30.11.2010 10:22
Deutsche Emissionshandelsstelle führt SMS-TAN ein
Zur Abwehr von Phishing- und Trojanerangriffen hat die Deutsche Emissionshandelsstelle (DEHSt) das SMS-TAN-Verfahren eingeführt. Das Verfahren hat sich seit Längerem bereits beim Online-Banking bewährt. Anwender sollen sich damit am Register anmelden, alle Transaktionen bestätigten sowie Änderungen der personenbezogenen Daten legitimieren können.
Das Verfahren ist ab sofort verfügbar und soll ab dem 11. Januar 2011 das alleinige Bestätigungsverfahren werden. Bis dahin gilt noch ein Übergangszeittraum, in dem Namen und Passwort als Bestätigung genutzt werden können. Anwender sind aufgefordert, sich bis dahin für das Verfahren zu registrieren und eine Handynummer zu hinterlegen, auf die eine TAN per SMS zur Bestätigung des jeweiligen Vorgangs geschickt wird.
Erst Mitte der vergangenen Woche hatte die DEHSt alle Transaktion von Zertifikaten ausgesetzt und vor dem Trojaner Nimkey gewarnt. Auslöser war offenbar ein Hinweis der Eurpäischen Kommission, dass Nimkey Zugangsdaten stiehlt, mit denen Kriminelle auf die Register von Anwender zugreifen und Transaktionen vornehmen können. Auch der österreichische Handel mit Emissionsrechte-Zertifikaten wurde gestoppt. Seit dem gestrigen Montagnachmittag ist der Handel jedoch wieder möglich.
Anfang des Jahres war es Betrügern gelungen, über abgephishte Zugangsdaten von sechs Unternehmen Emissionsrechte im Wert von 3,2 Millionen Euro auf Konten vor allem in Dänemark und Großbritannien zu übertragen. Durch eine Kette vieler weiterer Transaktionen sollen die Täter dann die Wege der Zertifikate so verschleiert haben, das nicht mehr nachvollziehbar gewesen sein soll, wo diese gelandet seien. Auch die Empfänger der Handelssumme sollen sich nicht mehr ermitteln lassen.
Die Betreiber einer mittelständischen Papierfabrik aus Niedersachsen, der 88.000 Emissionsrechte geklaut wurden, reichte Ende September Klage gegen die DEHSt wegen unzureichender Sicherheitsstandards ein.
(dab)
Cross-Site-Scripting (XSS) ist eine der größten Plagen, mit denen Webmaster zu kämpfen haben. Der neue Standard "Content Security Policy" soll endlich Abhilfe schaffen. 
Wie schwer ist es, einen Hotelsafe zu knacken? heise Security hat es spontan ausprobiert – mit einem überraschenden Ergebnis. 
Was ist echt und was ist falsch? Echte Benachrichtigungen von Firmen sind kaum noch von Phishingmails zu unterscheiden. Trotzdem wird von uns erwartet, dass wir den Durchblick behalten. So funktioniert das nicht. 
Die Weboberfläche zur Verwaltung von ProLiant- und Integrity-Servern enthält eine kritische Sicherheitslücke. 
Eine Lücke, viele Updates: Adobe hat ein kritisches Sicherheitsloch gestopft und neue Flash- und Air-Versionen für sämtliche Plattformen veröffentlicht. 
Am Juni-Patchday hat Microsoft zahlreihe Lücken in Windows, Internet Explorer und Office geschlossen. Eine Rechteausweitungslücke, für die bereits ein Exploit im Netz kursiert, hat die Redmonder Softwareschmiede dabei jedoch offenbar ausgelassen. 
