Aktualisiert 21.03.2011 17:37

Hacker-AttackeDatendieb bei E-Banking-Anbieter

Beim Hersteller des Secur-ID-Schlüssels wurden Daten gestohlen. In einem Brief warnt die Firma ihre Kunden – betroffen sind auch Schweizer Banken.

von
Oliver Wietlisbach
E-Banking: Der SecurID-Schlüssel generiert jede Minute einen neuen Code für die Anmeldung.

E-Banking: Der SecurID-Schlüssel generiert jede Minute einen neuen Code für die Anmeldung.

Weltweit kennen Bankkunden den RSA-Schlüsselanhänger für das E-Banking seit Jahren. Der sogenannte SecurID-Token generiert minütlich einen neuen Zahlencode, mit dem sich der Benutzer anmelden muss. In einem offenen Brief weist die Herstellerfirma RSA seine Kunden – darunter auch mehrere Schweizer Finanzinstitute – auf einen äusserst ausgeklügelten Angriff auf seine IT-Infrastruktur hin.

Die Hacker hätten sich Zugriff auf ihre Computersysteme beschafft und Informationen über das SecurID-Sicherheitsverfahren gestohlen. «Obwohl wir zuversichtlich sind, dass die gewonnenen Informationen keine direkten Angriffe auf unsere SecurID-Kunden erlauben sollten, könnten die Informationen im Rahmen eines grösseren Angriffs die Wirksamkeit der Zwei-Faktor-Authentifizierung reduzieren», schreibt RSA auf seiner Website. Das Unternehmen will seine Kunden nun unterstützen, um allfällige Sicherheitsprobleme, die durch den Angriff entstanden sein könnten, zu beheben.

Banken reagieren auf Hacker-Attacken

Bei der Credit Suisse ist man über den Datendiebstahl bei RSA informiert: «Wir verfolgen die Situation sehr genau. Zurzeit liegen uns keine Hinweise vor, dass die Datensicherheit im Online-Banking der Credit Suisse betroffen ist.» Die UBS teilt auf Anfrage mit: «Das UBS-E-Banking ist von diesem Angriff auf RSA nicht betroffen». Die UBS hat im vergangenen Jahr eine Zusatzprüfung eingeführt, die zum Zuge kommt, wenn der Kunde bei einer Zahlung einen Empfänger erfasst, an den er innerhalb der letzten zwei Jahre keine Online-Zahlung geleistet hatte.

Auch andere Banken haben die Schutzmechanismen verbessert. Beispielsweise erhalten Privatkunden der ZKB oder Credit Suisse eine SMS mit einer Geheimzahl, bevor sie eine Zahlung tätigen. Das SMS-Verfahren weist gegenüber der SecurID oder Streichliste einen zusätzlichen Sicherheitsmechanismus auf. So werden CS -Kunden bei potenziell verdächtigen Zahlungen gebeten, die Überweisung zu bestätigen. Hierzu werden ihnen die Kontonummer des Begünstigten sowie ein SMS-Code auf das Handy gesendet.

Die Credit Suisse weist auf ihrer Website darauf hin, dass Hacker-Angriffe auf Handy-Daten für das SMS-Sicherheitsverfahren irrelevant seien: «Im SMS wird lediglich ein Code übermittelt. Der Code allein ist für einen Angreifer wertlos. Für ein erfolgreiches Log-in muss der Angreifer auch in den Besitz der User-ID und des Passwortes gelangen.» Entscheidend sei, dass Zahlungen, die nicht dem bisherigen Muster entsprechen, blockiert werden, bis sie der Kunde durch die Eingabe des SMS-Codes freigibt.

Nichts verpassen

Das Ressort Digital ist auch auf Twitter vertreten. Folgen Sie uns und entdecken Sie neben unseren Tweets die interessantesten Tech-News anderer Websites.

Deine Meinung

Fehler gefunden?Jetzt melden.