WeBLOG
(UN)Sicherheiten der veschiedenen TAN-Verfahren zum Online-Banking (23.10.2015)
Online-Banking erfordert zurecht die Bestätigung einer Transaktion durch eine TAN (Transaktionsnummer), die unabhängig von der PIN (Persönliche Identifikationsnummer) zum Einsatz kommt. Somit soll sichergestellt werden, dass alles mit rechten Dingen zugeht.

Leider sind nicht alle TAN-Verfahren sicher genug und es könnte auf dem Bank-Kontoauszug u.U. so aussehen wir in der linken Grafik dargestellt, indem beispielsweise eine Überweisung bzgl. des Betrages und des Empfängers manipuliert wurde (und plötzlich fehlen EUR 10.000,--...). Nach den jüngsten Betrugsfällen um die mTAN, wurde nun auch die App-TAN demontiert. Wir beschreiben deshalb nachstehend die unterschiedlichen Verfahren mit ihren Vor- und Nachteilen sowie Sicherheitsrisiken:
  • iTAN-Verfahren
    Es liegt eine Papier-Liste mit TANs vor. Bei jeder Transaktion wird eine bestimmte TAN von der Bank abgefragt. Dieses Verfahren ist veraltet und gilt zudem als unsicher (Listen können auf dem Postwege abgefangen und erneut versiegelt werden). Bei Speicherung der TANs auf dem Rechner gilt dieses Verfahren als höchst unsicher!

  • Chip-TAN-Verfahren
    Es wird auf zwei unabhängige Geräte gesetzt. Zum einen der Rechner mit der Eingabe-Oberfläche und zum anderen entweder ein TAN-Generator beim optischen Verfahren, der eine TAN bei Bedarf unter Zuhilfenahme der EC-Bank-Karte und des Scan eines Strichcodes mit den Transaktionsdaten zur Verfügung stellt. Oder zum anderen über eine Chip-Karte, die über ein separates Lesegerät die TAN zur Verfügung stellt. In beiden Fällen muss die TAN abgelesen und und in das Transaktionsfeld eingetippt werden. Das Chip-TAN-Verfahren gilt als sicher! Die Bequemlichkeit leidet allerdings dann, wenn man unterwegs auf das Online-Banking angewiesen ist, da der TAN-Generator mit Bank-Karte oder die Chipkarte mit Lesegerät mitgeführt werden müssen.

  • mTAN- oder SMS-TAN-Verfahren
    Es wird ähnlich zum Chip-TAN-Verfahren auf zwei unterschiedliche Übertragungswege gesetzt aber es kommt dabei kein TAN-Generator und keine Chip-Karte zum Einsatz (also nicht zwingend ein zweites Gerät), sondern die Bank schickt die TAN über SMS an das Mobilfunkgerät. Die Banken halten dieses Verfahren für sicher, ist es aber mitnichten. Denn Betrüger können sich eine Zweit-SIM-Karte ergaunern, über die dann die TAN abgefangen werden kann. Erfolgt die komplette Transaktion (Zusendung der SMS-TAN und die Abwicklung) über ein Gerät (das Smartphone oder Tablet mit mobiler Anbindung), wäre das Onlinebanking auf einem infizierten Gerät auch ohne erschlichene Zweit-SIM-Karte gefährdet (Nachtrag: siehe Kommentar weiter unten).
    Fazit: Zwar bequem aber höchst unsicher auf einem Gerät. Bei Verwendung von zwei Geräten (SMS-TAN auf Zweitgerät) besteht immer noch ein beträchtliches Restrisiko!

  • App-TAN- oder Push-TAN-Verfahren
    Im Gegensatz zum Chip-TAN- (zwei Geräte erforderlich) und mTAN-Verfahren (hier zwei Geräte möglich) ist nur EIN Gerät im Einsatz, nämlich das Smartphone, Tablet oder der Desktop-Rechner bzw. das Notebook. Der Anwender nutzt dabei eine Online-Banking-App UND eine zweite App, die die TAN bei der Bank verschlüsselt anfordert und entschlüsselt anzeigt. I.d.R. genügt ein Klick, um die TAN in die Transaktion komfortabel zu übernehmen. Der gesunde Menschenverstand sollte einem dieses Verfahren jedoch verbieten, da der komplette Vorgang auf einem Gerät stattfindet. Ist dieses Gerät trojanisiert oder anderweitig kompromittiert bzw. manipuliert, ist die Bank-Transaktion gefährdet.
    Vincent Haupert und Tilo Müller von der UNI Erlangen zeigen dies anhand eines konkreten Beispiels.
    Fazit: Bequem aber höchst unsicher!

  • Photo-TAN-Verfahren
    Nach der Eingabe einer Transaktion erscheint auf dem Bildschirm ein kryptographisches, buntes, verpixeltes Bild (ähnlich des QR-Codes), welches mit der Smartphone-Kamera über eine App eingelesen wird und die TAN ausgibt (das Bild enthält die Auftragsnummer und TAN!). Die TAN wird dann herkömmlich in das Transaktions-Interface eingegeben. Sicherheitstechnisch unterscheidet sich diese Methode nicht von einer gespeicherten Ziffernfolge auf einer Liste (Speicherung von iTANs aus einer Papierliste). Der Angreifer hat lediglich mehr Aufwand beim Rekonstruieren des Bild-Codes und muss die Arbeit der Auslese-Kamera-App übernehmen. D.h. es handelt sich um kein wirkliches Zwei-Wege-Prinzip. Ein vorgegaukelte Sicherheit, welche im trojanisierten Fall erschreckend leicht umgangen werden kann...Hirn 2.0 sollte einem diese Methodik verbieten.
    Fazit: Nicht einmal bequem und höchst unsicher!



Rangliste der TAN-Verfahren:

  • Somit sollte klar sein: Sicherheit ist leider nicht bequem...Nur das Chip-TAN-Verfahren bietet den bestmöglichen Schutz aufgrund von echtem und zwingendem Zwei-Geräte/Wege-Prinzip (Platz1)!
  • Danach (Platz 2) rangiert das mTAN-Verfahren mit nicht unbeträchtlichen Restrisiken. Der einzige Schutz sind die Mobilfunkdaten, sofern über zwei Geräte gearbeitet wird. Verwendet der Leichtsinnige auch noch das mobile Endgerät für die komplette Transaktion, wäre die mTAN auf dem letzten Platz.
  • Platz 3 erhält die antiquierte iTAN auf der Papierliste (sozusagen das zweite "Gerät"), sofern die Liste nicht elektronisch gespeichert wird, ansonsten letzter Platz.
  • Auf Platz 4 findet sich die Push-TAN (App-TAN), weil sicherheitstechnisch sehr fragwürdig (es fehlt das Zwei-Geräte/Wege-Prinzip) und der Beweis von eklatanten konzeptionellen Schwächen vorliegt.

  • Platz 5 und somit am Ende der Liste rangiert die Photo-TAN. Sicherheitstechnisch nahezu gleichzusetzen mit einer gespeicherten iTAN-Liste (alles auf einem Gerät vorhanden). Der einzige Unterschied besteht in der Rekonstruktion des Bild-Codes, um an die gespeicherte TAN heranzukommen. Die Auslese-Kamera-App auf dem zweiten Gerät übernimmt hier lediglich eine Alibi-Funktion der kreativen Banken...und es fehlt das echte Zwei-Geräte/Wege-Prinzip.

    Die Photo-TAN wäre nur dann mit der Sicherheit einer mTAN gleichzusetzen bzw. einen Rang besser, sofern das Bild nur die Transaktionsdaten für die Generierung einer TAN über die App selbst dienen und nicht selbst die TAN beinhaltet würde. Aber auch in diesem Fall wäre diese Methodik dem Chip-TAN-Verfahren unterlegen, weil prinzipiell auch die Transaktion über dasselbe Gerät erfolgen könnte.

 



Da es beim Online-Banking um Geld geht, sind Angreifer sehr erfindungsreich, denn jeglicher Aufwand lohnt sich hier direkt und unmittelbar ohne Umwege. Deshalb muss man der Sicherheit höchste Beachtung schenken und Unbequemlichkeiten in Kauf nehmen (Nachtrag 25.10.2015: siehe recherchierte Missbrauchszahlen in diesem Kommentar).

Seit 2005 haben wir eine Seite mit einigen Tipps zum Online-Banking bereitgestellt. Die wichtigsten Punkte erscheinen uns über das verwendete TAN-Verfahren hinaus, eine spezialisierte und zertifizierte HBCI-Banking-Software (z.B. StarMoney) zu verwenden und KEINESFALLS den Web-Browser für das Online-Banking einzusetzen. Ferner ist das Smartphone u. E. gänzlich ungeeignet, um Bankgeschäfte abzuwickeln.

Unabhängig von den themenbezogenen Tipps, muss der verwendete Rechner (Desktop-Rechner, Notebook, Smartphone, Tablet) völlig sauber sein. Treffen Sie deshalb alle grundsätzlichen Vorsichtsmassnahmen wie hier beschrieben.

Last but not least - Tipp für "Paranoiker":
Wer absolut sicher gehen möchte, setze ein eigens für das Online-Banking (d.h. kein eMail-Verkehr, keine sonstigen Internetkontakte!) verwendete Betriebssystem seiner Wahl auf  und fertige davon ein Image an und kopiere dasselbige an einen sicheren Ort. Einem internen, lokalen Angriff (Veränderung des ursprünglichen Images) kann man vorbeugen, indem das OS vollverschlüsselt wird, evtl. auch als verstecktes Betriebssystem.

Das OS wird dann entweder per Virtual Machine oder von einem USB-Stick oder von einer eigenen Partition gestartet, hernach die Online-Geschäfte im Chip-TAN-Verfahren abgewickelt und wieder heruntergefahren.

Abschliessend wird das anfänglich erstellte - auf jeden Fall saubere -  Image wiederhergestellt, indem das - nun durch die Sitzung veränderte - Image durch die ursprüngliche Kopie überschrieben/ersetzt wird. Somit ist sichergestellt, dass eine evtl. Infiltrierung durch einen Trojaner o.ä. während der Sitzung wieder eliminiert ist. Man startet so IMMER das jungfräuliche Betriebssystem für die Bankgeschäfte :-)
Kommentare (36) zu diesem BLOG-Eintrag