„Transaktionsnummer“ – Versionsunterschied

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen
[gesichtete Version][gesichtete Version]
Inhalt gelöscht Inhalt hinzugefügt
K Änderungen von 78.42.77.243 rückgängig gemacht und letzte Version von Hellsau wiederhergestellt
siehe Diskussionsseite
Zeile 115: Zeile 115:
Eine weitere Angriffsmöglichkeit wäre die Umwandlung einer Einzelüberweisung in eine Sammelüberweisung mit einem Posten. Der Nutzer würde in diesem Fall im Display des TAN-Generators nur die Anzahl der Posten (hier "1") und den Betrag angezeigt bekommen. Nachdem dies bekannt wurde<ref name=heise866115>[http://www.heise.de/security/meldung/chipTAN-Verfahren-der-Sparkassen-ausgetrickst-866115.html ''chipTAN-Verfahren-der-Sparkassen-ausgetrickst''] auf Heise Security</ref>, haben die deutschen Sparkassen die Displayanzeige bei Sammelüberweisungen mit nur einem Posten umgestellt. In diesem Fall werden trotz Sammelüberweisung die Empfängerkontonummer sowie der Betrag angezeigt. Bei Volksbanken im GAD-Umfeld sind hingegen Sammelüberweisungen mit nur einem Posten nicht zulässig und werden abgewiesen.
Eine weitere Angriffsmöglichkeit wäre die Umwandlung einer Einzelüberweisung in eine Sammelüberweisung mit einem Posten. Der Nutzer würde in diesem Fall im Display des TAN-Generators nur die Anzahl der Posten (hier "1") und den Betrag angezeigt bekommen. Nachdem dies bekannt wurde<ref name=heise866115>[http://www.heise.de/security/meldung/chipTAN-Verfahren-der-Sparkassen-ausgetrickst-866115.html ''chipTAN-Verfahren-der-Sparkassen-ausgetrickst''] auf Heise Security</ref>, haben die deutschen Sparkassen die Displayanzeige bei Sammelüberweisungen mit nur einem Posten umgestellt. In diesem Fall werden trotz Sammelüberweisung die Empfängerkontonummer sowie der Betrag angezeigt. Bei Volksbanken im GAD-Umfeld sind hingegen Sammelüberweisungen mit nur einem Posten nicht zulässig und werden abgewiesen.


Ein dritter möglicher Angriff ist eine Kombination der ersten beiden. Hierbei wird aus eine normale Überweisung in eine Sammelüberweisung umgewandelt. Der ChipTAN-Generator zeigt dies zwar an, aber der Angreifer hofft, das der Benutzer dies nicht beachtet. In allen Fällen ist die Sicherheit mindestens so hoch wie bei Benutzung von TAN- oder iTAN-Listen. Kontrolliert der Benutzer aber die angezeigten Daten und benutzt keine Sammelüberweisung ist die Sicherheit deutlich erhöht.<ref name=heise866115 />
In allen Fällen ist die Sicherheit mindestens so hoch wie bei Benutzung von TAN- oder iTAN-Listen. Kontrolliert der Benutzer aber die angezeigten Daten und benutzt keine Sammelüberweisung ist die Sicherheit deutlich erhöht.


== Sicherheit ==
== Sicherheit ==

Version vom 13. Juli 2010, 16:05 Uhr

Eine Transaktionsnummer (TAN) ist ein Einmalpasswort, das üblicherweise aus sechs Dezimalziffern besteht und vorwiegend im Online-Banking verwendet wird.

Realisierung

Es gibt verschiedene Ansätze, um TANs zu erzeugen, zu prüfen und zum Nutzer zu übertragen. Einige davon werden im folgenden beschrieben.

TAN-Liste (klassisches TAN-Verfahren)

Beim klassischen TAN-Verfahren erhält der Teilnehmer beim Electronic Banking, meist per Post, eine Liste von Transaktionsnummern. Bei jedem Buchungsvorgang – der Transaktion – muss eine beliebige TAN der aktiven Liste eingegeben werden. Sie ist eine Ergänzung zur Persönlichen Identifikationsnummer (PIN). Falls die Bank nach Eingabe der korrekten PIN einen Buchungsauftrag mit korrekter TAN erhält, geht sie davon aus, dass der Auftrag vom Kunden abgesendet wurde. Die TAN wird von der Bank als Quasi-Unterschrift interpretiert. Sie verfällt nach einmaligem Gebrauch. Wenn die TAN-Liste zur Neige geht, erhält der Kunde von der Bank eine neue.

Auf Grund von stark anwachsenden Phishing-Angriffen wird diese Art der TAN-Liste kaum noch verwendet. Fast alle Banken setzen nun die Form der indizierten TAN-Liste ein.

Indizierte TAN-Liste (iTAN)

Einen Schritt weiter geht das Verfahren der indizierten TAN, kurz iTAN: Der Kunde kann hier seinen Auftrag nicht mehr mit einer beliebigen TAN aus seiner Liste legitimieren, sondern wird von der Bank aufgefordert, eine bestimmte, durch eine Positionsnummer (Index) gekennzeichnete TAN aus seiner zu diesem Zweck nun durchnummerierten Liste einzugeben. Die TAN-Aufforderung muss zudem innerhalb weniger Minuten erfolgen. Außerdem wird die angeforderte TAN auf jeden Fall verbraucht.

Auch dieses Verfahren wird mittlerweile von Hackern auf zwei verschiedene Weisen angegriffen:

  1. Durch Einblenden eines Formulars innerhalb des Online-Banking-Systems wird der Online-Banking-Kunde zur Eingabe mehrerer TANs inklusive Index-Nummer aufgefordert. Teilweise fragt der Virus die freien Plätze der TAN-Liste ab und gibt die entsprechenden Index-Nummern vor. Auf diese Weise erhöht der Hacker die Wahrscheinlichkeit, bei einer TAN-Anforderung nach einer in seinem Besitz befindlichen TAN gefragt zu werden, deutlich. Dies kann er im Nachgang versuchen, um damit eine betrügerische Überweisung auszuführen.
  2. Bei einem Man-in-the-middle-Angriff schaltet sich der Virus automatisch ein, sobald der Online-Kunde eine Überweisung tätigen will. Der Virus tauscht im Hintergrund die Überweisungsdaten aus; mit der angeforderten TAN bestätigt der Online-Banking-Kunde also in Wirklichkeit die betrügerische Überweisung des Hackers. Auf seinem PC-Bildschirm sieht er immer noch seine Original-Überweisung. Selbst die Umsatzanzeige und der Kontosaldo wird durch den Virus manipuliert und so perfekt vorgetäuscht.

Immer mehr Banken sehen die iTAN-Liste nur noch als Mindestschutz und empfehlen Ihren Kunden sicherere Verfahren (siehe unten).

Ein Nachteil der iTAN ist, dass für Überweisungen von unterwegs (z. B. aus dem Urlaub) immer die komplette iTAN-Liste mitgeführt werden muss. Bei dem einfachen TAN-Verfahren ist es möglich, wenige TANs so mitzuführen, dass sie von Fremden nicht als solche erkennbar und/oder nicht korrekt lesbar sind, zum Beispiel in einer Telefonliste. Eine iTAN-Liste ist schwerer zu tarnen, und einem Dieb fällt auch immer die komplette Liste in die Hände. Diese ist jedoch wertlos, solange der Dieb nicht auch im Besitz der PIN ist. Erst dann kann er durch Überweisungen Geld erbeuten.

Dagegen besteht ein praktischer Vorteil der iTAN gegenüber der einfachen TAN darin, dass man verbrauchte iTANs nicht von der Liste streichen muss. Dadurch kann man beispielsweise unabhängig ohne Synchronisierungsprobleme mit mehreren verschlüsselten elektronischen Kopien einer iTAN-Liste arbeiten.

Nach neueren Untersuchungen kann das iTAN-Verfahren heute nicht mehr als sicher gelten. Mirko Manske, Kriminalhauptkommissar beim Bundeskriminalamt (BKA), erklärte auf dem 11. IT-Sicherheitskongress des Bundesamts für Sicherheit in der Informationstechnik im Mai 2009 in Bonn, Phishing-Angriffe seien durch iTAN zwar schwieriger geworden, „aber nicht unmöglich“. Das BKA habe im Jahr 2008 rund 1.800 erfolgreiche Phishing-Angriffe registriert, die in aller Regel durch die Einschleusung von Trojanern erfolgen, die sich etwa in präparierten PDF-Dateien befinden könnten.

Anfang 2007 tauchten demnach erste Phishing-Kits auf, die in der Lage gewesen seien, über die bereits genannte Man-in-the-middle-Attacke abgephishte iTANs in Echtzeit für eigene Transaktionen zu benutzen.[1]

Indizierte TAN-Liste mit CAPTCHA (iTANplus)

Der beim iTAN-Verfahren mögliche Man-in-the-middle-Angriff soll durch das sogenannte iTANplus-Verfahren erschwert werden.[2] Bei diesem Verfahren wird vor Eingabe der iTAN ein Kontrollbild (CAPTCHA) angezeigt, in welchem sämtliche Transaktionsdaten noch einmal aufgeführt werden. Außerdem wird als Hintergrund des CAPTCHAs das Geburtsdatum des Kontoinhabers angezeigt, welches einem Man-in-the-middle-Angreifer in der Regel nicht bekannt ist, sondern nur der Bank. Dadurch soll ein automatisches Generieren des CAPTCHAs durch einen Angreifer massiv erschwert werden. Nachteil dieses Verfahrens ist die Verschlechterung der Ergonomie, da das CAPTCHA schwieriger zu lesen ist als die Aufforderung zur iTAN-Eingabe in normaler Textform. Dennoch ersetzt iTANplus aufgrund der höheren Sicherheit für den Bankkunden beim Großteil der Volks- und Raiffeisenbanken das bisherige iTAN-Verfahren.

Diese CAPTCHAs sind andere als diejenigen, mit denen manche Banken das automatisierte Einloggen eines betrügerischen Programms verhindern wollen. Diese werden eingesetzt, um Brute-Force-Angriffe auf den Anmeldeseiten zu verhindern, die zu massenweisen Sperrungen von Zugangsdaten führen würden.

TAN mit Bestätigungsnummer

Das Verfahren kann um eine Bestätigungsnummer (BEN) erweitert werden, mit der die Bank die Auftragsannahme im Gegenzug quittiert. Das bedeutet, dass ein Angriff nur als Man in the Middle und in nahezu Echtzeit stattfinden muss, um nicht aufzufallen. Phishing und Pharming fielen auf, da keine (korrekten) BENs zurückgegeben würden.

Mobile TAN (mTAN)

Funktionsprinzip

Die Variante Mobile TAN (mTAN) oder smsTAN besteht aus der Einbindung des Übertragungskanals SMS. Dabei wird dem Onlinebanking-Kunden nach Übersendung der ausgefüllten Überweisung im Internet seitens der Bank per SMS eine nur für diesen Vorgang verwendbare TAN auf sein Mobiltelefon gesendet. Der Auftrag muss anschließend mit dieser TAN bestätigt werden.

Sicherheit

Durch den SMS-Versand der TAN gilt mTAN als sicherer als iTAN oder das klassische TAN-Verfahren. Dadurch, dass die Gültigkeitsdauer der TAN begrenzt ist und zusätzlich noch Teile der Ziel-Kontonummer der Überweisung sowie des Überweisungsbetrages in der SMS übertragen werden und die TAN nur für diese Transaktion gültig ist, soll eine Umleitung auf ein anderes Konto durch einen Man-in-the-middle-Angriff auf die Homebanking-Webseiten verhindert werden. Auch werden Phishing-Angriffe auf TANs im mTAN-Verfahren erschwert. Der TÜV Rheinland bescheinigte im Jahr 2006 dem mTAN-System der Postbank AG eine „wirksame Absicherung der von außen zugänglichen technischen Systeme gegen unbefugte Nutzung“.[3] Mitte 2007 erhielt auch das mTAN-System der Fiducia IT AG (IT-Dienstleister der Volks- und Raiffeisenbanken) diese TÜV-Zertifizierung.[4]

Ein weiterer Vorteil ist, dass man für Überweisungen unterwegs keine TAN-Liste dabei haben muss. Erfahrungsgemäß wird auch der Verlust des Mobiltelefons eher vom Nutzer bemerkt, als der Verlust der Bankkarte oder des TAN-Bogens. Zusätzlich erfährt der Nutzer womöglich per SMS von unautorisierten Überweisungsversuchen, sodass eine Sperrung des Kontos veranlasst werden kann.

Bei einem Verlust des Handys besteht der einzige Schutz des Kontos in der PIN und der unbekannten Kontonummer. Diese sollten also nicht zusammen mit dem Handy aufbewahrt werden oder gar darin gespeichert sein. Je nach Geldinstitut ist die Nutzung einer mTAN kostenpflichtig, kostenlos innerhalb eines monatlichen Frei-Kontingents oder ohne Einschränkung kostenlos.

Im deutschsprachigen Raum sind keine erfolgreichen Angriffe gegen mTAN bekannt (Stand: Januar 2010). Es gibt einen Bericht über einen Fall in Südafrika, in dem Betrüger vermutlich eine neue SIM-Karte im Namen des Opfers erhielten und damit eine mTAN anforderten.[5] In einem weiteren Fall aus Australien wurde die Rufnummer durch einen Betrüger zu einem anderen Anbieter portiert .[6]

Mögliche Angriffe

Denkbare Angriffe gegen das mTAN Verfahren basieren darauf, dass die PIN für das Onlinebanking im ersten Schritt über herkömmliche Methoden wie Phishing oder Trojaner ausgespäht wird. Sobald der Phisher den PIN hat kann er sich im Onlinebanking des Betrugsopfers einloggen und dessen persönliche Daten auslesen, unter anderem Kontonummer, Bankleitzahl, Adresse sowie die hinterlegte Handynummer für das mTAN Verfahren. Das genutzte Mobilfunknetz kann über eine Netzabfrage herausgefunden werden.

Im zweiten Schritt müsste dem Phisher gelingen auch die mTAN zu manipulieren.

Zugriff auf die PIN des Opfers

Sobald man die PIN hat, kann man sich selbst (d.h. das eigene Mobiltelefon) für das mobileTAN Verfahren registrieren lassen. Die dabei von den Banken (z.B. Postbank) vorgenommenen Authentisierung-Verfahren sind so schwach, dass eine Manipulation nicht auffällt.

Diebstahl des Handy

Die einfachste Möglichkeit ist, das Handy des Opfers zu stehlen oder sich vorübergehend Zugriff zu beschaffen.

Angriff auf das Handy

Eine Möglichkeit bestünde darin auch das Handy des Betrugsopfers zu kompromittieren, insbesondere Smartphones sind hier gefährdet. Ein bereits infizierter Computer kann auch das Handy das Betrugsopfers infizieren, wenn das Betrugsopfer sein Handy mit dem Computer verbindet, zum Beispiel für den eigentlichen Zweck der Synchronisation. Auch denkbar wäre SMiShing oder Exploit des Handys.

Auf Grund der momentan noch geringen zu erwartenden Gewinne durch Betrug mit mobilen Geräten und durch die vielen verschiedenen miteinander inkompatiblen Plattformen sind Handyviren momentan noch nicht zahlreich In-the-wild vorhanden. Gleichwohl verbieten aktuelle Bedingungen der Geldinstitute die Verwendung ein und desselben Handys zum Onlinebanking und zum Empfang der mTAN.

Sobald das Handy des Betrugsopfers kompromittiert ist kann der Betrüger beliebige Überweisungen ausführen währenddessen die Anzeige und Signalisierung der mTAN nur für den Betrüger sichtbar ist, nicht jedoch für das Betrugsopfer.

Angriff auf das GSM-Netz

Weitere Möglichkeiten wäre der Einsatz eines IMSI-Catchers oder das brechen der GSM-Verschlüsselung. Diese Methoden erfordern allerdings örtliche Nähe zum Betrugsopfer und dafür ist erheblich mehr kriminelle Energie notwendig als beim Phishing, das lediglich aus der Ferne ausgeführt wird.

Angriff auf den Netzbetreiber

Eine weitere Möglichkeit wäre ein kompromittierter Netzbetreiber, entweder durch einen menschlichen Komplizen oder durch Sicherheitslücken.

Anforderung einer neuen SIM-Karte

Ein Angreifer kann im Namen des Opfers bei dessen Mobilfunkanbieter eine neue SIM-Karte beantragen und sich zusenden lassen oder teilweise sofort im Geschäft austauschen lassen. Bei den meisten Mobilfunkanbietern ist dies relativ einfach möglich. Allerdings wird üblicherweise die alte Karte 1–2 Tage vor Eingang der neuen Karte gesperrt, so dass das Opfer den Angriff leicht bemerken kann.

Portierung der Rufnummer

Der Angreifer kann den Laufzeit- oder Prepaidvertrag des Opfers kündigen und danach eine Rufnummernmitnahme zu einem neuen Mobilfunkanbieter auslösen. Für die Kündigung beim alten Anbieter sowie für den neuen Laufzeit- oder Prepaidvertrag und die Rufnummernmitnahme beim neuen Anbieter wird nur die Unterschrift benötigt. Diese lässt sich mit wenig Aufwand fälschen und wird teilweise auch nur ungenügend oder überhaupt nicht geprüft.

Es ist möglich eine betrügerische Adressänderung sowie Kündigung in einem Schreiben an den alten Anbieter in einem Brief gleichzeitig zu formulieren. Die Kündigungsbestätigung sowie die neue Simkarte könnte also an eine vom Angreifer frei wählbare Adresse gesandt werden.

Im für den Angreifer günstigsten Fall würde die Rufnummer des Opfers auf seiner alten Simkarte um 24 Uhr abgeschaltet werden und für ihn um 6 Uhr angeschaltet werden, was ein erfolgversprechendes Zeitfenster verspricht.

TAN-Generator

Mit einem TAN-Generator können TANs elektronisch erzeugt werden. Hierfür gibt es mehrere unterschiedliche Verfahren.

sm@rt-TAN

Datei:Tan generator.jpg
sm@rt-TAN-Generator

Bei diesem Verfahren erhält der Nutzer von seinem Kreditinstitut einen TAN-Generator ohne Ziffernfeld. Sobald die Maestro-Karte (ehemals ec-Karte) in den Generator eingesteckt wird, können auf Knopfdruck TANs erzeugt werden. Diese TANs können nur der Reihe nach im Online-Banking eingegeben werden. Werden beispielsweise 5 TANs generiert, jedoch nur die zuletzt erzeugte TAN für eine Transaktion verwendet, sind die vorherigen vier TANs ungültig. Das Kreditinstitut kann als Herausgeber der Maestro-Karte die TANs überprüfen.

Die Generierung der TANs erfolgt über den Chip auf der Maestro-Karte des Kunden. Der TAN-Generator selbst ist nicht auf den Kunden individualisiert. Bei einem Verlust der Karte können mit einem beliebigen TAN-Generator gültige TANs erzeugt werden. Da für Transaktionen auch die PIN notwendig ist, stellt dies eine überschaubare Gefahr dar.

Dieses Verfahren ist anfällig für Phishing- bzw. Man-in-the-middle-Angriffe, da die generierten TANs für beliebige Transaktionen verwendet werden können. Eine Auftragsbindung findet nicht statt. Die Verbreitung dieses Verfahrens ist gering.

eTAN-Generator (z.B. BW-Bank, Cortal Consors)

Im Dezember 2006 hat die BW-Bank dieses Verfahren eingeführt.[7] Kunden erhalten einen individualisierten TAN-Generator, der unter Einbeziehung eines geheimen Schlüssels, der aktuellen Uhrzeit und der Kontonummer des Empfängers eine temporär gültige TAN erzeugt. Die Empfängerkontonummer muss über das Ziffernfeld des TAN-Generators eingegeben werden.

Dieses Verfahren schützt vor Phishing- bzw. Man-in-the-middle-Angriffen, sofern die korrekte Empfängerkontonummer eingegeben wird. Die manuelle Eingabe der Kontonummer ist wenig komfortabel. Bei einem Verlust des TAN-Generators können weiterhin TANs generiert werden. Da für Transaktionen auch die PIN notwendig ist, stellt dies eine überschaubare Gefahr dar.

chipTAN manuell / sm@rtTAN-Plus

Zahlreiche Volks- und Raiffeisenbanken[8] sowie viele Sparkassen bieten dieses Verfahren an. Der Kunde erhält einen TAN-Generator mit Ziffernfeld und Karteneinschub. Nachdem eine Überweisung im Online-Banking erfasst wurde, wird ein (Start-)Code am Bildschirm angezeigt. Nun muss die persönliche Maestro-Karte in den TAN-Generator eingesteckt werden und dieser (Start-)Code über das Ziffernfeld des TAN-Generators eingetippt werden. Danach wird die Empfängerkontonummer sowie der Betrag der Überweisung (bei Volksbanken und Sparkassen) eingetippt. Aus diesen Daten errechnet der TAN-Generator eine auftragsbezogene TAN, die im Online-Banking eingegeben wird.

Dieses Verfahren schützt vor Phishing- bzw. Man-in-the-middle-Angriffen, sofern die korrekte Empfängerkontonummer (und der korrekte Betrag) eingegeben wird. Diese manuellen Eingaben sind jedoch wenig komfortabel. Bei einem Verlust der Maestro-Karte können mit einem beliebigen TAN-Generator weiterhin TANs generiert werden. Da für Transaktionen auch die PIN notwendig ist, stellt dies eine überschaubare Gefahr dar. Sobald eine Maestro-Karte gesperrt wird (z. B. bei Diebstahl), werden mit dieser Karte erzeugte TANs vom Kreditinstitut abgelehnt.

chipTAN comfort / sm@rtTAN optic (Flickering)

Datei:ChipTan comfort.gif
Erzeugung einer TAN mittels ChipTan-Comfort am Beispiel des Online-Banking einer Sparkasse.
TAN-Generator mit optischen Sensoren (oben).

Dieses neue Verfahren findet in Deutschland eine zunehmende Verbreitung. Viele Sparkassen als auch einige Volks- und Raiffeisenbanken setzen es bereits ein. Die Sparkassen nennen dieses optische TAN-Verfahren „chipTAN comfort“, während die Volksbanken die Bezeichnung „Sm@rt-TAN optic“ dafür verwenden. Kunden erhalten einen TAN-Generator[9] mit Ziffernfeld und Karteneinschub. Auf der Rückseite des TAN-Generators befinden sich fünf optische Sensoren. Nachdem eine Überweisung im Online-Banking erfasst wurde, erscheint am Bildschirm eine Grafik, die fünf flackernde Schwarz-Weiß-Flächen enthält. Nun muss die persönliche Maestro-Karte in den TAN-Generator eingesteckt werden. Sobald der TAN-Generator am Bildschirm an die Grafik gehalten wird, erfolgt eine Datenübertragung durch Lichtsignale. Hierbei wird ein (Start-)Code, die Empfängerkontonummer sowie der Überweisungsbetrag an den TAN-Generator übermittelt. Auf dem Display des TAN-Generators werden im Anschluss die Empfängerkontonummer sowie der Überweisungsbetrag angezeigt. Diese müssen bestätigt werden. Der TAN-Generator errechnet nun eine auftragsbezogene TAN, die im Online-Banking eingegeben wird.

Dieses Verfahren schützt vor Phishing- bzw. Man-in-the-Middle-Angriffen, sofern die im Display angezeigten Daten vor der Bestätigung auf ihre Richtigkeit geprüft werden. Durch die optische Übertragung müssen keine Auftragsdaten am TAN-Generator eingegeben werden. Bei einem Verlust der Maestro-Karte können mit einem beliebigen TAN-Generator weiterhin TANs generiert werden. Da für Transaktionen auch die PIN notwendig ist, stellt dies eine überschaubare Gefahr dar. Sobald eine Maestro-Karte gesperrt wird (z. B. bei Diebstahl), werden mit dieser Karte erzeugte TANs vom Kreditinstitut abgelehnt.

Angriffsmöglichkeiten zeigen sich in Verbindung mit Sammelüberweisungen. Hier wird im Display des TAN-Generators nur die Anzahl der Posten sowie der Gesamtbetrag angezeigt. Auf die Anzeige der einzelnen Empfängerkontonummern wird verzichtet, da dies bei umfangreichen Sammelüberweisungen nicht darstellbar wäre. Bei einem Angriff könnten nun die einzelnen Überweisungen des Sammlers verändert werden. Solange die Anzahl der Posten und der Gesamtbetrag gleich bleibt, wäre die Manipulaton im Display des TAN-Generators nicht erkennbar.

Eine weitere Angriffsmöglichkeit wäre die Umwandlung einer Einzelüberweisung in eine Sammelüberweisung mit einem Posten. Der Nutzer würde in diesem Fall im Display des TAN-Generators nur die Anzahl der Posten (hier "1") und den Betrag angezeigt bekommen. Nachdem dies bekannt wurde[10], haben die deutschen Sparkassen die Displayanzeige bei Sammelüberweisungen mit nur einem Posten umgestellt. In diesem Fall werden trotz Sammelüberweisung die Empfängerkontonummer sowie der Betrag angezeigt. Bei Volksbanken im GAD-Umfeld sind hingegen Sammelüberweisungen mit nur einem Posten nicht zulässig und werden abgewiesen.

In allen Fällen ist die Sicherheit mindestens so hoch wie bei Benutzung von TAN- oder iTAN-Listen. Kontrolliert der Benutzer aber die angezeigten Daten und benutzt keine Sammelüberweisung ist die Sicherheit deutlich erhöht.

Sicherheit

Generell kann ein Betrüger versuchen, eine TAN zu raten. Bei einer 6-stelligen TAN ist die Wahrscheinlichkeit 1:1.000.000, eine bestimmte TAN mit einem Versuch zu raten. Wenn der Kunde zur Legitimation aus einer Liste von beispielsweise 100 TAN eine beliebige auswählen kann, ist die Wahrscheinlichkeit für den Betrüger, eine dieser TANs zu raten, 1:10.000. Wenn der Betrüger drei Versuche hat, ergibt sich eine Wahrscheinlichkeit von ungefähr

Anstatt zu raten, kann der Betrüger versuchen, TANs auszuspähen. Des Öfteren wurde bereits versucht, durch Phishing in den Besitz von Transaktionsnummern zu kommen. In einer Variante wird hierbei dem Bankkunden eine E-Mail mit einem Link auf eine falsche Internetadresse der Bank geschickt. Der Text der E-Mail bzw. Internetseite soll den Kunden veranlassen, auf dieser falschen Internetseite seine Kontonummer, seine PIN und auch noch nicht verwendete TANs einzugeben.

Die Sicherheit des iTAN-Verfahrens ist differenziert je nach Bedrohungstyp zu sehen. Während beim klassischen TAN-Verfahren im Mittel 50 TANs auf einem TAN-Bogen gültig sind (der TAN-Bogen enthält 100 TANs, von denen im statistischen Mittel die Hälfte bereits verbraucht sind), ist beim iTAN-Verfahren jeweils nur die einzige TAN gültig, welche die Bank während der Transaktion abfragt. Es bietet daher einen guten Schutz gegen Phishing, sofern der Bankkunde nicht zu viele iTANs in eine Phishing-Seite eingibt. Es bietet keinen Schutz gegen Man-In-The-Middle-Angriffe, worauf verschiedene Veröffentlichungen hingewiesen haben.[11].[12]

Phishing ist erfolgreich, weil viele Nutzer des Online-Bankings nicht genau überprüfen, ob die im Browser angezeigte Seite auch wirklich von der gewünschten Bank stammt. Beim klassischen TAN-Verfahren ist der Betrüger erfolgreich, wenn er Kontonummer, PIN und eine beliebige, noch nicht benutzte TAN erfährt, d. h. der Kunde diese Daten auf der gefälschten Internetseite einträgt. Beim iTAN-Verfahren hat der Betrüger eine geringe statistische Wahrscheinlichkeit, eine erbeutete iTAN zu verwerten.

Die TANs können aber auch von verschiedenen Trojanern und Bots gephischt werden. Hierbei handelt es sich um eine https-injection. Das bedeutet, dass der Trojaner trotz verschlüsselter Verbindung (https) die Daten, die eingeben werden, erkennt. Eine andere Gefahr ist, dass der Trojaner den Browser so manipuliert, dass man beim Versuch eines Verbindungsaufbaus zu seiner Bank automatisch zu einer Phishing-Seite umgeleitet wird. Weiterhin besteht die Möglichkeit einer Bank-Injection. Hierbei wird bei einer Überweisung unauffällig die Kontonummer des Zielkontos in eine vom Betrüger festgelegte geändert.

Die Sicherheit des klassischen TAN-Verfahrens sowie des iTAN-Verfahrens ist begrenzt, da die TAN nicht direkt mit dem Inhalt der Überweisung verknüpft wird. Dadurch kann die Bank nicht alleine mit Hilfe der übermittelten TAN entscheiden, ob der Auftrag korrekt ist. Dagegen bietet das mTAN-Verfahren einen besseren Schutz gegen Phishing- und Man-in-the-middle-Angriffe. Bei der Postbank AG wird dem Kunden beim Versand der mTAN noch einmal die gesamte Überweisung im Text mitgesendet. Dadurch hat der Kunde die Möglichkeit, seine Überweisung mit der bei der Bank eingereichten Überweisung zu vergleichen und einen möglichen Betrug zu bemerken. Allerdings muss der Kunde beim Empfang der SMS nicht nur die mTAN lesen, sondern den gesamten Text überprüfen.

Auch Verfahren, die auf elektronischen Unterschriften basieren, wie das HBCI-Verfahren mit Chipkarte, bieten keinen höheren Schutz. Hier wird aus dem Inhalt der Überweisung mit kryptographischen Verfahren eine Prüfsumme berechnet und an die Bank übermittelt. Die Bank kann hier anhand der Prüfsumme feststellen, ob die Überweisung vom Kunden kommt oder nicht, und auch, ob die Überweisung seit dem Signiervorgang unverändert ist. Sofern der PC des Kunden mit Schadsoftware Trojanischen Pferden (Trojaner) oder Viren infiziert ist, könnten Daten bereits manipuliert an den Kartenleser geleitet werden. Am Kartenleser ist nicht sichtbar, welche Daten zur elektronischen Signatur vorliegen.

Neuere TAN-Verfahren mit einem TAN-Generator (z. B. chipTAN comfort/sm@rtTAN optic) verknüpfen die TAN mit den Auftragsdaten. Die damit erzeugten TANs können nicht für abweichende (betrügerische) Überweisungen genutzt werden. Sofern Überweisungsdaten durch Schadsoftware verändert werden, sind diese veränderten Werte auf dem Display des TAN-Generators sichtbar. Der Bankkunde kann die Transaktion in diesem Fall abbrechen. Da der TAN-Generator nicht an den PC angeschlossen wird, ist eine Manipulation der Displayanzeige ausgeschlossen. Alle bisherigen, technischen Angriffsarten können damit wirkungsvoll verhindert werden. Einzige Gefahrenquelle bleibt der sorglose Umgang mit den angezeigten Auftragsdaten im Display des TAN-Generators.

Weblink

Siehe auch

Einzelnachweise

  1. BKA: iTAN-Verfahren keine Hürde mehr für Kriminelle auf heise Security, 18. Mai 2009
  2. Verbessertes iTAN-Verfahren soll vor Manipulationen durch Trojaner schützen auf heise online, 26. Oktober 2007
  3. TÜV-Zertifizierung für mobile TAN der Postbank auf heise.de, 18. April 2006
  4. TÜV-Zertifizierung für mobile TAN der Fiducia IT AG, Fiducia.de, 2. Mai 2007
  5. Victim's SIM swap fraud nightmare auf IOL
  6. mTAN in Australien ausgehebelt auf Heise Security
  7. Pressemitteilung der BW-Bank zum TAN-Generator, Stand 4. Januar 2007
  8. Beschreibung des Sm@rtTAN-Plus-Verfahrens der GAD, Stand 26. Juni 2008
  9. Kobil TAN-Generator TAN Optimus comfort
  10. chipTAN-Verfahren-der-Sparkassen-ausgetrickst auf Heise Security
  11. Heise Newsticker 26. August 2005
  12. Heise Newsticker 11. November 2005