-->hier wird das Verfahren gelobt:


<ul> ~ HBCI Verfahren erklärt</ul>

-->>Homebanking: HBCI angeblich geknackt

Soso.

>stern: Gravierende Sicherheitslücken beim Online-Banking

Aja.

Der Stern.

Seit Konny Kujau habe ich keinen mehr gekauft, zuvor nur sporadisch.

>Das Magazin stern hat eigenen Angaben zufolge zusammen mit Software-Experten erstmals die Homebanking-Technologie HBCI (Homebanking Computer Interface), die von Banken und Experten als besonders sicher gelobt wird, überlistet. Möglich wurde dies durch einen Trojaner, der entsprechende Daten auf Seiten des Users ausspäht.

Ich krieg schon wieder einen Lachanfall.

Wer seine Haustuere sperrangelweit oder auch nur angelehnt offen laesst, der muss sich nicht ueber Diebe und Raeuber im Hause wundern.

>Bei dem HBCI-Verfahren erhalten die Benutzer einen individuellen digitalen Schlüssel auf einer persönlichen Diskette oder Chipkarte.

Richtig

>Diese wird während des Bankings in das Diskettenlaufwerk oder in einen Chipkartenleser geschoben.

Richtig

>So werden alle Bankaufträge nach Eingabe des Passworts verschlüsselt.

Richtig

>Genau dieses Verfahren haben Hamburger Software-Experten nun geknackt, so der stern. Sie entwickelten ein Programm, das auf dem PC des Angegriffenen Daten ausspähen kann und diese dann samt dem zugehörigen Passwort des Belauschten an die Datendiebe mailt. Die bekommen so vollen Zugriff auf das Konto des Bestohlenen.

Zunaechst mal zu dem Trojaner als Programm.

Bei HBCI entweder mit Diskette und SmartCard Lesegeraeten der Sicherheitskategorie 1 und 2 haette so ein Trojaner tatsaechlich die Moeglichkeit die relevanten Daten auszuspaehen, nicht jedoch bei Lesegeraeten der Kategorien 3 und 4. Bei letzteren hat er deshalb ueberhaupt keine Chance ranzukommen, weil die Eingabe der PIN und das Erstellen der Signatur ausserhalb des PCs im Lesegeraet selbst passiert, das mit einer Tastatur und ggf. Display ausgeruestet ist, nachedem die Chipkarte in den Leser eingelegt wurde. Der Trojaner sieht allerhoechstens den bereits fix und fertig verschluesselten Datensatz ueber z.B. die USB-Schnittstelle wieder in den PC reinkommen, da ist aber der Kaese schon lange gegessen.

Und nun zum"Mailen" ausspionierter Daten.

Wer keine Kontrolle ueber seine Haustuer hat, der muss sich nicht wundern, dass auch Inventar aus dem Hause getragen wird.

>Bei einem Probe-Angriff im Auftrag des stern wurde die Spionage-Software mit Hilfe eines so genannten Trojaner-Programms ins World Wide Web geschleust. Testweise überwiesen die Experten Geld an sich selbst.

Ok, die Experten waren beim"HBCI-Knacken" deshalb erfolgreich, weil sie
nicht nur den Trojaner eingeschleusst haben, sondern auch mit Diskette oder Readern der Sicherheitsklasse 1 oder 2 gearbeitet haben.

Die HBCI-Schnittstelle als solche allein ist keinesfalls zu 100 Prozent geschuetzt, wer so etwas behauptet der hat keine Ahnung.

Deshalb von gravierenden Sicherheitsluecken zu sprechen, das halte ich jedoch fuer ueberzogen.

Bei Tassie Devil haetten die Experten reihenweise ihre Gebisse abliefern muessen, no chance.

Gruss
TD