Homebanking mit HBCI ist nicht trojanerfest
Das "hessen fernsehen" zeigt heute abend einen CCC-Hacker beim erfolgreichen Trojaner-Angriff auf Homebanking mit Chipkarte.
Das hr Fernsehen zeigt heute abend den CCC-Hacker Jordan Hrycaj beim erfolgreichen Trojaner-Angriff auf Homebanking mit Chipkarte (Wirtschaftsmagazin trends, 21.45 Uhr). Das Homebanking Computer Interface (HBCI) mit Chipkarte verhindert zwar das Kopieren des geheimen Krypto-Schlüssels, mit dem der Bankkunde seine Aufträge bei der Bank autorisiert. Solange die Karte aber im Lesegerät steckt, kann ein eingeschleustes Programm die Kontrolle übernehmen und im Namen des Kunden Transaktionen veranlassen. Die PIN kann ein Trojanisches Pferd während der Eingabe durch den Benutzer problemlos direkt von der Tastatur des heimischen Computers mitlesen.
Damit erweist sich das jetzige Chipkartenmodell zwar als verwundbar, liefert aber bei aufmerksamen Homebanking-Nutzern auch keine schlechteren Ergebnisse als andere bislang übliche Verfahren – beispielsweise die Autorisierung jeder einzelnen Transaktion durch eine nur einmal gültige TAN. Denn auch bei deren Eingabe könnte ein Trojanisches Pferd TANs abfangen und zu eigenen Zwecken missbrauchen. Deutlich schlechter sind TAN-lose Verfahren mit Signaturschlüsseln, die nur per Software implementiert sind: Hierbei kann ein Trojanisches Pferd nicht nur die PIN ausspionieren, sondern auch den geheimen Schlüssel. Anschließend könnte dann ein Angreifer auch von seinem Rechner aus ständig im Namen des Opfers agieren – zumindest bis zur Sperre des Online-Accounts.
Eine nochmals erhöhte Sicherheit im HBCI böten Chipkartenterminals mit eigenem Display und PIN-Pad. Da dort Trojaner keinen Zugang haben, könnte ein Angreifer die PIN nicht mitlesen. Gleiches gilt bei Tastaturen mit eingebautem Chipkartenterminal, die so genannte sichere PIN-Eingabe ermöglichen: Über einen besonderen Befehl wird dann der Nummernblock direkt auf das Kartenterminal geschaltet und vom Computer getrennt. Allerdings wäre bei all diesen Terminals ein erheblicher Aufwand notwendig, um auszuschließen, dass ein Trojaner nach erfolgreicher PIN-Eingabe die Kommunikation mit der Karte einfach übernehmen und missbräuchliche Transaktionen veranlassen kann. (nl)
