Archiv

Posts Tagged ‘postbank’

Sicheres Onlinebanking? Kostet extra!

2011-01-19 28 Kommentare

Die Postbank schaltet das iTAN-Verfahren zugunsten „sichererer“ Verfahren ab. Das iTAN-Verfahren, also die Eingabe eines Einwegkennworts von einer gedruckten Liste, ist bei einem verseuchten Computer über einen Trojaner angreifbar, der die Überweisungsdaten verändert. Der Schritt ist also erstmal logisch, nachvollziehbar und scheint sinnvoll zu sein.

Als Ersatz werden zwei alternative Verfahren angeboten: Die mTAN, bei der eine TAN auf das Handy geschickt wird, und die chipTAN (auch smartTAN genannt), bei der die TAN von einem speziellen Gerät in Verbindung mit der Bankkarte erzeugt wird. Bei beiden Verfahren werden die Trasaktionsdetails (Betrag, Empfängerkonto, …) auf einem separaten Gerät (Handy bzw. TAN-Generator) angezeigt. Dadurch kann ein Trojaner nicht mehr die Überweisung unbemerkt ändern. Vor diesem Problem schützen beide neuen Verfahren. Alle drei Verfahren, also iTAN, mTAN und chipTAN, stellen zusammen mit der PIN des Nutzers eine Zwei-Faktor-Authentifizierung dar: der Nutzer muss geheimes Wissen (die PIN) beweisen, und den Besitz eines physikalischen Gegenstands (TAN-Liste, Handy, TAN-Generator+Karte).

Im Folgenden wird davon ausgegangen, dass es einem Angreifer irgendwie gelungen ist, an die PIN zu kommen – was ohne einen Trojaner auf dem Rechner schwierig ist und in dem Fall die Gefahr relativiert, mit einem Trojaner jedoch trivial ist. Aufgrund der Zwei-Faktor-Authentifizierung sollte der Angreifer alleine mit der PIN (ohne den Besitz des entsprechenden Gegenstandes) nichts anfangen könnten.

Solange kein Trojaner auf dem Rechner ist und die TAN-Liste geheim bleibt, ist das iTAN-Verfahren sicher. Beim mTAN-Verfahren hingegen sieht es bereits anders aus: Hier muss nicht der PC, sondern das Handy sicher sein. Mit steigender Verbreitung von Smartphones und eher mangelhafter Sicherheit derselbigen wird das immer schwieriger. Während es für gewöhnliche Nutzer schwieriger ist, den Computer statt das Handy sauberzuhalten, kann das bei „Powerusern“ genau umgekehrt aussehen. Gelangt ein Angreifer in den Besitz der PIN und kann gleichzeitig das Handy mit Malware verseuchen, kann er das Konto plündern. (Update: Kunden einer spanische Bank sollen auf diese Weise angegriffen worden sein, das ist also keineswegs graue Theorie. Danke an wopot für den Hinweis! Update 2: Jetzt warnt auch das BSI vor dieser Art von Angriff. Update 3: Und jetzt gibts schon gezielte Angriffe auf deutsche User, ausgehend von einem verseuchten Rechner. QED.)

Eine weitere Gefahr bei der mTAN entsteht durch das Mobilfunknetz: Die mTANs werden per SMS verschickt. Diese sind bei der Übertragung nur sehr schlecht geschützt, und es existieren Angriffe, die SMS-Nachrichten an eine bestimmte Nummer bereits im Handynetz umleiten können. Beispiele für Angriffsmöglichkeiten wären: Die Nummer des Opfers portieren lassen, Klonen der SIM-Karte/des Handies, Abhören der SMS-Übertragung irgendwo zwischen Bank und Handy, das Bestellen einer neuen SIM-Karte, und und und. Darüber hinaus ist das meist immer mitgenommene Handy einer höheren Diebstahlsgefahr ausgesetzt als die TAN-Liste, die sicher zu Hause verwahrt wird.

Die mTAN ist im Szenario „PIN dem Angreifer bekannt, Rechner sauber“ somit weniger sicher als die iTAN.

Auch im Szenario „Computer verseucht“ beitet die mTAN keinen vollständigen Schutz: Heutige Smartphones werden oft mit dem Rechner verbunden, und ein Virus, der vom Computer auf das Smartphone überspringt um die mTANs zu stehlen ist technisch möglich und höchstwahrscheinlich nur eine Frage der Zeit. (In diesem Fall versagt jedoch das bisherige iTAN-Verfahren ebenfalls.)

Das andere Verfahren, die chipTAN, ist nahezu ideal: Ein separates Gerät, welches ausschließlich für die TAN-Erzeugung genutzt wird, zeigt die Überweisungsdaten an und generiert anhand der Bankkarte eine nur für diese Überweisung gültige TAN. Auch hier gibt es zwar Angriffe, diese nutzen jedoch ähnlich wie mein letzter ePerso-Angriff Fehler des Nutzers aus. Mit einer eindeutigen Bedienungsanleitung können diese weitgehend vermieden werden. Dieses Verfahren ist selbst dann sicher, wenn alles außer dem chipTAN-Generator virenverseucht ist, da die Prüfung der Überweisungsdaten auf dem Display des Generators stattfindet. Da dieses Gerät eine abgeschlossene Einheit mit minimalem Funktionsumfang (und somit kaum Angriffsfläche) darstellt, dürfte es vor Viren sicher sein.

Das Problem: Die iTAN wird bei der Postbank abgeschafft, Kunden haben also nur noch die Wahl zwischen mTAN und chipTAN. Nur die mTAN kann allerdings ohne weitere Kosten für den Nutzer genutzt werden. Das weitaus bessere chipTAN-Verfahren erfordert, dass der Nutzer 12-15 Euro für ein passendes Lesegerät ausgibt. Das wird die Akzeptanz dieses Verfahrens nicht gerade fördern. Das mTAN-Verfahren ist aber in bestimmten Fällen weniger sicher als die bisherigen iTANs. Durch das von den Banken behauptete hohe Sicherheitsniveau könnte das im Missbrauchsfall für den Kunden ein ziemliches Problem vor Gericht werden.

Gleichzeitig machen die Preise für die TAN-Generatoren übrigens deutlich, was für eine Gelddruckmaschine die ePerso-Kartenleser mit Verkaufspreisen im dreistelligen Bereich sind bzw. welche Preisklasse die ordentlichen Lesegeräte haben dürften, wenn man sie statt der unsicheren Basisleser in großen Mengen herstellen lässt.

Zusammenfassung:
– Die iTAN ist gegen verseuchte Computer anfällig. Dies ist derzeit das größte Problem beim Onlinebanking.
– Die Abschaffung der iTAN wird insgesamt betrachtet die Sicherheit erhöhen
– Die mTAN kann das Problem lindern, aber nicht lösen.
– Die mTAN bietet in bestimmten Szenarien einen geringeren Schutz als die iTAN
– Die chipTAN hat ein sehr hohes Sicherheitsniveau, kostet aber den Nutzer Geld
– Einige Nutzer werden durch diese Änderung ein niedrigeres Sicherheitsniveau als bisher haben. Sicheres Onlinebanking kostet extra.
Die Nutzung des chipTAN-Verfahrens kann ich nur empfehlen.

Meiner Meinung nach sollten die Banken die chipTAN als Standardverfahren verwenden und genauso wie sie den Kunden ec-Karten zur Verfügung stellen, kostenlose TAN-Generatoren anbieten.

Durch die Nutzung eines separaten Geräts für die Erzeugung der TANs dürfte das chipTAN-Verfahren übrigens deutlich sicherer sein als die eID-Anwendung des ePersos – obwohl die Hardware einen Bruchteil kostet. Mit einem ähnlichen Ansatz (sichere Eingabegeräte mit Display und Tastatur im Besitz des Nutzers) ließen sich auch EC-Kartenzahlungen deutlich sicherer gestalten – da gibt es nämlich auch schon Sicherheitslücken.

Auch bei digitalen Signaturen sollte ein sicheres Signiergerät den zu signierenden Inhalt in einem simplen Fomat (z. B. Plaintext oder Bitmap) nochmal auf einem eigenen Display anzeigen und nur genau das signieren, was angezeigt wurde. Aber bis sich so etwas etabliert, dürften Jahrzehnte vergehen.

Advertisements

Bankwerbung mit Kontobewegungen

2007-09-23 3 Kommentare

Vor wenigen Tagen erhielt ich ein Werbeschreiben von der Postbank. Es war an mich persönlich adressiert, was eigentlich kein Wunder ist, da ich dort Kunde bin. Daher hätte ich das Schreiben normalerweise nach kurzer Begutachtung und Feststellung, dass das beworbene Produkt uninteressant ist, in den Papierkorb befördert – wäre mir nicht ein bestimmter Punkt darin aufgefallen: Es wird offensichtlich auf Geldeingänge auf meinem Konto hingewiesen („Glückwunsch – das erste eigene Geld ist da!“). Ich bezweifle, dass diese Formulierung in standardmäßig verschickten Werbeschreiben üblich ist (UPDATE: wohl doch, siehe unten), zumal dieses Schreiben zeitlich in Zusammenhang mit meinem ersten Gehaltseingang steht. Daraus schließe ich, dass die Postbank entweder diese Information von irgendeiner externen Quelle bekommen hat (die Verzögerung von ca. 1,5 Monaten zwischen Gehaltseingang und Werbung spricht auch dafür), oder aber die Informationen über Kontobewegungen ausgewertet und zu Werbezwecken genutzt werden. Auch wenn ich das bereits nicht besonders gut finde, könnte das rein rechtlich völlig in Ordnung sein. Wenn die Daten allerdings aus einer solchen Auswertung stammen, wundert mich eines – wie bereits erwähnt, war die Werbung für mich relativ uninteressant. Das lag daran, dass ich bereits genau das beworbene Konto habe, und dort auch das Geld eingegangen ist. Da Werbung per Post mit Druck- und Transportkosten verbunden ist, nehme ich an, dass eigentlich das System, welches die Werbung produziert, schlau genug gebaut sein sollte, dass bei Geldeingängen auf ein „Postbank Giro start direkt“-Konto keine „Nutzen Sie jetzt unser Postbank Giro start direkt“-Werbung verschickt wird. Daher habe ich den Verdacht, dass diese Daten eventuell auch auf anderen Wegen in das Werbesystem gekommen sein könnten, die Frage ist nur, woher (das würde nämlich bedeuten, dass jemand derartige Daten zu Werbezwecken vermarktet).

Ich habe mal den Datenschutzbeauftragten der Postbank angeschrieben, da die 24/7-Hotline (guter Service, dass es überhaupt sowas gibt, manchmal erledige ich solche Dinge etwas – spät) zur Nachtzeit („Guten Morgen“) wohl recht ahnungslos ist (dass sie mir nichts über die Werbung sagen konnte, ok, aber keine Ahnung, ob die Postbank einen Datenschutzbeauftragten hat ist schon ein starkes Stück!) und die Mitarbeiterin auch nicht besonders freundlich war und meine Bedenken total fehl am Platz fand – ist doch keine große Sache, ist doch völlig in Ordnung, sie sieht meine Gehaltseingänge ja auch, ich solle mich mal nicht so anstellen, ich würde in meinem Leben noch genug Werbung bekommen, wo ich nicht weiß woher die Daten sind (ehrlich gesagt, das hier ist die erste Werbung, wo etwas über meine Kontobewegungen (!) drinstand, und bei normaler Werbung habe ich bisher einen recht guten Überblick über die Datenquellen)

Und bevor sich jemand fragt, warum ich über diesen Mangel an Datenschutz meckere und eben diese Daten dann sogar öffentlich mache: Die konkrete Tatsache, dass ich Gehalt erhalten habe, bedarf meiner Meinung nach derzeit keines besonderen Schutzes, und außerdem ist es meine bewusste und gezielte Entscheidung. Es beunruhigt mich aber allgemein, wenn Kontobewegungen zu Werbezwecken ausgewertet werden.

UPDATE: Der „zentrale Datenschutz“ der Postbank hat auf meine (per unauthentifizierter E-Mail gesendete) Anfrage per Brief geantwortet (sinnvoll, damit nicht jemand an meine Daten kommt, eine Mail ist leicht gefälscht und meine Adresse dort wohl nicht hinterlegt). Es ist wohl tatsächlich so (wie Arne vermutet hat, siehe Kommentare), dass diese Briefe an alle Kunden einer vorab definierten Altersgruppe geschickt wurden. Der Postbank würde ich trotzdem nahelegen, das System so zu optimieren, dass keine Werbung für genau das Konto verschickt wird, welches der Kunde hat. Ich nehme an, fast jeder in der entsprechenden Altersgruppe für „erste Einkünfte“ wird das beworbene Produkt (kostenloses Jugendgirokonto…) haben, wenn er Postbank-Kunde ist, und andere Leute sollten die Werbung nicht bekommen. Ich werde sicherheitshalber bei Gelegenheit mal nachfragen, ob die Postbank wirklich nur an Kunden Werbung schickt – eventuell könnte dieser konkrete Datensatz nämlich auch über den Adresssammel- und Handelsdienst der Post an die Postbank gekommen sein, auch wenn ich nicht davon ausgehe.