Man-in-the-Middle-Angriffe
Problematisch sind Fälle, in denen der Dritte ZDL gehackt wird, da die genannten (Schutz)Maßnahmen dann wirkungslos sein können. Wird der Dritte ZDL umgangen oder authentifiziert er sich aufgrund einer Fehlfunktion nicht gegenüber dem kontoführenden ZDL, ist es dennoch möglich, eine Überweisung auszulösen oder das Konto einzusehen. Ein Man-in-the-Middle-Angriff zeichnet sich dadurch aus, dass der Angreifer zwischen den beiden Kommunikationspartnern (Kunde – Dritter ZDL/Händler) steht und mit seinem System vollständige Kontrolle über den Datenverkehr zwischen dem Kunden und dem Dritten ZDL beziehungsweise Händler hat. Der Angreifer kann die Informationen nach Belieben einsehen und manipulieren. Dabei täuscht er den Kommunikationspartnern vor, das jeweilige Gegenüber zu sein. Da der Kunde durch die Webseite des Händlers auf eine Webseite des Dritten ZDL geleitet wird, sind Händler und Dritte ZDL attraktive Ziele für Man-in-the-Middle-Angriffe (siehe Grafik 2).
Die Authentifizierung des Dritten ZDL gegenüber der Bank macht das Verfahren nicht sicherer. Denn falls ein Hacker durch Manipulation des Dritten ZDL oder des Händlers PIN und TAN erhält, kann er diese nutzen, um sich gegenüber der Bank zu authentifizieren. Werden der Händler oder der Dritte Zahlungsdienstleister gehackt, haben daher weder die Bank noch der Kunde die Möglichkeit, dies zu erfahren.
Die einzige derzeitig praktikable Methode, das Verfahren sicherer zu machen, besteht darin, die TAN stets dynamisch zu generieren und an die auszulösende Transaktion zu binden, zum Beispiel im ChipTAN-Verfahren. Selbst in diesem Fall wird das Authentifizierungsverfahren jedoch so geschwächt, dass effektiv nur noch ein Element übrig bleibt.
Social-Engineering Angriffe
Ebenso steigt die Gefahr von Social-Engineering Angriffen. Bei solchen Angriffen werden Kunden – z.B mit fingierten E-Mails – auf eine Webseite gelockt, die so aussieht, als sei sie die eines legitimen ZDL. Auf diese Weise können Angreifer Kunden dahingehend beeinflussen, dass diese Überweisungen auslösen, die sie gar nicht tätigen wollen. Der einzige effektive Schutz vor Social Engineering besteht darin, Kunden eindringlich zu vermitteln, dass sie Authentifizierungsinformationen ausschließlich auf einer Webseite eingeben sollten, die das Unternehmen, das die Authentifizierungsinformationen ausgibt, zuvor mit ihnen vereinbart hat. Darauf weist auch das Bundesamt für Sicherheit in der Informationstechnik deutlich hin. Genau dieser Schutz wird aber durch die Eingabe von Authentifizierungsinformationen bei Dritten ZDL infrage gestellt. Werden die Authentifizierungsinformationen des Online-Bankings weitergegeben, so ist es weder dem Kunden noch dem kontoführenden ZDL möglich, zwischen einem Dritten ZDL, dem Zahler und einem Kriminellen zu unterscheiden.
Zudem ermöglicht die PIN den vollen Lesezugriff auf das Online-Konto. Für Angriffe, bei denen der Angreifer einen Einblick in die vertraulichen Kontodaten möglichst vieler Bankkunden erlangen will, muss er lediglich die Webseite des Händlers oder des Dritten ZDL hacken. Durch Malware oder Manipulation der Distributionswege können auch Online-Banking-Clients und Apps gehackt werden. Im Unterschied zu Dritten ZDL betreibt der Nutzer solche Software jedoch in einem IT-System, auf das er selbst direkten physischen Zugriff hat. Für die Sicherheit des eigenen PCs ist der Nutzer selbst verantwortlich.
