News vom 04.05.2000
Homebanking: Neues
Sicherheitssystem HBCI geknackt
Nachdem die Hamburger Sparkasse
(Haspa) schon im Januar 1999 ihren Kunden als erste Sparkasse
OnlineBanking nach dem HBCI-Verfahren ermöglicht hatte, folgen
kurze Zeit später die ersten Warnmeldungen. Vorteil des von den
Verbänden der deutschen Sparkassen und Banken entwickelten
HBCI-Standards (Homebanking Computer Interface) ist es,
OnlineBanking auf sichere Art auch über das Internet zu
ermöglichen, ohne die sowohl für Kunden als auch für Institute
umständliche PIN/TAN Verwaltung. Die Kommunikation zwischen Bank
und Kunde ist damit nicht mehr auf T-Online oder AOL beschränkt.
Als OnlineBanking-Produkt für ihre Kunden setzt die Haspa auf
das von ADI entwickelte Programm S-Connect. Das Produkt arbeitet
providerunabhängig und bietet nach Aussage der Haspa maximal
möglichen Datenschutz und Sicherheit.
Wer das neue Sicherheitssystem HBCI der Banken für das
Online-Banking verwendet, sollte sich überlegen, ob er nicht
doch wieder auf das alte PIN/TAN-System umsteigt. Nach
Informationen des Fernseh-Wirtschaftsmagazins «trends» des
Hessischen Rundfunks, wurde der von Bankern als sicher
bezeichnete Zugang getestet und geknackt.
Die bei einem Versuch betroffene Dresdner Bank habe
Sicherheitsmängel eingeräumt und Konsequenzen angekündigt.
Sicherheitsexperten hatten den Banken von Anfang an vorgeworfen,
aus Kostengründen auf ein besseres System verzichtet zu haben.
Home-Banking-System geknackt (04.05.2000 - PC-Welt Online )
Das Online-Banking-System HBCI
(Homebanking Computer Interface) ist nach Informationen des
Hessischen Rundfunks (HR) nicht sicher. Dem HR-Magazin
"Trends" zufolge, das die Sicherheit des Online-Banking
bei der Dresdner Bank unter die Lupe genommen hat, können sich
Hacker übers Internet Zugriff auf fremde Konten verschaffen und
von diesen Überweisungen tätigen.
Mit HBCI werde zwar das Kopieren des geheimen Krypto-Schlüssels,
der den Bankkunden autorisiert, verhindert. Sobald der Kunde
jedoch die Karte ins Lesegerät stecke, könne ein
eingeschleustes Trojanisches Pferd aktiv werden. Dieses Programm
spioniert die PIN (Personal Identification Number) aus und kann
so im Namen des Kunden Transaktionen durchführen, so das
Magazin. Die Dresdner Bank hat die Sicherheitsmängel bestätigt.
HBCI, ein System, das den Nutzer über eine persönliche
Chipkarte identifiziert, ist bei zahlreichen Banken im Einsatz.
Angeblich haben Sicherheitsexperten schon immer vor Mängeln
gewarnt - die Banken hätten jedoch aus Kostengründen auf ein
besseres System verzichtet. (PC-WELT, 04.05.2000)
Er wurde von den Banken als sicherer Standard zum Onlinebanking gepriesen - nun hat ein Hacker vom Chaos Computer Club im Hessichen Rundfunk das Gegenteil bewiesen und knackte einen Zugang der Dresdener Bank. Jetzt werden sich wohl einige Banken doch überlegen, die "alten" Btx-Zugaenge via ZKA-Schnittstelle weiter zu betreiben. Mehr Infos zum "Fun with internet banking" unter: http://pamphlet.ffm.ccc.de/b0t0m/ebanking.html