Hacker-Attacke

21. März 2011 15:26; Akt: 21.03.2011 17:37 Print

Datendieb bei E-Banking-Anbieter

von Oliver Wietlisbach - Beim Hersteller des Secur-ID-Schlüssels wurden Daten gestohlen. In einem Brief warnt die Firma ihre Kunden – betroffen sind auch Schweizer Banken.

storybild

E-Banking: Der SecurID-Schlüssel generiert jede Minute einen neuen Code für die Anmeldung.

Zum Thema
Fehler gesehen?

Weltweit kennen Bankkunden den RSA-Schlüsselanhänger für das E-Banking seit Jahren. Der sogenannte SecurID-Token generiert minütlich einen neuen Zahlencode, mit dem sich der Benutzer anmelden muss. In einem offenen Brief weist die Herstellerfirma RSA seine Kunden – darunter auch mehrere Schweizer Finanzinstitute – auf einen äusserst ausgeklügelten Angriff auf seine IT-Infrastruktur hin.

Die Hacker hätten sich Zugriff auf ihre Computersysteme beschafft und Informationen über das SecurID-Sicherheitsverfahren gestohlen. «Obwohl wir zuversichtlich sind, dass die gewonnenen Informationen keine direkten Angriffe auf unsere SecurID-Kunden erlauben sollten, könnten die Informationen im Rahmen eines grösseren Angriffs die Wirksamkeit der Zwei-Faktor-Authentifizierung reduzieren», schreibt RSA auf seiner Website. Das Unternehmen will seine Kunden nun unterstützen, um allfällige Sicherheitsprobleme, die durch den Angriff entstanden sein könnten, zu beheben.

Banken reagieren auf Hacker-Attacken

Bei der Credit Suisse B”rsenkurs ist man über den Datendiebstahl bei RSA informiert: «Wir verfolgen die Situation sehr genau. Zurzeit liegen uns keine Hinweise vor, dass die Datensicherheit im Online-Banking der Credit Suisse betroffen ist.» Die UBS B”rsenkurs teilt auf Anfrage mit: «Das UBS-E-Banking ist von diesem Angriff auf RSA nicht betroffen». Die UBS hat im vergangenen Jahr eine Zusatzprüfung eingeführt, die zum Zuge kommt, wenn der Kunde bei einer Zahlung einen Empfänger erfasst, an den er innerhalb der letzten zwei Jahre keine Online-Zahlung geleistet hatte.

Auch andere Banken haben die Schutzmechanismen verbessert. Beispielsweise erhalten Privatkunden der ZKB oder Credit Suisse eine SMS mit einer Geheimzahl, bevor sie eine Zahlung tätigen. Das SMS-Verfahren weist gegenüber der SecurID oder Streichliste einen zusätzlichen Sicherheitsmechanismus auf. So werden CS B”rsenkurs-Kunden bei potenziell verdächtigen Zahlungen gebeten, die Überweisung zu bestätigen. Hierzu werden ihnen die Kontonummer des Begünstigten sowie ein SMS-Code auf das Handy gesendet.

Die Credit Suisse weist auf ihrer Website darauf hin, dass Hacker-Angriffe auf Handy-Daten für das SMS-Sicherheitsverfahren irrelevant seien: «Im SMS wird lediglich ein Code übermittelt. Der Code allein ist für einen Angreifer wertlos. Für ein erfolgreiches Log-in muss der Angreifer auch in den Besitz der User-ID und des Passwortes gelangen.» Entscheidend sei, dass Zahlungen, die nicht dem bisherigen Muster entsprechen, blockiert werden, bis sie der Kunde durch die Eingabe des SMS-Codes freigibt.

Die beliebtesten Leser-Kommentare

  • Schönenberger Beat am 21.03.2011 16:35 Report Diesen Beitrag melden

    Wann lanciert die UBS das SMS-Verfahren?

    Ich hoffe sehr, dass auch die UBS irgendwann die SMS-Lösung lanciert, weil ich der Meinung bin, dass dieses Verfahren wesentlich benutzerfreundlicher ist. Das aktuelle Verfahren bei dem man stets den Challenge-Response über einen Kartenleser generieren muss, ist unpraktisch, weil man die Karte und den Kartenleser in der Regel an einem Ort (zu Hause oder im Geschäft) aufbewahrt und eben nicht überall dabei hat.

    einklappen einklappen
  • Dein Name am 22.03.2011 12:04 Report Diesen Beitrag melden

    Geekster

    Schon mal dran gedacht dass Insider am Werk waren?

  • Pasci am 21.03.2011 17:04 Report Diesen Beitrag melden

    Mich wundert nur...

    ..dass solche Firmen ihre Netzwerkinfrastruktur nicht im Griff haben. Server oder was auch immer mit solchen sensitiven Daten müssen doch in ganz anderen Zonen stehen und sind von aussen nicht im Zugriff. Kann ich nicht verstehen.

    einklappen einklappen

Die neusten Leser-Kommentare

  • Concept Developer am 22.03.2011 13:13 Report Diesen Beitrag melden

    mTAN ist durch Smartphones unsicher!

    Ich habe die Zweiwegeanmeldestrategie (Zahlung durch SMS bestätigen) entwickelt. Was bis vor kurzem noch wirklich sicher war, ist es jetzt definitv nicht mehr. Mit der Verbreitung des Smartphones wurden erstmals mehr Computer in Umlauf gebracht. D.h. auch, dass das Smartphone für mTAN nicht mehr geeignet ist, d.h. mTAN ist nicht mehr geeignet -> also Finger davon lassen!

    • Luki Meier am 23.03.2011 09:19 Report Diesen Beitrag melden

      Stimmt

      Smartphones waren noch nie sicher, ausser der Akku ist nicht eingesetzt denn Kamera, Microphon und Daten lassen sich jederzeit aktivieren und abrufen (Tatsache) und auch vor Social Engineering besteht mit dem Smartphone keine Sicherheit.

    • Sam Bovi am 23.03.2011 09:45 Report Diesen Beitrag melden

      Der Entwickler

      Was hat die Anzahl der Computer mit der Sicherheit von TAN per SMS zu tun??

    einklappen einklappen
  • Dein Name am 22.03.2011 12:04 Report Diesen Beitrag melden

    Geekster

    Schon mal dran gedacht dass Insider am Werk waren?

  • Pasci am 21.03.2011 17:04 Report Diesen Beitrag melden

    Mich wundert nur...

    ..dass solche Firmen ihre Netzwerkinfrastruktur nicht im Griff haben. Server oder was auch immer mit solchen sensitiven Daten müssen doch in ganz anderen Zonen stehen und sind von aussen nicht im Zugriff. Kann ich nicht verstehen.

    • Serious Sam am 21.03.2011 18:39 Report Diesen Beitrag melden

      da waren eben Fachleute am Werk...

      ...genauso wie damals, beim Bau der Titanic. Ja, Pasci, genau die gleiche Frage stelle ich mir jedesmal bei solchen Datendiebstählen. Offenbar haben sich diese "Fachleute" ihr Diplom aus dem Internet heruntergeladen und selber ausgedruckt...nicht sehr vertrauenserweckend, solche News. Und eine Riesenblamage für eine Firma, die eigentlich für mehr Security sorgen sollte!!!

    • Nokiras am 21.03.2011 22:08 Report Diesen Beitrag melden

      Sicherheit

      Sicher sind die server nur, wenn sie auf keiner Weise mit dem Internet verbunden sind. Das ist beim onlinebanking logischerweise nicht möglich...

    • mrdbase am 22.03.2011 10:32 Report Diesen Beitrag melden

      Insider Wissen

      Das kann nur ein Insider gewesen sein. Ich kann das sonst nicht nach voll ziehen. Solche Daten gehören einfach nicht auf ein öffentlich zugängliches Netz. Bei mir wird IT Security ganz gross geschrieben. DMZ etc.. drei verschiedene unabhängige Netzwerke. Keine USB Stick, keine CD, DVD etc. keine Privaten Email usw.. Aber auch hier kann etwas schieflaufen, z. B. wenn einer sauer ist auf mich, denn es Menschelt halt überall. Hoffe ich habe das richtige Personal.

    einklappen einklappen
  • blub am 21.03.2011 17:01 Report Diesen Beitrag melden

    Behaupten ist einfach

    Entschlüsselung und die damit verbundene Datensicherheit war schon immer abhängig von der Rechenleistung. Von wegen tickende Zeitbombe: Wenn man die Methode hinter RSA kennen würde, wüsste man, dass das nicht stimmt, aber behaupten ist ja einfach

  • Roman Müller am 21.03.2011 16:41 Report Diesen Beitrag melden

    Nicht überrascht.

    mich erstaunt nur, dass es so lange gedauert hat, bis das SecurID nun ein solches Problem hat. Dass dieses Verfahren eine tickende Zeitbombe ist, wusste jeder. Für mich wäre eine Geschäftsbeziehung zu einer Bank, die auf diese Technologie setzt schon grundsätzlich nicht denkbar.

    • Hans Müller am 21.03.2011 17:35 Report Diesen Beitrag melden

      Tickende Zeitbombe?

      Weshalb eine tickende Zeitbombe? RSA Tokens erachte ich trotzdem als recht sicher. Welche Technologie wäre denn Ihr Standard ? Und warum ist die keine Zeitbombe ... der einzige Freund von jeder Verschlüsselung ist die Zeit die zu kurz ist um sie in nützlicher Frist zu knacken was aber eben nur eine Frage von Rechenleistung ist ... egal mit welcher Security Technologie ... .

    einklappen einklappen