WeBLOG
(UN)Sicherheiten der veschiedenen TAN-Verfahren zum Online-Banking (23.10.2015)
Online-Banking erfordert zurecht die Bestätigung einer Transaktion durch eine TAN (Transaktionsnummer), die unabhängig von der PIN (Persönliche Identifikationsnummer) zum Einsatz kommt. Somit soll sichergestellt werden, dass alles mit rechten Dingen zugeht.

Leider sind nicht alle TAN-Verfahren sicher genug und es könnte auf dem Bank-Kontoauszug u.U. so aussehen wir in der linken Grafik dargestellt, indem beispielsweise eine Überweisung bzgl. des Betrages und des Empfängers manipuliert wurde (und plötzlich fehlen EUR 10.000,--...). Nach den jüngsten Betrugsfällen um die mTAN, wurde nun auch die App-TAN demontiert. Wir beschreiben deshalb nachstehend die unterschiedlichen Verfahren mit ihren Vor- und Nachteilen sowie Sicherheitsrisiken:
  • iTAN-Verfahren
    Es liegt eine Papier-Liste mit TANs vor. Bei jeder Transaktion wird eine bestimmte TAN von der Bank abgefragt. Dieses Verfahren ist veraltet und gilt zudem als unsicher (Listen können auf dem Postwege abgefangen und erneut versiegelt werden). Bei Speicherung der TANs auf dem Rechner gilt dieses Verfahren als höchst unsicher!

  • Chip-TAN-Verfahren
    Es wird auf zwei unabhängige Geräte gesetzt. Zum einen der Rechner mit der Eingabe-Oberfläche und zum anderen entweder ein TAN-Generator beim optischen Verfahren, der eine TAN bei Bedarf unter Zuhilfenahme der EC-Bank-Karte und des Scan eines Strichcodes mit den Transaktionsdaten zur Verfügung stellt. Oder zum anderen über eine Chip-Karte, die über ein separates Lesegerät die TAN zur Verfügung stellt. In beiden Fällen muss die TAN abgelesen und und in das Transaktionsfeld eingetippt werden. Das Chip-TAN-Verfahren gilt als sicher! Die Bequemlichkeit leidet allerdings dann, wenn man unterwegs auf das Online-Banking angewiesen ist, da der TAN-Generator mit Bank-Karte oder die Chipkarte mit Lesegerät mitgeführt werden müssen.

  • mTAN- oder SMS-TAN-Verfahren
    Es wird ähnlich zum Chip-TAN-Verfahren auf zwei unterschiedliche Übertragungswege gesetzt aber es kommt dabei kein TAN-Generator und keine Chip-Karte zum Einsatz (also nicht zwingend ein zweites Gerät), sondern die Bank schickt die TAN über SMS an das Mobilfunkgerät. Die Banken halten dieses Verfahren für sicher, ist es aber mitnichten. Denn Betrüger können sich eine Zweit-SIM-Karte ergaunern, über die dann die TAN abgefangen werden kann. Erfolgt die komplette Transaktion (Zusendung der SMS-TAN und die Abwicklung) über ein Gerät (das Smartphone oder Tablet mit mobiler Anbindung), wäre das Onlinebanking auf einem infizierten Gerät auch ohne erschlichene Zweit-SIM-Karte gefährdet (Nachtrag: siehe Kommentar weiter unten).
    Fazit: Zwar bequem aber höchst unsicher auf einem Gerät. Bei Verwendung von zwei Geräten (SMS-TAN auf Zweitgerät) besteht immer noch ein beträchtliches Restrisiko!

  • App-TAN- oder Push-TAN-Verfahren
    Im Gegensatz zum Chip-TAN- (zwei Geräte erforderlich) und mTAN-Verfahren (hier zwei Geräte möglich) ist nur EIN Gerät im Einsatz, nämlich das Smartphone, Tablet oder der Desktop-Rechner bzw. das Notebook. Der Anwender nutzt dabei eine Online-Banking-App UND eine zweite App, die die TAN bei der Bank verschlüsselt anfordert und entschlüsselt anzeigt. I.d.R. genügt ein Klick, um die TAN in die Transaktion komfortabel zu übernehmen. Der gesunde Menschenverstand sollte einem dieses Verfahren jedoch verbieten, da der komplette Vorgang auf einem Gerät stattfindet. Ist dieses Gerät trojanisiert oder anderweitig kompromittiert bzw. manipuliert, ist die Bank-Transaktion gefährdet.
    Vincent Haupert und Tilo Müller von der UNI Erlangen zeigen dies anhand eines konkreten Beispiels.
    Fazit: Bequem aber höchst unsicher!

  • Photo-TAN-Verfahren
    Nach der Eingabe einer Transaktion erscheint auf dem Bildschirm ein kryptographisches, buntes, verpixeltes Bild (ähnlich des QR-Codes), welches mit der Smartphone-Kamera über eine App eingelesen wird und die TAN ausgibt (das Bild enthält die Auftragsnummer und TAN!). Die TAN wird dann herkömmlich in das Transaktions-Interface eingegeben. Sicherheitstechnisch unterscheidet sich diese Methode nicht von einer gespeicherten Ziffernfolge auf einer Liste (Speicherung von iTANs aus einer Papierliste). Der Angreifer hat lediglich mehr Aufwand beim Rekonstruieren des Bild-Codes und muss die Arbeit der Auslese-Kamera-App übernehmen. D.h. es handelt sich um kein wirkliches Zwei-Wege-Prinzip. Ein vorgegaukelte Sicherheit, welche im trojanisierten Fall erschreckend leicht umgangen werden kann...Hirn 2.0 sollte einem diese Methodik verbieten.
    Fazit: Nicht einmal bequem und höchst unsicher!



Rangliste der TAN-Verfahren:

  • Somit sollte klar sein: Sicherheit ist leider nicht bequem...Nur das Chip-TAN-Verfahren bietet den bestmöglichen Schutz aufgrund von echtem und zwingendem Zwei-Geräte/Wege-Prinzip (Platz1)!
  • Danach (Platz 2) rangiert das mTAN-Verfahren mit nicht unbeträchtlichen Restrisiken. Der einzige Schutz sind die Mobilfunkdaten, sofern über zwei Geräte gearbeitet wird. Verwendet der Leichtsinnige auch noch das mobile Endgerät für die komplette Transaktion, wäre die mTAN auf dem letzten Platz.
  • Platz 3 erhält die antiquierte iTAN auf der Papierliste (sozusagen das zweite "Gerät"), sofern die Liste nicht elektronisch gespeichert wird, ansonsten letzter Platz.
  • Auf Platz 4 findet sich die Push-TAN (App-TAN), weil sicherheitstechnisch sehr fragwürdig (es fehlt das Zwei-Geräte/Wege-Prinzip) und der Beweis von eklatanten konzeptionellen Schwächen vorliegt.

  • Platz 5 und somit am Ende der Liste rangiert die Photo-TAN. Sicherheitstechnisch nahezu gleichzusetzen mit einer gespeicherten iTAN-Liste (alles auf einem Gerät vorhanden). Der einzige Unterschied besteht in der Rekonstruktion des Bild-Codes, um an die gespeicherte TAN heranzukommen. Die Auslese-Kamera-App auf dem zweiten Gerät übernimmt hier lediglich eine Alibi-Funktion der kreativen Banken...und es fehlt das echte Zwei-Geräte/Wege-Prinzip.

    Die Photo-TAN wäre nur dann mit der Sicherheit einer mTAN gleichzusetzen bzw. einen Rang besser, sofern das Bild nur die Transaktionsdaten für die Generierung einer TAN über die App selbst dienen und nicht selbst die TAN beinhaltet würde. Aber auch in diesem Fall wäre diese Methodik dem Chip-TAN-Verfahren unterlegen, weil prinzipiell auch die Transaktion über dasselbe Gerät erfolgen könnte.

 



Da es beim Online-Banking um Geld geht, sind Angreifer sehr erfindungsreich, denn jeglicher Aufwand lohnt sich hier direkt und unmittelbar ohne Umwege. Deshalb muss man der Sicherheit höchste Beachtung schenken und Unbequemlichkeiten in Kauf nehmen (Nachtrag 25.10.2015: siehe recherchierte Missbrauchszahlen in diesem Kommentar).

Seit 2005 haben wir eine Seite mit einigen Tipps zum Online-Banking bereitgestellt. Die wichtigsten Punkte erscheinen uns über das verwendete TAN-Verfahren hinaus, eine spezialisierte und zertifizierte HBCI-Banking-Software (z.B. StarMoney) zu verwenden und KEINESFALLS den Web-Browser für das Online-Banking einzusetzen. Ferner ist das Smartphone u. E. gänzlich ungeeignet, um Bankgeschäfte abzuwickeln.

Unabhängig von den themenbezogenen Tipps, muss der verwendete Rechner (Desktop-Rechner, Notebook, Smartphone, Tablet) völlig sauber sein. Treffen Sie deshalb alle grundsätzlichen Vorsichtsmassnahmen wie hier beschrieben.

Last but not least - Tipp für "Paranoiker":
Wer absolut sicher gehen möchte, setze ein eigens für das Online-Banking (d.h. kein eMail-Verkehr, keine sonstigen Internetkontakte!) verwendete Betriebssystem seiner Wahl auf  und fertige davon ein Image an und kopiere dasselbige an einen sicheren Ort. Einem internen, lokalen Angriff (Veränderung des ursprünglichen Images) kann man vorbeugen, indem das OS vollverschlüsselt wird, evtl. auch als verstecktes Betriebssystem.

Das OS wird dann entweder per Virtual Machine oder von einem USB-Stick oder von einer eigenen Partition gestartet, hernach die Online-Geschäfte im Chip-TAN-Verfahren abgewickelt und wieder heruntergefahren.

Abschliessend wird das anfänglich erstellte - auf jeden Fall saubere -  Image wiederhergestellt, indem das - nun durch die Sitzung veränderte - Image durch die ursprüngliche Kopie überschrieben/ersetzt wird. Somit ist sichergestellt, dass eine evtl. Infiltrierung durch einen Trojaner o.ä. während der Sitzung wieder eliminiert ist. Man startet so IMMER das jungfräuliche Betriebssystem für die Bankgeschäfte :-)
Kommentare (36) zu diesem BLOG-Eintrag
Sie können einen neuen Kommentar-Thread beginnen (siehe Button) oder auf einen bestehenden Kommentar antworten (Grafik "antworten" unten links zu einem Kommentar anklicken). In letzterem Fall wird ein "@{name}" (auf wen die Antwort erfolgte) im Kommentar automatisch vorangestellt.


Schönherr (24.10.2015 | 06:18 Uhr)

Vielleicht eine blöde Frage aber wie kommen Betrüger an eine zweite SIM-Karte? Das ist doch nicht so einfach.    

Thomas Murr | Bauser-Enterprises IT (24.10.2015 | 12:07 Uhr) https://www.bauser-enterprises.com
kundenservice@bauser-enterprises.com
@Schönherr
Für die Beantragung einer Zweit-SIM-Karte muss man sich selbstverständlich legitimieren. D.h. man benötigt zumindest die Kunden-Nr. des Mobilfunkanbieters.

Der Angreifer kommt an die Daten, indem er den Rechner des Opfers infiltriert und die Daten (Online-Banking-Zugang und Mobilfunkdaten) ausspäht. Entweder durch einen grossflächigen Angriff ins Blaue oder einen gezielten Angriff. Auch wäre der Hack des eMail-Accounts bei Zustellung von Rechnungen per eMail schon ausreichend, um an die Mobilfunk-Kunden-Nr. zu gelangen (deshalb sind sichere Passwörter um so wichtiger! Siehe auch Passwort-Check).

Dann bestellt der Angreifer eine Zweit-SIM-Karte mit der GLEICHEN Mobilfunk-Nr., leitet die Short-Messages dorthin um und schon landet bei der nächsten Transaktion die mTAN beim Cracker. Das Opfer bemerkt hiervon zunächst NICHTS, sondern erst bei Durchsicht des Kontoauszuges...    

Troll (24.10.2015 | 14:20 Uhr)

@Thomas Murr | Bauser-Enterprises IT
Die Telekom hat reagiert und verlangt nun für die Ausstellung einer neuen Sim-Karte den Personalausweis.    

moneymoney (24.10.2015 | 09:53 Uhr)

der beitrag ist gut aber ich muß da was berichtigen: für das mTAN-verfahren braucht man auch zwei geräte. hier wird aber behauptet daß das nicht so sei.    

Thomas Murr | Bauser-Enterprises IT (24.10.2015 | 11:27 Uhr) https://www.bauser-enterprises.com
kundenservice@bauser-enterprises.com
@moneymoney
Ich muss Dir als Autor des Beitrags widersprechen.

Wendet man das mTAN-Verfahren richtig an, so wie es die Banken auch haben wollen, dann kommen zwei Geräte zum Einsatz. Aber das ist nicht der Fall, wenn man wie folgt verfährt (wie man es nicht machen sollte!):

Öffnet man auf dem Smartphone, welches mit der SIM-Karte bestückt ist, die für das mTAN-Verfahren registriert ist (Mobilfunk-Nr.), die Online-Banking-Homepage der Bank mit dem mobilen Web-Browser und veranlasst eine Überweisung, so wird die Short-Message per SMS auf das gleiche Gerät geschickt. D.h. das mTAN-Verfahren setzt nur auf den zweiten Übertragungsweg aber nicht zwingend auf ein zweites Gerät!

In diesem Fall benötigt der Angreifer keine ergaunerte Zweit-SIM-Karte, sondern er muss das Smartphone "nur" infiltriert, trojanisiert haben. Prinzipiell kann er die Absendung so umleiten (man-in-the-middle) oder die Transaktionsdaten bereits auf dem Smartphone selbst manipulieren, d.h. Zahlungsempfänger und Zahlungsbetrag umbiegen.

Zweites Szenario:
Das Smartphone wird gestohlen. Womöglich sind die Zugangsdaten für das Login auch noch im Browser gespeichert (Menschen sind bequem). Dann kann bis zum vereinbarten Tages-Limit abgeräumt werden. Und das ganz ohne technische Kenntnisse und Raffinesse.

Ich bleibe dabei: Das einzig sichere Verfahren ist die Chip-TAN! Das Problem der mTAN ist offensichtlich, denn das einzigste Geheimnis des Online-Banking-Kunden sind die Mobiltelefondaten. Von App-TAN (Push-TAN) rate ich nachdrücklich ab, bei dieser Methode sind die Sicherheitslücken doch hoffentlich jedem klar! Die Photo-TAN ist an Sicherheits-Vorgaukelei nicht zu übertreffen, eine wahre Mogelpackung (da ist die iTAN über Papierliste noch die bessere Variante).    

Troll (24.10.2015 | 14:27 Uhr)

Siehe Beitrag der SZ zur SMS-Tan:
http://www.sueddeutsche.de/geld/online-banking-betrugsserie-beim-online-banking-1.2700184

Daß jetzt auch die Push-TAN erledigt ist, wundert mich nicht. Am sichersten ist überhaupt kein Online-Banking zu betreiben.    

Thomas Murr | Bauser-Enterprises IT (24.10.2015 | 14:33 Uhr) https://www.bauser-enterprises.com
kundenservice@bauser-enterprises.com
@Troll
Korrekt aber Online-Banking ist heutzutage nicht mehr wegzudenken. Unter Verwendung von Hirn 2.0 (die beste Antivirenlösung!) und des Chip-TAN-Verfahrens und Beachtung gewisser grundsätzlicher Vorsichtsmassnahmen, was den verwendeten Rechner betrifft, halte ich das Online-Banking für ziemlich, wenn auch nicht 100-prozentig, sicher.

ALLES, was mit Computern zu tun hat, ist nicht gänzlich abzusichern, ein gewisses Restrisiko bleibt immer.    

goldnugget (24.10.2015 | 15:13 Uhr)

wer benutzt sein smartphone für bankgeschäfte? gibt es solche leute? wenn ja, selbst schuld!    

Troll (24.10.2015 | 19:45 Uhr)

@goldnugget
Ich bin mir sicher, daß es mittlerweile mehr Leute gibt, die das Smartphone dafür verwenden als andere. Deshalb liegt der Focus der Hacker genau darauf, weil das lohnend und lukrativ ist. Der Schaden wird von den Banken nicht näher beziffert, die wollen das nicht publik haben. Würde dem Image schaden.    

bogi (24.10.2015 | 17:11 Uhr)

hallo thomas,
danke für den newsletter und die infos. sehr informativ.

gruß von bogi    

kokolores (24.10.2015 | 17:26 Uhr)

bis dato war ich der meinung, daß die photo-tan sicher sei. so behauptet das zumindest meine bank. daß die nun hier auf dem letzten platz landet, macht mich fertig. ich werde auf das chip-tan umstellen.    

paranoiker (24.10.2015 | 18:07 Uhr)

für den tipp an die paranoiker bin ich dankbar. genauso werde ich das jetzt mit der verlinkten anleitung angehen und dazu die total-verschlüsselung des betriebssystems vornehmen.
das kann man auch mit seinem normalen betriebssystem machen, oder ?    

Thomas Murr | Bauser-Enterprises IT (24.10.2015 | 18:13 Uhr) https://www.bauser-enterprises.com
kundenservice@bauser-enterprises.com
@paranoiker
Na klar geht das auch mit dem alltäglich verwendeten OS. Ich empfehle die komplette Anleitung zu TrueCrypt von Anfang an zu lesen, um die Arbeitsweisen zu verstehen. Allerdings funktioniert TrueCrypt nicht mit Windows 8/8.1 oder 10, sondern nur mit Windows 7 oder früher (sofern überhaupt Windows zum Einsatz kommt), da es keine echte Folgeversionen mehr seit Version 7.1a mehr gibt. Siehe dazu diese Blogs und DOWNLOAD von Version 7.1a.

Die beschriebene Methode zum Online-Banking setzt keine Verschlüsselung voraus. Hierbei geht es letztendlich nur um die Möglichkeit des Image-Resets, um IMMER ein jungfräuliches OS für die Banking-Transaktionen zur Verfügung zu haben. Die Voll-Verschlüsselung ist lediglich ein Schutz vor lokalem, internem Missbrauch.    

paranoiker (24.10.2015 | 19:34 Uhr)

@Thomas Murr | Bauser-Enterprises IT
danke für die infos und den downloadlink. habe truecrypt von eurer homepage heruntergeladen und werde mich jetzt eingehend damit beschäftigen. ich hoffe mich bei fragen an sie wenden zu können. verwende windows 7.    

paranoiker (26.10.2015 | 10:39 Uhr)

@Thomas Murr | Bauser-Enterprises IT
wollte ihnen eine rückmeldung geben. die installation von trucrypt und erstellung eines vollverschlüsselten windows 7 hat problemlos funktioniert. ihre anleitung dazu war sehr hilfreich und ich werde die seiten dazu weiterempfehlen.
habe sogar großen spaß dabei gehabt, weil ihre anleitung so was von witzig geschrieben ist.

danke auch für die anregung!    

zornig (24.10.2015 | 23:44 Uhr)

überall nur noch hacks. sei es das auto, die bank oder die email. der staat spioniert einen aus und die anderen auch. man muß sich überlegen, ob die gesellschaft so weitermachen will und soll.

wann kommt die gegenbewegung und wie sieht sie aus? entwickelt sich die (digitale) welt so weiter, wird sie untergehen. davon bin ich überzeugt.    

Arno S. (25.10.2015 | 01:52 Uhr)

Hallo Herr Murr,

vielen Dank für den Newsletter-Brief mit den Informationen. Ich nutze bisher die SMS-Tan und werde das bei meiner Bank umstellen und einen Tan-Generator beantragen. Der Artikel hat mich überzeugt.    

Chris (25.10.2015 | 06:25 Uhr)

danke für die info!
bin mit meinem banking sehr, sehr sicher, weil ich bisher kein online-banking betrieben habe.    

Kaiman (25.10.2015 | 09:04 Uhr)

weiter so. lese ihre kritischen beiträge immer gerne.    

Mr. X (25.10.2015 | 10:01 Uhr)

Das ist doch alles Panikmache. Was passiert denn real beim Online-Banking, doch fast gar nichts. Mir ist in meinem ganzen Bekannten und Freundeskreis niemand bekannt, dem das Konto jemals abgeräumt wurde. Ich bin also ganz entspannt und verwende weiterhin die m-Tan auf meinem iPhone.    

Thomas Murr | Bauser-Enterprises IT (25.10.2015 | 11:08 Uhr) https://www.bauser-enterprises.com
kundenservice@bauser-enterprises.com
@Mr. X
Gut, dass es weder Dich noch Deine Freunde und Bekannte bisher betroffen hat! D.h. aber nicht, dass deshalb nichts passiert.

Das Bundeskriminalamt geht davon aus, dass nur etwa 10 % der Betrugsfälle überhaupt zur Anzeige kommen. D.h. man muss den amtlich ermittelten Schaden mit elf multiplizieren, um den wirklichen Schaden ungefähr vor Augen zu haben. Die Dunkelziffer ist somit sehr hoch. Auch sind die Banken nicht gerade auskunftsfreudig, was das Thema betrifft.

Im Jahre 2014 betrug der offizielle Schaden pro Betrugsfall zum Online-Banking rund EUR 4.000,--. Bei 6.975 gemeldeten Fällen wären das 27,9 Millionen an offiziellem Schaden. Nachzulesen ist das im Bundeslagebild Cybercrime 2014 des BKA. Multipliziert mit 11 ergäbe das einen ungefähren realen Schaden von 306,9 Millionen Euro (76.725 Fälle). Zu 2015 habe ich keine Zahlen gefunden.

Im Jahre 2013 hat eine Bande von acht Kriminellen innerhalb eines halben Jahres 1 Million Euro von Konten der Postbank abgeräumt. Alle dort betroffenen Kunden hatten neben der Bank eines gemeinsam: Sie verwendeten das vermeintlich sichere SMS-TAN-Verfahren (mTAN) und hatten mind. 50.000 Euro auf Giro- oder Festgeldkonten.

Die SZ berichtete, dass allein in den letzten vergangenen Wochen 1 Million Schaden durch Missbrauch der mTAN entstanden ist.

Fazit: Panik ist nicht angebracht aber es ist eine Überlegung wert, auf das bessere Chip-TAN-Verfahren zu wechseln. Warum ein unnötiges Risiko eingehen?    

Lukas (25.10.2015 | 12:01 Uhr)

@Thomas Murr | Bauser-Enterprises IT
...und dann kommt da noch das Spinning dazu. Sicherlich noch mal ein paar Millionen Schaden    

Thomas Murr | Bauser-Enterprises IT (25.10.2015 | 12:35 Uhr)
kundenservice@bauser-enterprises.com
@Lukas
Du meintest sicherlich "SKIMMING" (Kredit- und Bankkarten-Datenklau mittels Auslesen des Magnetstreifens) und nicht "Spinning". Die Zahlen sind hier rückläufig aber immer noch nicht zu verachten. Der Schaden liegt so rund bei acht Millionen Euro im Jahr in Deutschland. 2009 war das Rekordjahr mit 2.058 Manipulationen an Geldautomaten in der BRD. Aus 2015 konnte ich keine Daten recherchieren.    

bitliker (25.10.2015 | 11:47 Uhr)

@Mr. X
an Mr. X: erst nachdenken, dann schreiben!
die recherchierten zahlen im vorherigen posting belegen den mißbrauch doch eindeutig. aber du bist ja entspannt. hoffentlich auch noch in zukunft.    

afaik (26.10.2015 | 08:00 Uhr)

die berichterstattung ist nicht seriös. der hack der pushTAN kann nur auf einem gerooteten sp erfolgreich verlaufen. wer also sein sp rootet und darauf onlinebanking betreibt ist selbst schuld. also macht mal nicht so viel wind hier.    

Thomas Murr | Bauser-Enterprises IT (26.10.2015 | 09:12 Uhr)
kundenservice@bauser-enterprises.com
@afaik
Muss ausdrücklich widersprechen!
Die Forscher Vincent Haupert und Tilo Müller der UNI Erlangen stellten klar, dass das Smartphone keineswegs gerootet sein muss, wenngleich sie für ihre Demonstration ein Smartphone selbst gerootet haben.

Es reicht nämlich eine Sicherheitslücke im Betriebssystem oder in irgendeiner der installierten Apps, über die per Malware im Vorfeld Root-Rechte erlangt werden können. So funktionieren übrigens sehr viele, wenn nicht sogar die meisten, Angriffe. Siehe z.B. die Android Stagefright-Lücke und weitere Lücke im Android-Mediaserver.

Die Analyse hat nach wie vor Bestand! Ferner ist die Reduktion der Abwicklung auf ein Gerät grundsätzlich bedenklich und stellt doch offensichtlich ein Sicherheitsrisiko dar.    

afaik (26.10.2015 | 09:35 Uhr)

@Thomas Murr | Bauser-Enterprises IT
deshalb nimmt man ein iPhone.    

Thomas Murr | Bauser-Enterprises IT (26.10.2015 | 09:45 Uhr)
kundenservice@bauser-enterprises.com
@afaik
Und das ist jetzt seriös? Siehe Security Vulnerabilities des iOS.

Ich möchte hier keine Diskussion über die verschiedenen Architekturen von Betriebssystemen führen. Es geht in diesem Beitrag um die Sicherheit der unterschiedlichen TAN-Verfahren zum Online-Banking.

Der Hack der App-TAN (pushTAN) zeigt die konzeptionellen Schwächen dieses Verfahrens auf. Kriminelle werden ihrer Kreativität freien Lauf lassen, wenn es darum geht, an das Geld anderer Leute zu kommen. Darauf kann man sich verlassen! Warten wir es also ab, was die Zukunft bringen wird. Erfahrungsgemäss wird es nicht lange dauern, bis die ersten auf diesen Zug aufspringen...und das erste Exploit in freier Wildbahn gesichtet wird (sicherlich gleich plattformübergreifend).    

Troll (26.10.2015 | 10:12 Uhr)

@Thomas Murr | Bauser-Enterprises IT
GENAUSO WIRD ES KOMMEN!
Machen wir uns nichts vor. Wo Geld "zu verdienen" ist wird nachhaltig daran gearbeitet. Die kriminellen Hacker sind bestimt fieberhaft am Aufbau der passenden Software.    

afaik (26.10.2015 | 10:17 Uhr)

@Troll
troll und thomas murr,
schön, daß ihr euch so gut versteht.    

Troll (26.10.2015 | 10:19 Uhr)

@afaik
Schon wieder ein so seriöser Beitrag.    

h. schober (26.10.2015 | 13:28 Uhr)

Herr Murr, danke für den Newsletter.
Ich habe soeben einen TAN-Generator bei der Sparkasse bestellt und mich für das Chip-Tan umgemeldet. Bisher habe ich die SMS-Tan verwendet.    

muppets (26.10.2015 | 17:04 Uhr)

sehr guter beitrag!

das kennen wir doch alle:
atomkraft ist sicher - bis die japaner kamen...
unsere daten sind sicher - bis herr snowden kam...
sms-tan ist sicher - bis die konten abgeräumt wurden...
app-basiertes onlinebanking ist sicher - bis es nun gecrackt wurde, das abräumen kommt noch.    

JumpinJackFlash (29.10.2015 | 08:36 Uhr)

ich verwende die gute alte tan-liste auf papier und berwahre die sicher auf. selbst bei diebstahl braucht man immer noch meinen anmeldenamen und meine pin. ich bin deshalb der meinung, daß der platz 3 nicht gerechtfertigt ist. platz 1 oder 2 sollten drin sein.

für die krititker: kein bankgeschäft ist so eilig, daß man es unbedingt von unterwegs aus erledigen müßte oder sind z.b. die s-bahnen voll mit leuten, die gerade online-banking machen? und wenn es wirklich von unterwegs sein muß (z.B. im urlaub), nimmt man die liste einfach mit.

gut an dem artikel finde ich daß ein banking-programm empfohlen wird. der browser ist oft überfrachtet mit unsicheren plugins und ist deshalb auch nicht das instrument meiner wahl. die firewallregeln, wie hier empfohlen, werde ich noch nachholen müßen. aber woher kriege ich die ipadressen der banken?    

Thomas Murr | Bauser-Enterprises IT (29.10.2015 | 10:43 Uhr) https://www.bauser-enterprises.com
kundenservice@bauser-enterprises.com
@JumpinJackFlash
Die IP-Adress-Bereiche der verwendeten Banken müssen recherchiert werden. Entweder über ein Tool wie Wireshark die aktuellen Verbindungen einsehen und danach über WhoIs-Abfragen die Bereiche ermitteln. Oder die Bank selbst fragen (IT-Abteilung). Alternativ über den Hostname (Kommunikationsadresse) arbeiten.

Dann applikations- und verbindungsbasierte Regeln in der verwendeten Firewall festlegen: Dein Banking-Programm (irgendwas.exe unter Windows oder .sh/.rpm/.run unter Linux) darf sich remoteseitig nur mit dem IP-Adressbereich oder Hostname der Bank auf bestimmten Ports (z.B. HBCI über Remote-TCP-Port 3000, DNS-Nameserver Remote-TCP 53, https Remote-TCP 443) verbinden. Lokale Ports dann zulässig für Local-TCP-Bereich 1024-65535, d.h. unbedingt überhalb der sog. well-known-Ports (TCP/UDP 1-1023).

Die Firewall wird aber nicht vor dem Umbiegen von Transaktionsdaten im trojanisierten Fall schützen, sondern verhindert lediglich den Verbindungsaufbau mit nicht autorisierten Servern.    

JumpinJackFlash (29.10.2015 | 17:51 Uhr)

@Thomas Murr | Bauser-Enterprises IT
hallo herr murr,
danke für die infos. habe es hinbekommen. allerdings nur mit dem hostname. irgendwie war der ip-adressenbereich nicht richtig oder vollständig.
mit den firewall-regeln fühle ich mich jetzt sicherer. nochmals tnx.