Sicheres Onlinebanking? Kostet extra!
Die Postbank schaltet das iTAN-Verfahren zugunsten „sichererer“ Verfahren ab. Das iTAN-Verfahren, also die Eingabe eines Einwegkennworts von einer gedruckten Liste, ist bei einem verseuchten Computer über einen Trojaner angreifbar, der die Überweisungsdaten verändert. Der Schritt ist also erstmal logisch, nachvollziehbar und scheint sinnvoll zu sein.
Als Ersatz werden zwei alternative Verfahren angeboten: Die mTAN, bei der eine TAN auf das Handy geschickt wird, und die chipTAN (auch smartTAN genannt), bei der die TAN von einem speziellen Gerät in Verbindung mit der Bankkarte erzeugt wird. Bei beiden Verfahren werden die Trasaktionsdetails (Betrag, Empfängerkonto, …) auf einem separaten Gerät (Handy bzw. TAN-Generator) angezeigt. Dadurch kann ein Trojaner nicht mehr die Überweisung unbemerkt ändern. Vor diesem Problem schützen beide neuen Verfahren. Alle drei Verfahren, also iTAN, mTAN und chipTAN, stellen zusammen mit der PIN des Nutzers eine Zwei-Faktor-Authentifizierung dar: der Nutzer muss geheimes Wissen (die PIN) beweisen, und den Besitz eines physikalischen Gegenstands (TAN-Liste, Handy, TAN-Generator+Karte).
Im Folgenden wird davon ausgegangen, dass es einem Angreifer irgendwie gelungen ist, an die PIN zu kommen – was ohne einen Trojaner auf dem Rechner schwierig ist und in dem Fall die Gefahr relativiert, mit einem Trojaner jedoch trivial ist. Aufgrund der Zwei-Faktor-Authentifizierung sollte der Angreifer alleine mit der PIN (ohne den Besitz des entsprechenden Gegenstandes) nichts anfangen könnten.
Solange kein Trojaner auf dem Rechner ist und die TAN-Liste geheim bleibt, ist das iTAN-Verfahren sicher. Beim mTAN-Verfahren hingegen sieht es bereits anders aus: Hier muss nicht der PC, sondern das Handy sicher sein. Mit steigender Verbreitung von Smartphones und eher mangelhafter Sicherheit derselbigen wird das immer schwieriger. Während es für gewöhnliche Nutzer schwieriger ist, den Computer statt das Handy sauberzuhalten, kann das bei „Powerusern“ genau umgekehrt aussehen. Gelangt ein Angreifer in den Besitz der PIN und kann gleichzeitig das Handy mit Malware verseuchen, kann er das Konto plündern. (Update: Kunden einer spanische Bank sollen auf diese Weise angegriffen worden sein, das ist also keineswegs graue Theorie. Danke an wopot für den Hinweis! Update 2: Jetzt warnt auch das BSI vor dieser Art von Angriff. Update 3: Und jetzt gibts schon gezielte Angriffe auf deutsche User, ausgehend von einem verseuchten Rechner. QED.)
Eine weitere Gefahr bei der mTAN entsteht durch das Mobilfunknetz: Die mTANs werden per SMS verschickt. Diese sind bei der Übertragung nur sehr schlecht geschützt, und es existieren Angriffe, die SMS-Nachrichten an eine bestimmte Nummer bereits im Handynetz umleiten können. Beispiele für Angriffsmöglichkeiten wären: Die Nummer des Opfers portieren lassen, Klonen der SIM-Karte/des Handies, Abhören der SMS-Übertragung irgendwo zwischen Bank und Handy, das Bestellen einer neuen SIM-Karte, und und und. Darüber hinaus ist das meist immer mitgenommene Handy einer höheren Diebstahlsgefahr ausgesetzt als die TAN-Liste, die sicher zu Hause verwahrt wird.
Die mTAN ist im Szenario „PIN dem Angreifer bekannt, Rechner sauber“ somit weniger sicher als die iTAN.
Auch im Szenario „Computer verseucht“ beitet die mTAN keinen vollständigen Schutz: Heutige Smartphones werden oft mit dem Rechner verbunden, und ein Virus, der vom Computer auf das Smartphone überspringt um die mTANs zu stehlen ist technisch möglich und höchstwahrscheinlich nur eine Frage der Zeit. (In diesem Fall versagt jedoch das bisherige iTAN-Verfahren ebenfalls.)
Das andere Verfahren, die chipTAN, ist nahezu ideal: Ein separates Gerät, welches ausschließlich für die TAN-Erzeugung genutzt wird, zeigt die Überweisungsdaten an und generiert anhand der Bankkarte eine nur für diese Überweisung gültige TAN. Auch hier gibt es zwar Angriffe, diese nutzen jedoch ähnlich wie mein letzter ePerso-Angriff Fehler des Nutzers aus. Mit einer eindeutigen Bedienungsanleitung können diese weitgehend vermieden werden. Dieses Verfahren ist selbst dann sicher, wenn alles außer dem chipTAN-Generator virenverseucht ist, da die Prüfung der Überweisungsdaten auf dem Display des Generators stattfindet. Da dieses Gerät eine abgeschlossene Einheit mit minimalem Funktionsumfang (und somit kaum Angriffsfläche) darstellt, dürfte es vor Viren sicher sein.
Das Problem: Die iTAN wird bei der Postbank abgeschafft, Kunden haben also nur noch die Wahl zwischen mTAN und chipTAN. Nur die mTAN kann allerdings ohne weitere Kosten für den Nutzer genutzt werden. Das weitaus bessere chipTAN-Verfahren erfordert, dass der Nutzer 12-15 Euro für ein passendes Lesegerät ausgibt. Das wird die Akzeptanz dieses Verfahrens nicht gerade fördern. Das mTAN-Verfahren ist aber in bestimmten Fällen weniger sicher als die bisherigen iTANs. Durch das von den Banken behauptete hohe Sicherheitsniveau könnte das im Missbrauchsfall für den Kunden ein ziemliches Problem vor Gericht werden.
Gleichzeitig machen die Preise für die TAN-Generatoren übrigens deutlich, was für eine Gelddruckmaschine die ePerso-Kartenleser mit Verkaufspreisen im dreistelligen Bereich sind bzw. welche Preisklasse die ordentlichen Lesegeräte haben dürften, wenn man sie statt der unsicheren Basisleser in großen Mengen herstellen lässt.
Zusammenfassung:
– Die iTAN ist gegen verseuchte Computer anfällig. Dies ist derzeit das größte Problem beim Onlinebanking.
– Die Abschaffung der iTAN wird insgesamt betrachtet die Sicherheit erhöhen
– Die mTAN kann das Problem lindern, aber nicht lösen.
– Die mTAN bietet in bestimmten Szenarien einen geringeren Schutz als die iTAN
– Die chipTAN hat ein sehr hohes Sicherheitsniveau, kostet aber den Nutzer Geld
– Einige Nutzer werden durch diese Änderung ein niedrigeres Sicherheitsniveau als bisher haben. Sicheres Onlinebanking kostet extra.
– Die Nutzung des chipTAN-Verfahrens kann ich nur empfehlen.
Meiner Meinung nach sollten die Banken die chipTAN als Standardverfahren verwenden und genauso wie sie den Kunden ec-Karten zur Verfügung stellen, kostenlose TAN-Generatoren anbieten.
Durch die Nutzung eines separaten Geräts für die Erzeugung der TANs dürfte das chipTAN-Verfahren übrigens deutlich sicherer sein als die eID-Anwendung des ePersos – obwohl die Hardware einen Bruchteil kostet. Mit einem ähnlichen Ansatz (sichere Eingabegeräte mit Display und Tastatur im Besitz des Nutzers) ließen sich auch EC-Kartenzahlungen deutlich sicherer gestalten – da gibt es nämlich auch schon Sicherheitslücken.
Auch bei digitalen Signaturen sollte ein sicheres Signiergerät den zu signierenden Inhalt in einem simplen Fomat (z. B. Plaintext oder Bitmap) nochmal auf einem eigenen Display anzeigen und nur genau das signieren, was angezeigt wurde. Aber bis sich so etwas etabliert, dürften Jahrzehnte vergehen.
Jan Schejbal 
Die 12 Euro für das chipTan Lesegerät lassen sich ja gerade noch verkraften. Das erste Gerät hätten sie vielleicht kostenlos ausgeben können. Bei den Gesamtkosten, also PC, Virensoftware usw… fallen die 12 Euro aber wenig ins gewicht.
Was eher nervig ist, ist dass irgendwann der Tag kommt wo die Batterie von dem Teil leer ist.
Was ich eher bemängele, ist dass bei der Sparkasse für die Kommunikation zwischen chipTan gerät und PC das Flashplugin verwendet wird. Das ist ja bekanntermassen oft löcherig.
Gute (Anti-)Virensoftware kostet kein Geld. Microsoft Security Essentials dürfte für DAU-User eins der besten verfügbaren Programme sein und gibts bei Windows gratis dazu.
Die Batterien sind AFAIK wechselbar (Knopfzellen), das Teil speichert ja im Gegensatz zu den SecurID und ähnlichen Geräten keinen State oder Kryptoinfos, dafür ist die Karte da.
Das mit dem Flashplugin ist tatsächlich fail. Vielleicht mal vorschlagen, Javascript oder ein animiertes GIF zu nehmen?
Danke für den super Artikel!
Eine kleine Anmerkung meinerseits (da ich als Postbank Kunde gerne Mtan nutze!):
Ein Feature der Mtan die du vergisst, ist das in die SMS auch eine Eineindeutige Tan generiert wird, sprich auch Text angezeigt wird wem man gerade was überweist! Dieses Sicherheitsfeature schützt vor einem verseuchtem Pc zusätzlich!
Sonst kann ich dir nur zustimmen! Danke für die gute Arbeit!
Das hatte ich ja erwähnt: „Bei beiden Verfahren werden die Trasaktionsdetails (Betrag, Empfängerkonto, …) auf einem separaten Gerät (Handy bzw. TAN-Generator) angezeigt.“
„Die iTAN ist gegen verseuchte Computer anfällig. Dies ist derzeit das größte Problem beim Onlinebanking.“
Ist das so? Hast Du da eine Quelle dafür? Ohne jetzt Statistiken zu kennen, würde ich vermuten, dass Phishing mindestens ein Problem ähnlicher Größenordnung ist – und dagegen kann mTAN tatsächlich helfen.
Was Javascript oder animiertes GIF angeht: zumindest bei der Sparkasse geht das genau so (funktioniert bei mir aber nur so leidlich, daher nehme ich trotzdem immer die manuelle Eingabe) …
Stimmt, Phishing hatte ich etwas aus den Augen verloren. Statistiken habe ich nicht, aber ich glaube, inzwischen wurde zumindest im Bankbereich Phishing von Malware abgelöst. Irgendwann lernen es die User ja doch. Steht so auch in diesem Buch (S. 63).
Die iTAN wird in Ihrem Artikel vollkommen falsch bewertet. Ein Abfragesystem wird in Fragen der Sicherheit viel sicherer bewertet als jegliche durch Codierfunktion erstellte TANs. Das Problem stellt dabei die Codierfunktion dar. Die kann verraten werden, wie beim DVD-Copierschutz und auch bei den PIN für Chipgeldkarten schon geschehen. Auch kann der einmalige Schlüssel (Kreditkarte) erkannt sein und möglicherweise aus diversen Datenbanken aus dem INTERNET abgefragt werden. Ein massenweiser Angriff auf Konten wird dadurch für kriminelle Elemente recht interessant. Einmalschlüssel wie bei iTAN fehlen diese Sicherheitsprobleme.
Einmalschlüssel wie iTAN bieten keinerlei Schutz gegen (tatsächlich stattfindende) Pharmingattacken, bzw. gegen MitM allgemein. Falls die Banken sich nicht extrem dämlich beim Entwurf angestellt haben (aus den Fehlern der letzten 20 Jahre konnten sie ja genug lernen), haben sie ein solides Kryptosystem auf Basis erprobter Verfahren genommen. In diesem Fall dürfte die „Codierfunktion“ sogar öffentlich bekannt sein (irgendeine Hashfunktion) – lediglich die Keys (zufällige für jede Karte verschiedene Werte die einmal bei der Bank und einmal auf der Karte liegen und diese nicht verlassen) wären geheim.
Danke für diesen ausführlichen Artikel, Ich habe von meiner Bank, Sparkasse die Pistole auf die Brust geleckt bekommen. Ich war drauf und dran mich für die mTan zu entscheiden, davon rücke ich nach diesem Artikel jetzt ab.
Was mich nur so wütend macht ist, dass ich verpflichtet bin zwischen mTan und chipTan zu entscheiden, oder komplett auf das Online-Banking zu verzchten.
Danke für diesen Artikel!
Als Kunde bei der Postbank bin ich vor einigen Wochen auf chipTAN umgestiegen. Das Verfahren funktioniert tadellos. Der chipTAN-Generator kann übrigens für beliebig viele Karten und Konten bei unterschiedlichen Banken verwendet werden. Um unsere drei Konten bei der Postbank mit insgesamt vier Karten online führen zu können, habe ich nur einmalig 15 € für das Gerät ausgeben müssen. Das ist vertretbar.
schau mal auf spiegel:
Netzwelt-Ticker: Trojaner trickst Bank-Anmeldeverfahren aus…
http://www.spiegel.de/netzwelt/web/0,1518,746974,00.html
Einem Trojaner ist es gelungen, ein als besonders sicher geltendes Online-Banking-Verfahren zu knacken – mit einem Handy-Virus. Außerdem im Überblick: Wie Microsoft und Sony mit Hackern umgehen, Apples peinliches Datenleck und Betrugsskandal bei Alibaba.com
@wopot: Danke! Hab den Link im Artikel eingebaut, genau diese Gefahr war ja beschrieben.
Hallo! Ich habe die Tage ein Konto bei der Postbank eingerichtet und bei meinem Berater auch die Sicherheit angesprochen. Nun hat er mich geben, diesen Artikel auszudrucken um ihn dann nach „oben“ weiterleiten zu können. Er ist wohl noch etwas altmodisch und will ihn auf Papier haben. Habe ich dafür die Erlaubnis (Urheberrecht etc.)? Auf den Ausdruck kommt natürlich auch der Link zur Seite.
@Volker: Gerne.
Danke! Mal sehen, wie/ob die Bank reagiert :)
Guter Artikel,
da ich beide Verfahren nutze, hat jeweils Vorteile entsprechend der Gelegenheit, kann ich dazu ergänzen, dass in der SMS vom mobile TAN zusätzliche Informationen zum Vorgang enthalten sind. Wenn diese nicht mir der tatsächlich getätigten Überweisung übereinstimmen, ist selber schuld wers trotzdem macht.
Kann aber natürlich möglicherweise auch umgangen werden.
Das mit den zusätzlichen Details in der SMS ist mir schon klar, ohne hätte es gegenüber der TAN-Liste kaum Vorteile. Der Angreifer will die TAN haben und hat Kontrolle über den Rechner. Natürlich wirst du die TAN nicht in den verseuchten Rechner abtippen (wo er sie abgreifen könnte) wenn die Angaben nicht stimmen. Deswegen muss der Angreifer anders an die TAN kommen. Wenn auf deinem Handy ein Virus ist, bekommst du die SMS mit der TAN nichtmal zu Gesicht, bevor der Angreifer damit dein Konto leert.
Der Angreifer klaut die PIN (Keylogging, Phishing, sonstirgendein Trick), startet ne Überweisung, lässt die SMS auf dein Handy schicken, und greift sie entweder per Virus auf deinem Handy, Abhören im Handynetz oder sonstwie ab. Er hat jetzt die TAN für „$viel an Angreifer überweisen“ und nutzt sie.
Mein Postbankberater hat mich auch angerufen und von MTan geschwärmt. Das Gespräch ging dann freundlich aber recht rasch zu ende. Zu Sicherheitsrisiken von MTan wollte er nicht wirklich sprechen. Ein Punkt finde ich, fehlt in diesem Bericht.
Auch wenn man es nicht darf oder soll, viele nutzen Ihr Handy für das Online-Banking – sprich das Gerät auf dem auch die MTAN landet. Wurde zudem die PIN im Browser des Handys gespeichert, kann der Finder / Dieb beliebig Überweisungen vornehmen. Er muss dann keinen Trojaner oder irgendetwas installieren.
Mein Berater bei der Postbank mir ein chipTAN Gerät geschenkt. Von daher *thumbs up* für die Postbank – oder zumindest meinen Berater ;)
Fragt einfach nach.
Hallo Jan,
das war ein schöner Artikel, danke!
ich glaube, dass das mTAN-Verfahren sicherer als hier beschrieben ist, solange man KEIN Smartphone verwendet, denn die beschriebenen Angriffe setzen i.A. ein manipuliertes Handy voraus. Ich verwende ein absolutes Primitiv-Teil, das ausschließlich Sprache+SMS (noch nicht mal MMS) kann. Da kann ich mir eine Verseuchung kaum vorstellen.
Als einziges Problem bleibt dann m.E. ein MITM-Angriff (Trojaner) gekoppelt mit einer Manipulation der SMS-Zustellung (außerhalb meines Einflussbereichs). Sehe ich das richtig? Damit ist aber sehr wohl eine Verbesserung gegenüber dem iTAN-Verfahren erreicht, wo der Trojaner alleine genügt hätte.
Beim chipTAN-Verfahren stört mich die Verwendung des Flash-Plugin. Animiertes GIF wäre da wirklich besser. Kann ich mir eigentlich aussuchen, ob ich die Überweisungsdaten dem Kartenleser per Tastatur eingebe oder die Blink-Kommunikation verwende?
Was mich allerdings auch an der mTAN etwas stört, ist, dass nur Kontonummer und Betrag, nicht aber BLZ angezeigt wird. Ist das bei anderen Banken auch so? Außerdem dauert es manchmal etwas, bis sie zugestellt wird.
Das Problem mit dem möglichen Verlust sehe ich nur, wenn es von jemandem gestohlen wird, der schon meine PIN kennt. Ansonsten kann ich ja jederzeit ohne Kosten ein eingerichtetes Handy von der Liste der für mTAN freigeschalteten Geräte entfernen.
Ist eigentlich die Geschichte mit den manipulierbaren Nokia 1100-Handys, die ja auch im Artikel verlinkt wurde wirklich unabhängig bestätigt?
Mir kommt das ganze nicht wirklich glaubwürdig vor.
Gruß
Dirk
Primitive Handys zu verseuchen wird schwer und dürfte sich einfach nicht lohnen, weil es leichtere Opfer gibt. Unmöglich ist es aber nicht, Abstürze (vermutlich Buffer Overflows etc.) über „bösartige“ SMS gab es auch bei den Teilen. Mal abgesehen davon ist das Handy auch etwas was man schnell mal verliert oder geklaut bekommt.
Die Postbank verwendet für ChipTAN soweit ich weiß animierte GIFs und erlaubt auch die manuelle Eingabe. Letzteres sollten alle Banken können, weil die optische Übertragung nicht überall und immer zuverlässig funktioniert. Mit der neuen Version der Open-Source-Onlinebanking-Software Hibiscus soll es ganz ohne Browser gehen. Mit mTAN kenne ich mich in der praktischen Nutzung nicht aus.
Mit den Nokia 1100 weiß ich aus dem Kopf nichts genaues, glaube aber, dass solche oder ähnliche Angriffe irgendwie schon demonstriert wurden.
Ja, das man sein Smartphone nicht zum Online Banking mit MTan verwenden sollte ist Technik-Interessierten sicher klar. Einem Ottonormal-Nutzer aber sicher nicht.
Ich habe auch bei der Berliner Sparkasse noch ein Konto, wo mir wegen Fehleingabe der PIN kürzlich das Online-Banking gesperrt wurde. Entsperren konnte ich es nicht selbst, da das Online-Interface an der Stelle keine Sonderzeichen in der PIN zulässt (unglaublich!).
Ich also zur Sparkasse und bekomme die Auskunft das ich entweder am MTan oder am Chipkarten Verfahren teilnehmen muss um mein Online-Banking zu entsperren.
Meine Bedenken bezügl. Online-Banking und MTan auf einem Smartphone hervorgebracht entgegnete mir die Dame, dass dieses ohnehin nicht möglich ist, da man mit einem Smartphone nicht surfen und SMS gleichzeitig empfangen könne.
Es zieht einem wirklich die Schuhe aus wenn man sieht wie wenig Banken auf Schulung ihrer Mitarbeiter und auch Sicherheit an sich setzen.
Zur Fortsetzung der Diskussion und vielleicht zur gelegentlichen Nachahmung:
Die Berliner SPK hat zwar vor längerer Zeit eine neue, sicherere Anmeldeprozedur beim Onlinebanking eingeführt, dennoch zum 1. Juli auch noch eine u.U. lästige Überweisungsgrenze von 1k beim iTAN-Verfahren gezogen, wohl in erster Linie als „Argument“ an ihre Kund_innen, zügig auf die neueren Verfahren umzusteigen. In absehbarer Zeit werde das iTAN-Verfahren ohnehin überall eingestellt, behaupteten sie zu wissen.
Nachdem ich mit dem iTAN-Verfahren stets sehr zufrieden war und mich persönlich für kaum gefährdet halte, durch Trojaner oder Phishing einem Onlinebetrug zum Opfer zu fallen, auf das SMS-Verfahren aber grundsätzlich keine Lust habe, habe ich an der Stelle ein wenig gezappelt: Es geht um ein Konto, für das die SPK ohnehin Gebühren erhält, und nun möchten sie mich drängen, obendrauf so einen TAN-Generator für 12 Euro bei ihnen selbst (!) zu kaufen, den ich nur dazu brauchen werde, dasselbe Konto zu verwalten?
Auf den Brief, in dem ich darlegte, dass mich der Vorschlag nicht recht überzeugte, kam eine mutmaßliche Ansammlung von Textbausteinen: Stark generalisierendes Sicherheitsgerede und längliche technische Schilderungen, die anhand meines Schreibens als überflüssig zu erkennen gewesen wären. Zwischen den Zeilen jene bürokratische Mischung aus Bevormundung und Herablassung, die sich solche Institutionen aus der Zeit bewahrt zu haben scheinen, als man von „Bankbeamten“ sprach. Nach einer weiteren schriftlichen Entgegnung, dass ich immer noch nicht überzeugt, eigentlich nicht ungern Kunde bei ihnen sei, aber von der Existenz anderer Geldinstitute gehört hätte, erhielt ich eine zweite, eher schnippisch kurze Antwort in einem größeren Umschlag. Darin befand sich nun hauptsächlich ein solcher TAN-Generator, den man mir „kulanzweise“ überlasse.
Benutzt habe ich ihn allerdings noch nicht, erwäge nach wie vor, den Anstoß zur Kostenersparnis aufzunehmen und mein gebührenbehaftetes Konto doch zu kündigen.
ich trau dem chiptan ja noch nicht ganz. gut ist sicherlich, dass die generierte tan nur für eine bestimmte transaktion gültig ist. auf der anderen seite ist der tan generator ja austauschbar und keineswegs auf eine bestimmte karte kalibriert. einem dieb reicht es nun also, in dem besitz des pins sowie (einer kopie) der karte zu gelangen. dann lässt sich mit einem beliebigen tan generator unbeobachtet per online banking das konto plündern. mit dem itan verfahren wäre dazu noch die physikalische liste nötig, bei chiptan fällt diese weg. oder hab ich etwas falsch verstanden?
Der TAN-Generator ist in der Tat nur Bildschirm und Tastatur. Das, womit du die Transaktion bestätigst, ist der Chip auf der Karte. Im Gegensatz zum Magnetstreifen lässt sich der aber kaum kopieren. Sowohl bei iTan als auch bei chipTan braucht der Angreifer zusätzlich noch das Login (die PIN) für das Onlinebanking. Bei chipTan fällt die physikalische Papier-TAN-Liste natürlich weg, wird aber durch die physikalische Karte ersetzt.
achso, dass mit dem chip auf der karte eine erhöhte (kopier)sicherheit einhergeht wusste ich nicht. danke für die info! dann scheint das ja doch recht vernünftig zu sein. hätte mich auch gewundert.