Finanzredaktion - unabhängige Wirtschaftsnachrichten

Unabhängige Wirtschaftsnachrichten -- aktuell:

Onlinebanking: das PIN/TAN-Verfahren ist sicher genug

In den vergangenen Jahren wurde das im Online-Banking üblich Verfahren mit Persönlicher Identifikationsnummer (PIN) für die Einwahl und Transaktionsnummer (TAN) für die Warnungen beim Login sollen den "Faktor Mensch"als letzte Schwachstelle beseitigen helfen

Warnungen beim Login sollen den "Faktor Mensch"als letzte Schwachstelle beseitigen helfen

elektronische Unterzeichnung einzelner Aufträge an die Bank einer kritischen Untersuchung unterzogen. Trotz zahlreicher -- oftmals allzu phantasivoller -- thoretischer Szenarien, die durch optisch wirkungsvoll aufgemachte aber inhaltlich wenig überzeugende Filmbeiträge in verschiednen sogenannten Verbrauchermagazinen zahlreicher Fernsehsender ausgestrahlt wurden, hat sich das PIN/TAN-Verfahren in der Praxis bewährt. Auch nach jahrelanger Nutzung im alltäglichen Einsatz sind bei diesem Verfahren keine größeren Sicherheitslücken aufgetreten.

Lediglich der "Faktor Mensch" bleibt hier als "schwächstes Glied in der Ketter" der Sicherheitsmaßnahmen. Dies ist jedoch auhc bei jedem anderen Vorgang im Alltag der Fall -- auch beispielsweise bei Barabhebungen am Bankschalter (oder Geldautomaten). Darauf zurückzuführende Schadensfälle können mithin nicht dem System von PIN und TAN angelastet werden.

Daß auch Betrüger und Ganoven die Sicherheit des PIN-TAN-Verfahrens an sich erkannt haben, beweist die Zunahme von sogenannten "Phishing"-Versuchen. Diese vom englischen Begriff Fishing abgeleitete und mit einer Insider-Schreibweise aus der Cracking-Szene für Phreaking oder Just any sort of phoney stuff vermischte Bezeichnung beschreibt jedes Handeln, durch das in betrügerischer Absicht und im übertragenen Sinne mit "Netzen" nach Geheimzahlen (oder Kennworten) "gefischt" wird. Solche "Netze" bestehen in den meisten Fällen in E-mails, durch die Benutzer von Diensten im Bereich Onlinebanking oder von anderen WWW-Anwendungen mit sensiblen Inhalten zur vermeintlich authentifizierenden Eingabe ihrer Codes oder auch ganz Plump deren Nennung am Telefon aufgefordert werden.

Da sich in der "Gruppe Mensch" in der Tat immer wieder erstaunlich dämliche "Einzelmitglieder" befinden, gelingen solche Tricks -- und zwar trotz aller Warnungen offenbar erstaunlich oft.

Die bloße Tatsache jedoch, daß Angreifer sich auf diese -- für sie wohl letzte -- Möglichkeit spezialisieren, ist ein starker Hinweis auf die eigentliche Sicherheit des PIN/TAN-Verfahrens, das nämlich Bösewichten keinen anderen Ansatzpunkt mehr bietet.

Wenn manche Banken, wie in den letzten Wochen und Monaten geschehen, nunmehr "neue" oder erweiterte Verfahren wie "iTAN" (indizierte TA-Nummern) oder den Zwang zur zusätzlichen Eingabe revolvierender Einmalkombinationen, die dynamisch erzeut und beim Login abgefragt werden, einführen, ist dies mehr Augenwischerei denn zur Absicherung der Web-applications zum Onlinebanking notwendig: denn ganz im Gegensatz zur Umständlichkeit der Benutzung, wird hierdurch die Sicherheti der Bankbenutzung im WWW nicht erhöht; der "Risikofaktor Mensch" gemäß obiger Schilderung bleibt. Lediglich dem Anschein der Sicherheit -- und damit bloß einer Marketing-Frage der Bank -- wird damit auf Kosten der Benutzungfreundlichkeit und der Interessen des Kunden gedient.

Wie jede überstürzte Sicherheitsmaßnahme können auch solche Lösungen einer qualifizierteren Betrachtung nicht standhalten.

Impressum

aktuelle Nachrichten

...wirtschaftlich DENKEN, kompetent HANDELN.		finanzredaktion.de


Rubriken: Kommentar Aktuell Recht IT - Informationstechnik Medizin Geschichte Kultur Freizeit und Reisen Web Content kaufen Newsletters abonnieren TMMR Archiv Finanzredaktion Unterrichts-/Lehrmaterial Terminbörsen Börsenseminare
	Unabhängige Wirtschaftsnachrichten -- aktuell: Onlinebanking: das PIN/TAN-Verfahren ist sicher genug In den vergangenen Jahren wurde das im Online-Banking üblich Verfahren mit Persönlicher Identifikationsnummer (PIN) für die Einwahl und Transaktionsnummer (TAN) für die elektronische Unterzeichnung einzelner Aufträge an die Bank einer kritischen Untersuchung unterzogen. Trotz zahlreicher -- oftmals allzu phantasivoller -- thoretischer Szenarien, die durch optisch wirkungsvoll aufgemachte aber inhaltlich wenig überzeugende Filmbeiträge in verschiednen sogenannten Verbrauchermagazinen zahlreicher Fernsehsender ausgestrahlt wurden, hat sich das PIN/TAN-Verfahren in der Praxis bewährt. Auch nach jahrelanger Nutzung im alltäglichen Einsatz sind bei diesem Verfahren keine größeren Sicherheitslücken aufgetreten. Lediglich der "Faktor Mensch" bleibt hier als "schwächstes Glied in der Ketter" der Sicherheitsmaßnahmen. Dies ist jedoch auhc bei jedem anderen Vorgang im Alltag der Fall -- auch beispielsweise bei Barabhebungen am Bankschalter (oder Geldautomaten). Darauf zurückzuführende Schadensfälle können mithin nicht dem System von PIN und TAN angelastet werden. Daß auch Betrüger und Ganoven die Sicherheit des PIN-TAN-Verfahrens an sich erkannt haben, beweist die Zunahme von sogenannten "Phishing"-Versuchen. Diese vom englischen Begriff Fishing abgeleitete und mit einer Insider-Schreibweise aus der Cracking-Szene für Phreaking oder Just any sort of phoney stuff vermischte Bezeichnung beschreibt jedes Handeln, durch das in betrügerischer Absicht und im übertragenen Sinne mit "Netzen" nach Geheimzahlen (oder Kennworten) "gefischt" wird. Solche "Netze" bestehen in den meisten Fällen in E-mails, durch die Benutzer von Diensten im Bereich Onlinebanking oder von anderen WWW-Anwendungen mit sensiblen Inhalten zur vermeintlich authentifizierenden Eingabe ihrer Codes oder auch ganz Plump deren Nennung am Telefon aufgefordert werden. Da sich in der "Gruppe Mensch" in der Tat immer wieder erstaunlich dämliche "Einzelmitglieder" befinden, gelingen solche Tricks -- und zwar trotz aller Warnungen offenbar erstaunlich oft. Die bloße Tatsache jedoch, daß Angreifer sich auf diese -- für sie wohl letzte -- Möglichkeit spezialisieren, ist ein starker Hinweis auf die eigentliche Sicherheit des PIN/TAN-Verfahrens, das nämlich Bösewichten keinen anderen Ansatzpunkt mehr bietet. Wenn manche Banken, wie in den letzten Wochen und Monaten geschehen, nunmehr "neue" oder erweiterte Verfahren wie "iTAN" (indizierte TA-Nummern) oder den Zwang zur zusätzlichen Eingabe revolvierender Einmalkombinationen, die dynamisch erzeut und beim Login abgefragt werden, einführen, ist dies mehr Augenwischerei denn zur Absicherung der Web-applications zum Onlinebanking notwendig: denn ganz im Gegensatz zur Umständlichkeit der Benutzung, wird hierdurch die Sicherheti der Bankbenutzung im WWW nicht erhöht; der "Risikofaktor Mensch" gemäß obiger Schilderung bleibt. Lediglich dem Anschein der Sicherheit -- und damit bloß einer Marketing-Frage der Bank -- wird damit auf Kosten der Benutzungfreundlichkeit und der Interessen des Kunden gedient. Wie jede überstürzte Sicherheitsmaßnahme können auch solche Lösungen einer qualifizierteren Betrachtung nicht standhalten. Impressum aktuelle Nachrichten		Qualitätsartikel und Bewährtes, ökologisch sinnvoll und technisch durchdacht, online bestellen bei EcoPen, Lieferung weltweit versandkostenfrei! Bootstransporte selbst gemacht: Spezialtrailer zu günstigen Tarifen für Kielboote bis 2,5t IT-Probleme, juristisch professionell betreut: Vertraulich und unverbindlich, Fragen Sie uns -- denn guter Rat muß nicht teuer sein. semestria.com Ferienhäuser, Boote, Aktivreisen in ganz Skandinavien









(c) 2000-2005, www.finanzredaktion.de