Ich finde die Idee der Banken, dass man das so genannte »Online-Banking« (kann man nicht einfach »Fernkontoführung« sagen) sicherer macht, indem man es nicht nur in einer komplexen und deshalb für den Normalanwender undurchschaubaren Anwendung wie einem Webbrowser laufen lässt, sondern zudem die zusätzliche Komplexität eines für den Normalanwender ebenfalls undurchschaubaren mTAN-Verfahrens einbaut, bei dem die TAN über das (ebenfalls angreifbare) Händi übermittelt wird, mehr als nur ein bisschen bescheuert. Sicherheit und Komplexität sind ein Gegensatzpaar; ein komplexes Verfahren zur »Sicherheit« ist um so leichter angreifbar, je weniger die Menschen, die dieses Verfahren anwenden sollen, dabei in die Lage versetzt werden, es zu verstehen und damit die für wirkliche Sicherheit erforderliche Selbstverantwortung wahrzunehmen. Von daher bin ich nicht darüber überrascht, dass jetzt die ersten einigermaßen ausgefeilten Angriffe gegen das mTAN-Verfahren laufen. Vermutlich wird es Banken (und damit ihre Kunden) einige Milliarden Euro Lehrgeld kosten, bis endlich die Lektion gelernt wird, dass Sicherheit nur durch eine größtmögliche Reduktion der Komplexität (und damit der angreifbaren Komponenten eines Verfahrens) erreichbar ist. Vermutlich wird man dann erst einsehen, dass gewisse Dinge nicht in einem Browser getan werden sollten…
Kommentieren
In der Archivversion kann nicht kommentiert werden.