Skip to content

Onlinebanking - Mit Beelzebub gegen den Teufel

Geschrieben von Carsten Eilers am um 09:30

Beim Onlinebanking hat die herkömmliche iTAN ausgedient. Ersetzt wird sie durch smsTAN/mTAN und chipTAN. Während die mTAN eigentlich auch schon wieder unsicher ist, erkauft man sich die Sicherheit der chipTAN mit neuen Schwachstellen im Browser.

iTAN wirklich unsicher?

Die iTAN gilt als unsicher. Das ist sie aber nur in bestimmten Fällen. Bei der iTAN gibt der Benutzer nach Aufforderung durch die Onlinebanking-Anwendung eine bestimmte TAN von einer vorhandenen Liste ein. Ein Cyberkrimineller kann dieses Verfahren in zwei Fällen aushebeln:

  1. Es werden die PIN und eine gewisse Anzahl von TANs abgephisht. Das ist dann aber der Nachlässigkeit des Benutzers zuzuschreiben, schließlich weisen die Banken oft genug darauf hin, dass niemals mehrere TANs eingegeben werden sollen. Aber auch mit nur einer abgephishten TAN ist ein Angriff möglich, der Angreifer muss nur das Glück haben, dass bei einem seiner Versuche die abgephishte TAN angefordert wird.
  2. Der Rechner des Benutzers ist mit einem Schädling infiziert, der z.B. als Man in the Middle eine vom Benutzer eingegebene Überweisung manipuliert, die der Benutzer dann mit seiner TAN autorisiert.

Solange der Rechner des Benutzers nicht mit einem Schädling infiziert ist und er seine PIN und TANs geheim hält, ist das iTAN-Verfahren sicher.

mTAN - Kaum eingeführt, schon ausgehebelt

Bei der mTAN wird eine nur für die jeweilige Transaktion gültige TAN per SMS an das Handy des Onlinebanking-Kunden geschickt, der sie dann wie eine herkömmliche TAN eingibt. Dieses Verfahren ist ebenfalls angreifbar. Zum einen kann die SMS mit der TAN u.U. abgefangen werden (wobei immer noch nicht sicher ist, ob es sich beim verlinkten Angriff nicht um einen Hoax handelt), die nutzt dem Cyberkriminellen aber wenig, da sie nur für eine bestimmte Transaktion gültig ist.

Deutlich gefährlicher ist ein anderer Angriff: Ein Schädling auf dem Rechner des Benutzers kann auch dessen Handy infizieren. Das ist bereits mehrmals passiert, z.B. im September 2010 in Spanien und im Februar 2011 in Polen (weitere Berichte). Es gibt generell einen Trend der Cyberkriminellen, sowohl Rechner als auch Smartphone zu infizieren. Der Schädling auf dem Handy kann dann je nach Bedarf z.B. die SMS an die Cyberkriminellen weiterleiten oder die Anzeige der TAN so manipulieren, dass sie zur Eingabe des Benutzers passt.

Wenn der Rechner des Benutzers mit Schadsoftware infiziert ist, ist eine mTAN also nicht sicherer als die herkömmliche Papier-TAN. Hinzu kommt, dass ein Handy doch öfter gestohlen wird oder verloren geht als ein Desktop-Rechner und eine TAN-Liste - und dann ist es erst mal vorbei mit dem Onlinebanking. Mal ganz davon abgesehen, dass nicht garantiert ist, dass die SMS mit der TAN wirklich rechtzeitig ankommt.

chipTAN - Sicherheit mit Pferdefuß

Theoretisch ist die chipTAN sehr sicher. Ein spezielles Gerät, der TAN-Generator, erzeugt eine individuelle TAN, die nur für eine Überweisung gültig ist. Der Ablauf ist relativ einfach: Der Benutzer gibt die Überweisungsdaten in die Onlinebanking-Anwendung ein. Die erzeugt einen "Flackercode", über den die Daten auf den TAN-Generator übertragen werden, der dazu an den Bildschirm gehalten werden muss. Der TAN-Generator (in dem dabei die Kundenkarte des Benutzers stecken muss) zeigt dann die Überweisungsdaten an und erzeugt auf Knopfdruck eine TAN, die nur für genau diese Transaktion gültig ist.

Selbst wenn der Rechner des Benutzers mit Schadsoftware infiziert ist, kann diese keinen Schaden anrichten. Manipuliert die Schadsoftware die Daten, bevor sie an den TAN-Generator übertragen werden, stimmen die davon angezeigten Daten nicht mit den eingegebenen Daten überein, so dass der Benutzer die TAN nicht erzeugen lässt. Manipuliert die Schadsoftware die Daten erst danach, passen sie nicht zur erzeugten TAN und werden vom Bankserver nicht akzeptiert.

Das Problem dabei: Der "Flackercode" zur Übertragung der Überweisungsdaten ist in Flash realisiert. Mit anderen Worten: Die Banken zwingen ihre Benutzer, eine bekannt unsichere Technologie einzusetzen. Ich bin begeistert. Ich habe auf meinem Arbeitsplatzrechner seit über einem Jahr kein Flash mehr aktiviert, und vermisse es auch nicht. Ganz im Gegenteil, dadurch entfällt auch eine Menge störender Werbung. Und fürs Onlinebanking wird Flash Pflicht? Dadurch wird der Rechner eindeutig unsicherer... und der Teufel "Onlinebanking-Trojaner" wird mit dem Beelzebub "Flash" ausgetrieben. Treffer, versenkt. Haben die, die sich das ausgedacht haben, noch nie davon gehört, das Flash erstens Böse und zweites total out ist? Da gibt es doch sicher auch was von RatiophHTML5?

Es gibt natürlich eine sichere Alternative: Ist Flash nicht verfügbar, soll man die Überweisungsdaten eintippen können, woraufhin der TAN-Generator dann die TAN erzeugt. Prima, ich bin schon ganz wild darauf, alles doppelt eintippen zu dürfen.

Onlinebanking war gestern...

Egal wie ich es drehe und wende, das Onlinebanking wird umkomfortabler und/oder unsicherer. Davon dürften in meinem Fall Anbieter wie z.B. Paypal und ClickandBuy profitieren. Denn die sind für mich als Käufer deutlich komfortabler als Onlinebanking. Dass die Händler dann länger warten müssen, bis sie das Geld auf ihrem Konto haben, ist ja nicht mein Problem.

Carsten Eilers

Trackbacks

Dipl.-Inform. Carsten Eilers am : Der Flash Player - Gefährlich und überflüssig

Vorschau anzeigen
Es gibt mal wieder eine 0-Day-Schwachstelle im Flash Player. Der wird mit der Verbreitung von HTML5 immer überflüssiger und verschwindet hoffentlich bald von der Bildfläche. Wie wäre es mit einem Countdown analog zu dem für

Was ist eine TAN-Nummer? @ Wie Wie Ratgeber am : Was ist eine TAN-Nummer?

Vorschau anzeigen
Bei der TAN-Nummer handelt es sich um eine Transaktionsnummer, die vor allem als Sicherheit beim Online-Banking verwendet wird. Die TAN Nummer besteht in der Regel aus sechs Ziffern, manchmal auch aus vier, und kann jeweils nur einmal benutzt werden. ...

Dipl.-Inform. Carsten Eilers am : Flash Player und 0-Day-Exploit - eine unendliche Geschichte

Vorschau anzeigen
Es gibt (bzw. gab) schon wieder eine 0-Day-Schwachstelle im Flash Player. Im Unterschied zur vorigen 0-Day-Schwachstelle wurde diese schon innerhalb von 5 Tagen geschlossen. Aber immer der Reihe nach... 11.4. - 0-Day-Schwachstelle ver&oum

Dipl.-Inform. Carsten Eilers am : Der Flash Player gefährdet Ihr Online-Banking!

Vorschau anzeigen
Am 5. Juni wurde ein außerplanmäßiges Update für den Flash Player veröffentlicht, um eine 0-Day-Schwachstelle zu beheben. Dabei handelte es sich aber "nur" um eine XSS-Schwachstelle, von Adobe als "important" eingestuft.

Dipl.-Inform. Carsten Eilers am : Onlinebanking: Cyberkriminelle reagieren auf Chip- und SMS-TAN

Vorschau anzeigen
Cyberkriminelle und Banken liefern sich zur Zeit wohl ein Rennen wie Hase und Igel. Die Frage ist nur, wer Hase und wer Igel ist und ob der Hase am Ende wirklich tot umfällt. TAN-Listen tot, SMS-TAN angeschlagen Die herkömmliche

Dipl.-Inform. Carsten Eilers am : Die smsTAN ist tot, der SMS-Dieb schon da!

Vorschau anzeigen
Die Banken schaffen die iTAN ab, weil es (zu viele) Kunden gibt, die das Opfer von Man-in-the-Browser-Angriffen werden oder auf Phisher hereinfallen. Möchte jemand wetten, dass genau diese Kunden sich nicht stattdessen genauso einfach einen Sma

www.produkt-fehler.de am : PingBack

Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.

Dipl.-Inform. Carsten Eilers am : Adobe: Lieber Exploits verteuern statt Schwachstellen beheben

Vorschau anzeigen
Software wird nie völlig fehlerfrei sein. Um so wichtiger ist es, sie so fehlerfrei wie möglich zu machen. Und das bedeutet insbesondere, erkannte Schwachstellen zu beheben und das Entstehen von Schwachstellen möglichst zu verhindern

Dipl.-Inform. Carsten Eilers am : Eurograbber beweist: mTANs gefährden Ihr Bankkonto!

Vorschau anzeigen
Eran Kalige von Versafe und Darrell Burkey von Check Point Software Technologies haben eine Fallstudie zu einem groß angelegten Angriff auf Onlinebanking-Nutzer veröffentlicht: "A Case Study of Eurograbber: How 36 Million Euros was Stolen

Dipl.-Inform. Carsten Eilers am : Zwei-Faktor-Authentifizierung per SMS

Vorschau anzeigen
Nach der allgemeinen Beschreibung der Zwei-Faktor-Authentifizierung geht es nun um bekannte Implementierungen und Angriffe darauf. Ein praktisches Beispiel, wie man eine Zwei-Faktor-Authentifizierung nicht implementieren sollte, hat ja Twitter

Dipl.-Inform. Carsten Eilers am : Zwei-Faktor-Authentifizierung mit spezieller Hardware, Teil 1

Vorschau anzeigen
Da die Zwei-Faktor-Authentifizierung mittels SMS als zweiten Faktor im Grunde als gebrochen gelten muss stellt sich die Frage nach möglichen Alternativen. Eine ist der Einsatz spezieller Hardware, auf der sich keine Schadsoftware einschleich