Da in letzter Zeit nun auch die Website der Bank Austria Creditanstalt Ziel von Phishing-Attacken wurde, hat die BA-CA seit 11.03 das TAN-System zur Unterzeichnung von Online-Aufträgen im Namen der Sicherheit modifiziert. Genügte bisher ein beliebiger unverbrauchter TAN zur Bestätigung, wird nun nach einem bestimmten, indizierten TAN (iTAN) aus der Liste gefragt. Als Index werden die beiden ersten Stellen des TANs, die auch bisher schon fortlaufend nummeriert waren, verwendet. Darüberhinaus muss jetzt jede Transaktion vor der Unterschrift nochmals mit einem Extra-Klick bestätigt werden. So weit, so gut – doch leider lassen sich diese Hürden nach wie vor relativ einfach von Trojanern oder Phishing-Seiten, die im Hintergrund mit der Original-Bankseite kommunizieren, umgehen. Das größte Ärgernis ist aber, wenn man seine Bankgeschäfte auch von unterwegs erledigen möchte. Reichte es früher, sich eine TAN zu merken oder irgendwo unauffällig zu notieren, muss man nun bis zu zwei TAN-Briefe mit sich herumtragen. Interessantes Detail am Rande: Die offiziellen Screenshots der BA-CA haben die Adressleiste beim Online-Banking ausgeblendet – eine Vorgehensweise, die ich beim sicheren Web-Surfen nicht empfehlen würde.

27.03.2006 Virtual Net