Ein sicheres Gefühl

Ein Werbespot der Berliner Sparkasse. OK, so kann man das mit der SMS-TAN natürlich auch erklären. Das ist zwar ganz lustig, aber ob das bei einem sensiblen Thema (ups, ist jetzt auch doppeldeutig) das richtige Stilmittel ist, wage ich mal zu bezweifeln.

Gute Kommunikation oder eher ein Tritt ins Fettnäpfchen?

(via)

Die Sache mit der Macht

Der ist sooooo gut. :-)

Onlinebanking Sicherungsverfahren: Chip-TAN

Weiter geht es mit meiner kleinen Serie über die verschiedenen Sicherungsverfahren beim Onlinebanking. Heute geht es um das Chip-TAN-Verfahren, bei dem ein separater TAN-Generator verwendet wird.

Funktionsweise

Beim Chip-TAN-Verfahren (bei den Volks- und Raiffeisenbanken auch Smart-TAN genannt) benötigt man zur Erzeugung der TAN ein kleines Zusatzgerät, einen TAN-Generator. Der TAN-Generator ist mit einem Display, einer Zahlentastatur und teilweise auch mit einem optischen Sensor zum Auslesen eines "Flicker-Codes" ausgestattet.

Um die TAN zu erzeugen, benötigt der TAN-Generator einen Chip mit Seccos-Betriebssystem, wie er zum Beispiel auf den herkömmlichen Bankkarten (ehemals EC-Karten) fast aller Bankkunden vorhanden ist. Als erstes wird also der Onlinebanking-Zugang  mit einer Chipkarte des Kunden verbunden.

Der generelle Zugang erfolgt wieder über eine PIN-Nummer. Führt der Kunde eine Transaktion aus, werden die Daten der Transaktion zum Rechenzentrum gesendet. Das RZ erkennt, das der Kunde am Chip-TAN-Verfahren teilnimmt und lässt die Onlinebanking-Anwendung einen sogenannten Flicker-Code ausgeben. Der Flicker-Code besteht aus einer Reihe von schwarz und weiß blinkenden Kästchen. Der Kunde steckt nun seine Chipkarte in den TAN-Generator und hält diesen mit dem optischen Sensor vor den Flicker-Code. Jetzt werden die Eckdaten der Transaktion (Empfängerkontonummer und Betrag) an den Generator übertragen. Alternativ können die Eckdaten auch manuell über die Tastatur des Generators eingegeben werden. Die Eckdaten werden am Display des TAN-Generators angezeigt und müssen vom Kunden auf Richtigkeit geprüft werden. Der TAN-Generator errechnet eine TAN, die wiederum nur für diese Transaktion und für eine begrenzte Zeit gültig ist. Mit dieser TAN kann der Kunde dann die Transaktion autorisieren.

Eine Demo, die einen Transaktionsvorgang praktisch aussieht, kann man zum Beispiel auf der Homepage von Kobil anschauen, einem Hersteller von TAN-Generatoren.

Sicherheit

Beim Chip-TAN-Verfahren werden zwei voneinander Kommunikationswege benutzt. Eine gültige TAN kann nur mit dem unabhängigen TAN-Generator und der für den Onlinezugang freigeschalteten Chipkarte erzeugt werden. Bei richtiger Anwendung durch den Kunden (Kontrolle der Transaktionseckdaten auf dem Display des Generators), ist eine Manipulation der Transaktionsdaten durch einen Trojaner ausgeschlossen und Phishing wirkungslos.

Eine Schwachstelle war bis vor kurzem, das die Eckdaten bei der Ausführung einer Sammel-Transaktion nicht eindeutig auf dem TAN-Generator angezeigt wurden. Es wurden lediglich der Betrag und die Anzahl der Transaktionen angezeigt, was den Austausch der Kontonummern möglich machte, ohne das der Kunde das kontrollieren konnte. Die neue Sicherheitsspezifikation fordert, das Kontrollsummen der Empfängerkontonummern angezeigt werden, so dass auch diese Lücke nicht mehr ausgenutzt werden kann.

Das Chip-TAN-Verfahren bietet also bei richtiger Anwendung eine sehr hohe Sicherheit, Angriffsmethoden gegen die neueste Version des Verfahrens sind zur Zeit nicht bekannt.

Kosten

Die Anschaffungskosten für einen TAN-Generator liegen um die 10 Euro, eventuell werden die Kosten von den Kreditinstituten ganz oder teilweise übernommen, hier muss man wieder bei seinem Kreditinstitut nachfragen. Laufende Kosten entstehen nicht.

Einsatzmöglichkeiten

Das Chip-TAN-Verfahren ist flexibel und kann auch mobil gut eingesetzt werden. Die Nutzung ist sowohl beim Browserbanking als auch bei der Benutzung von Finanzsoftware möglich.  Die Benutzung ist auch auf Smartphones möglich. Allerdings muss der Kunde den TAN-Generator und seine Chipkarte immer mitführen, um auch von unterwegs Transaktionen ausführen zu können.

Fazit

Das Chip-TAN-Verfahren ist sehr sicher und flexibel, allerdings ist die Bedienung des TAN-Generators nicht ganz einfach und erklärungsintensiv. Ob sich das Verfahren in der Breite gegen die anderen Verfahren durchsetzen kann, werden die nächsten Monate zeigen.

Im nächsten Teil der Serie werde ich das Signaturverfahren mit einem HBCI-Schlüssel auf Datenträger vorstellen.

1. Teil: SMS-TAN

Onlinebanking Sicherungsverfahren: SMS-TAN

Nachdem ich mich ja Anfang diesen Jahres vom iTAN-Bogen verabschiedet habe, möchte ich in dieser kleinen Artikelserie mal die verschiedenen Alternativern bei den Sicherungsverfahren beim Onlinebanking vorstellen und Beleuchten. Hierbei werde ich auf die Funktion, die Vor- und Nachteile und auf die Einsatzmöglichkeiten eingehen. Beginnen werde ich mit dem SMS-TAN-Verfahren. Also los.

Funktionsweise

Beim SMS-TAN-Verfahren registriert der Bankkunde zunächst eine Handynummer für seine Onlinebanking-Kennung. Der grundsätzliche Zugang zum Banking erfolgt über eine PIN-Nummer. Führt der Kunde eine Transaktion aus - zum Beispiel eine Überweisung - sendet die Banking-Anwendung die Daten der Transaktion an das Bankrechenzentrum. Dort wird aus den Eckdaten der Transaktion eine TAN errechnet, die nur für diese Transaktionsdaten und nur für eine kurze Zeitspanne gültig ist. Das Bank-RZ sendet nun eine SMS mit den Eckdaten (Empfängerkontonummer und Betrag) und der TAN an die vom Kunden registrierte Handynummer, der Kunde prüft die Richtigkeit der Eckdaten und führt die Transaktion mit der erhaltenen TAN aus.

Sicherheit

Dadurch, dass das Verfahren zwei unabhängige Kommunikationswege nutzt, sind bei richtiger Anwendung (Prüfen der Eckdaten in der SMS) manipulierende Angriffe - etwa durch Man-In-The-Middle-Attacken - nahezu unmöglich. Auch Phishing macht bei diesem Verfahren keinen Sinn, da eine abgefischte TAN für den Phisher nicht nutzbar ist.

Eine Angriffsmöglichkeit zeigte im Oktober der Banking-Trojaner ZeusS auf. Voraussetzung für einen erfolgreichen Angriff ist neben dem Knacken des Onlinebanking-Zugangs auch die Installation der Trojanersoftware auf dem zugehörigen Handy. Der Aufwand hierfür ist momentan noch nicht lohnend, so dass ein solcher Trojaner "in the wild" noch nicht gesichtet wurde. Insofern bietet das  Verfahren einen hohen Sicherheitsgrad.

Kosten

Während einige Banken die SMS-TAN ohne Zusatzkosten anbieten, berechnen andere entweder geringe Monatspauschalen oder auch geringe Beträge pro SMS. Hier muss man sich bei seinem Kreditinstitut über die jeweiligen Preise informieren.

Einsatzmöglichkeiten

Die SMS-TAN ist ein sehr flexibles Verfahren. Ein Mobiltelefon und einen Standort mit Netzversorgung vorausgesetzt, kann man von überall Onlinebanking-Transaktionen vornehmen. Das Mitführen von Zusatzhardware oder TAN-Listen ist nicht notwendig.

Nicht nutzbar ist das Verfahren mit Smartphone-Anwendungen, da aufgrund des nicht vorhandenen zweiten Kommunikationsweges (Anwendung und SMS auf dem gleichen Gerät) die Sicherheit nicht gewährleistet ist.

Fazit

Das SMS-TAN-Verfahren ist flexibel und kostengünstig und bei korrekter Anwendung sehr sicher. Ich denke, dass dieses Verfahren der Standard für die meisten Benutzer in den nächsten Monaten werden wird.

Gern könnt ihr noch Ergänzungen oder eigene Erfahrungen (vielleicht auch Preise bei eurem Kreditinstitut) in den Kommentaren beisteuern. 

Im nächsten Teil der Serie nehme ich mir dann das ChipTAN-Verfahren mit TAN-Generator vor. 

Eigeninitiative

Heute war ich am Rechner eines Users, bei dem ein Programm Probleme mit der Verbindung zu einer DB/2-Datenbank hatte.

Bei meiner Ankunft teilte mir der User mit:

"Ich habe den Fehler schon mal gegoogelt, der kommt öfter vor."

Stimmt.


Neue Gebührenregelung an deutschen Geldautomaten

Seit heute gilt eine neue Gebührenregeleung an deutschen Geldautomaten. Seit Anfang der 90er Jahre musste gemäß der EU-Preisangabenverordnung das kartenausgebende Institut die Gebühr festlegen, die ein Karteninhaber bei Abhebungen an fremden Geldautomaten bezahlen muß. Die Banken berechneten dann untereinander ein Interbankenentgelt für Nutzung des Geldautomaten. Hierdurch haben sich die Kosten für die Kunden in den letzten Jahren kontinuierlich nach oben geschraubt.

Ab heute gilt für deutsche Karteninhaber, dass die Gebühr für die Geldautomatennutzung an deutschen Geldautomaten direkt vom Betreiberinstitut berechnet wird. Die Höhe der Gebühr muss vor der Verfügung direkt am Kundenbildschirm angezeigt werden und der Kunde kann die Transaktion dann noch gebührenfrei abbrechen.

Hierdurch  dürften die Gebühren insgesamt günstiger werden, am besten fährt man immer noch  bei der Nutzung der Geldautomatennetze der Institutsgruppe der eigenen Bank, bei denen die Bargeldabhebung meist kostenlos angeboten wird.


Vergessene Daten

Von gebraucht erstandenen USB-Sticks oder Festplatten, auf denen man noch vergessene Daten des Vorbesitzers findet, hat man ja schon öfters gehört oder gelesen.

Heute hatte ich mal eine andere Variante. Beim Konfigurieren eines gebrauchten Multifunktionsdruckers, der zuvor schon einige Zeit bei einem anderen Kunden des Händlers testweise im Einsatz war, fand ich auf der Seite für die Fax/Scan-to-Mail-Konfiguration die Mail-Zugangsdaten des Vorbesitzers. Die Konfiguration war so eingestellt, dass die Faxe oder Scan-Dokumente (natürlich unverschlüsselt) über den GMX-Account des Besitzers versandt wurden.

Das Zugangspasswort für den Mailaccount war zwar  "ausgepunktet" und der Programmierer des Interfaces hatte auch die Cut-and-Paste-Funktion des Formularfeldes deaktiviert, allerdings lieferte ein Blick in den Quelltext des HTML-Formulars das Passwort auf dem Silbertablett im Klartext.

Dieses Beispiel zeigt deutlich, dass man auch bei der Weitergabe oder dem Verkauf von scheinbar so harmlosen Geräten wie Scannern und Druckern daran denken muss, eventuell vorhandene Daten zu löschen. Die meisten Geräte haben ja dafür eine Funktion zum Rücksetzen auf Werkseinstellung. Aber auch danach sollte man alles nochmal genau durchsehen, um nicht sensible Daten versehentlich weiter zu geben.

Tschüss, TAN-Bogen

In diesem Jahr werden sich viele von uns wohl von einem jahrelangen Begleiter beim Onlinebanking mit ihrem Kreditinstitut verabschieden müssen. Seit Beginn des "Homebankings" hat er Millionen Benutzern zur Autorisierung ihrer Zahlungen gedient. Die Rede ist vom guten alten (i)Tan-Bogen. Nach dem langen Wettrüsten zwischen Finanzdienstleistern und Online-Betrügern hat er nun den Krieg verloren. 

In 2011 werden wohl so ziemlich alle Kreditinstitute den Tan-Bogen als Sicherheitsmedium beim Onlinebanking abschaffen und auf Sicherheitsmedien mit zwei Kommunikationswegen umsteigen. Ein Grund, einen kurzen Rückblick auf seine Geschichte zu halten.

Am Anfang war die TAN

In den Anfangszeiten des Onlinebanking waren eine PIN, die den Zugang sicherte und eine Transaktionsnummer (TAN), die die einzelnen Transaktionen sicherte und nur einmal verwendbar war, ein ausreichender Sicherheitsmechanismus. Der Kunde bekam einen Bogen mit einer größeren Anzahl von 6-stelligen Nummern, die er in beliebiger Reihenfolge benutzen konnte.

Ein guter Fang

Nach einiger Zeit kamen merkwürdige Mails massenweise bei den Kunden an. In schlechtem Deutsch und mit massenhaft Rechtschreibfehlern schrieb "die Bank", dass der Kunde sich doch bitte aus Sicherheitsgründen neu autorisieren müsse und auf der im Link angegebenen Adresse doch PIN und eine oder mehrere TANs eingeben möge. Die sogenannte Phishing-Mails hatten das Licht der Welt erblickt. Anfangs mit hohen Erfolgsraten, denn unverständlicherweise fielen mehr Kunden auf die offensichtlichen Fälschungen herein, als man denken würde. Nach einiger Zeit konnte die Kunden soweit sensibilisiert werden, dass Phishing per Mail heutzutage kaum noch eine Rolle spielt.

Trojaner und ihre Pferde

Da die Phishing-Mails nicht mehr richtig funktionierten, setzten die Betrüger zunehmend auf Schadsoftware, die die Webseiten der Banken im Browser manipulierte und so Masken mit Abfragen von einer oder mehreren TAN-Nummern generierten. Das Konzept, das eine TAN für jede beliebige Transaktion verwendet werden konnte, hatte ausgedient.

Auf den Index

Abhilfe schafften die sogenannten indizierten TAN-Bögen. Die TANs auf den Bögen wurden numeriert und bei einer Transaktion wurde jeweils eine bestimmte TAN angefordert. Somit können abgephishte TANs nicht mehr ohne weiteres für eine beliebige Transaktion genutzt werden. Zusätzliche Sicherheit liefern bei einigen Instituten noch grafische Kontrollbilder, die die Transaktionsdaten und das Geburtsdatum des Kunden grafisch bei der Abfrage der TAN im Hintergrund darstellen. Es hat einige Zeit gedauert, bis die ersten Trojaner diese Klippen umschifft hatten. Die heutigen Schadprogramme sind allerdings in der Lage, den Datenstrom zum Kreditinstitut zu manipulieren und im Hintergrund andere Daten zur Bank zu senden, als dem Kunden im Browser dargestellt werden. Da der Kunde fast keine Möglichkeit hat, einen im Hintergrund werkelnden Trojaner zu erkennen, mussten neue Verfahren entwickelt werden, die sich nicht allein auf einen Kommunikationsweg für die Autorisierung einer Transaktion verlassen.

Nimm Zwei

Zwei Verfahren haben sich inzwischen etabliert. Zum einen die SMS-TAN oder MobileTAN. Hierbei wird aus den Transaktionsdaten eine Einmal-TAN errechnet, die dann zusammen mit den Eckdaten der Überweisung (Kontonummer, Bankleitzahl, Betrag) an eine vom Kunden festgelegte Mobiltelefonnummer per SMS gesendet wird. Somit sind Manipulationen am Datenstrom vom Kunden sofort zu erkennen und Phishing macht auch keinen Sinn, da eine TAN nur für die bestimmte Transaktion und für einen sehr kurzen Zeitraum gültig ist.

Das zweite Verfahren ist ein optischer TAN-Generator, der in Verbindung mit der Chipkarte des Kunden und den Eckdaten der Transaktion eine TAN errechnet. Die Daten könne entweder über die Tastatur des Generators eingegeben werden oder über einen sogenannten "Flickercode" vom Leser direkt vom Bildschirm abgelesen werden. Auch bei diesem Verfahren ist durch den zweiten Kommunikationsweg (Eintippen oder physisches Ablesen des Codes vom Bildschirm) eine Manipulation praktisch ausgeschlossen.

Und sie lebten sicher bis...?

Dieser kurze Rückblick zeigt seht gut den ständigen Wettlauf zwischen getroffenen Sicherheitsmaßnahmen und den Versuchen, diese auszuhebeln und zu umgehen. Die ersten Trojaner, die mit einigem Aufwand das Handy manipulieren, welches die TAN-SMS des Kunden empfängt, sind bereits entwickelt. So wird es auch in Zukunft kein Verfahren geben, das für immer zu 100 Prozent sicher sein wird. Es bleibt, als Nutzer von Onlinebanking-Diensten aktuell informiert zu bleiben, Entwicklungsschritte zu neuen sicheren Verfahren schnell mitzumachen und vor allem ein gesundes Mißtrauen zu bewahren, wenn man sich auf dem sensiblen Gebiet der Finanzwelt online bewegt.

In diesem Sinne: Tschüss TAN-Bogen

Merry Christmas

Ein frohes und besinnliches Weihnachtsfest Euch allen!

Geheimzahl

Heute Abend im Lidl an der Kasse vor mir will die männliche Hälfte eines Pärchens mit der ec-Karte den Einkauf bezahlen. Der erste Versuch geht schief, weil er anscheinend die Geheimzahl nicht weiß. Sie steht, durch eine Gitterabsperrung getrennt, um die Ecke bei den Getränken.

Er versucht, sie dazu zu bewegen, zur Kasse zu kommen, weil sie offenbar die Geheimzahl kennt.

Er: "Komm doch her."

Sie: "Wie denn?"

Er: "Na da hinten vorbei."

Das geht eine Weile so, schließlich schreit sie genervt durch den Laden:

"4689, jetzt gib's doch endlich ein!"

Alle im Laden schauen sie entgeistert an.

Sie: "Ist doch jetzt auch egal."

Soviel zum Thema Geheimzahl...

tweetbackcheck