stolz auf sie.
Aber diesmal haben sie mir ein Wochenende am Telefon eingehandelt befürchte ich:
Forschungsgruppe RedTeam der RWTH Aachen warnt vor trügerischer Sicherheit des neuen iTAN Verfahren.
Das indizierte TAN (iTAN) Verfahren, das aktuell von mehreren deutschen Banken eingeführt wird, um ihre Kunden effektiv vor Trojaner- und Phishingangriffen zu schützen, wird diesem Anspruch nicht gerecht. RedTeam hat das iTAN-Verfahren untersucht und konnte zeigen, dass Angriffe weiterhin möglich sind. Die überbewertenden Äußerungen der Banken über das Verfahren führen zu einem falschen Sicherheitsgefühl verbunden mit einer Gefährdung der Bankkunden.
Der einzige Unterschied von iTAN zum klassischen TAN System besteht darin, dass nicht mehr eine beliebige Transaktionsnummer (TAN) zur Bestätigung eines Auftrages vom Kunden genutzt werden kann, sondern diese von der Bank vorgeben wird. Dafür werden alle TAN-Nummern durchnummeriert und nach Übermittlung des Auftrages vom Bankcomputer eine zufällige TAN aus der TAN-Liste ausgewählt und diese fest mit dem übermittelten Auftrag verknüpft. Der Kunde muss nun zur Bestätigung des Auftrages genau diese TAN eingeben und kann auch keinen anderen Auftrag mit dieser TAN bestätigen.
Ein Angreifer wird durch dieses Verfahren jedoch nur im Zeitraum eingeschränkt, zu dem er eine schädliche Transaktion durchführen kann. Erfolgreiche Angriffe selber werden aber nicht verhindert. Sobald ein Angreifer durch einen Phishing- oder Trojanerangriff die Möglichkeit hat, die Kommunikation zwischen Kunde und Bankcomputer zu manipulieren, kann er einen Kunden zur Eingabe der benötigten TAN bewegen, ohne dass dieser den Mißbrauch …
Wie ist das nun mit der Sicherheit beim Onlinebanking
disLEXia.de / [Eine Einführung gibt es bei Spaß mit der iTAN, Spaß mit der Uni und Spaß mit der Presse(stelle)Bragging Rights] Ich hab heute zu viel für einen Urlaubstag mit Bankern telefoniert. Einige Sachen sind mir dabei aufgefallen…
Geschäftsveräußerung im Ganzen
Blickpunkt Recht & Steuern / Die nichtumsatzsteuerbare Geschäftsveräußerung nach § 1 Abs. 1a UStG setzt nach einem jetzt veröffentlichten Urteil des Bundesfinanzhofs voraus, dass die übertragenen Vermögensgegenstände die Fortsetzung einer bis…
Wirtschaftsprüfer aus Drittländern
Blickpunkt Recht & Steuern / Die EU-Kommission hat eine öffentliche Konsultation über ihre künftige Strategie im Hinblick auf Abschlussprüfungen im Zusammenhang mit Drittländern begonnen. Die Konsultation dient der Einholung von Stellungnahmen zu mö…
Kabinett will Rechte der Verbraucher bei Scoring stärken
Reuters | Inlandsnachrichten / Berlin (Reuters) - Verbraucher sollen mehr Rechte bei der Beurteilung ihrer Kreditwürdigkeit mittels anonymer Datensammlungen bekommen. Das Bundeskabinett brachte am Mittwoch einen Gesetzentwurf auf den Weg, um für mehr Transparenz beim E…
Trusted Computing über DRM hinaus erforschen
disLEXia.de / Momentan wird recht hastig ein Förderantrag für die EU zusammengeschustert. Dabei geht es darum zu Untersuchen, was man den Sinnvolles mit der inzwischen allerorts verberbauten Trusted Computing Hardware machen kann. Es geht dabei nicht um…
iTAN beim WDR
disLEXia.de / Das RedTeam war gestern beim WDR zum Thema iTAN zu sehen. Einen Video Mittschnitt gibt es hier (54 MB).…
» RedTeam
© 2004-2008 JuraBlogs | Impressum
