Security-Theater bei der Postbank
Stein der Weisen in Punkto Sicherheit
Die Postbank meinte offenbar, mit ihrem iTAN-Verfahren den (Sicherheits-)Stein der Weisen entdeckt zu haben. Phisher hätten von nun an nur noch eine Chance von 1 zu 100, wenn sie bei ihren Opfern Transaktionsnummern abfischen würden. Künftig werde bei jeder Transaktion, die ein Kunde tätige, eine ganz bestimmte TAN, beispielsweise die 20. Nummer von der TAN-Liste abgefragt. Nur wer dann auch die 20. TAN eingebe, könne eine Überweisung tätigen. Würde eine andere TAN als die geforderte eingegeben, könnte die Überweisung nicht durchgeführt werden. Das Online-Banking-System würde einen Fehler melden. So weit, so kurz gedacht. Denn natürlich ist dieses auf den ersten Blick relativ sichere System zu knacken. Man muss nur ein wenig nachdenken…
„Security Theater“
Das haben die Mitarbeiter des RedTeams an der Rheinisch-Westfälischen Technischen Hochschule Aachen getan. Das RedTeam wurde Ende 2003 mit dem Ziel ins Leben gerufen, die Sicherheit von IT-Systemen u. a. durch Penetrationstests zu verbessern. Bei einem Penetrationstest wird ein Angriff auf ein IT-System simuliert, um Schwachstellen systematisch aufzudecken. Das ist den Aachener Forschern beim neuen iTAN-Verfahren, das nicht nur von der Postbank, sondern auch beim Online-Banking anderer Kreditinstitute genutzt wird, überzeugend gelungen. Sie konnten nachweisen, dass die iTAN-Banken ihre Kunden in einer trügerischen Sicherheit wiegen. „Ein typisches Beispiel für Security Theater“, nennt Sicherheitsexperte Maximillian Dornseif von der RWTH Aachen das neue iTAN-Verfahren. Es bringe einen nur minimalen Zuwachs an Sicherheit, während den Kunden vorgemacht werde, „dass sie nun vor Missbrauch sicher seien“.
Indizierte TANs
Das iTAN-Verfahren läuft folgendermaßen ab: Die Bankkunden bekommen wie gehabt eine Liste mit 100 TANs. Die TANs sind durchnummeriert. Will der Kunde eine Transaktion tätigen, also beispielsweise Geld überweisen, gibt ihm der Bankcomputer vor, welche TAN er benutzen muss. Er kann also zur Bestätigung seiner Transaktion nicht mehr eine beliebige TAN von der Liste eingeben, sondern muss sich an die Vorgabe halten. Nur mit dieser „indizierten“ TAN akzeptiert der Bankcomputer die gewünschte Transaktion. Mit diesem TAN-Vorgabeverfahren soll verhindert werden, dass Phisher, die von ihren Opfern eine beliebige TAN abgefischt haben, diese Transaktionsnummer dann für ihre betrügerischen Absichten verwenden und das Konto plündern können.
Der Penetrationstest des RedTeams
Das RedTeam der RWTH Aachen hat das System getestet. Die Aachener Forscher sind von den folgenden beiden Szenarien ausgegangen. Erstens: Der Rechner eines Online-Banking-Kunden ist kompromittiert, d. h. Phisher haben Zugriff auf die Daten, die der Kunde eingibt. Sie können sie in Echtzeit mitlesen. Zweitens: Der Kunde ist auf eine gefälschte Bankwebseite gelotst worden und versucht, dort seine Transaktionen zu tätigen. In beiden Fällen können Phisher aktiv werden und sich in die Kommunikation zwischen Bank und Kunden einschalten (erster Fall) bzw. sich selbst bei der Bank mit den abgefischten Zugangsdaten einloggen (zweiter Fall) und dem Opfer dann die benötigte iTAN entlocken. Versucht das Opfer, eine Überweisung durchzuführen, füllt auch der Phisher zeitgleich sein Überweisungsformular online aus. Er erhält nunmehr von der Bank die Nachfrage nach einer iTAN, also einer ganz bestimmten TAN von der Liste, die das Opfer hat. Dieselbe Nachfrage gaukelt er nun seinem Opfer vor. Das Opfer ahnt nichts von dem Betrugsversuch und gibt die entsprechende iTAN ein, die der Phisher dann für seine eigene Überweisung nutzt. Das Opfer merkt erst beim nächsten Login etwas von diesem Betrug. Dann ist es aber schon zu spät. Sein Konto ist geplündert.
Phishing in Echtzeit
Alles zu aufwändig? Keineswegs, meinen die Forscher vom Aachener RedTeam. Der Betrug müsse zwar in Echtzeit geschehen. Profi-Phisher würden sich dadurch jedoch keineswegs abschrecken lassen, zumal sich die einzelnen Prozeduren leicht per Skript auf einem Server automatisieren ließen. Das Risiko dieser Sicherheitslücke im Online-Banking-System stufen die Aachener Sicherheitsexperten als „medium“ ein. An der Informationspolitik der Banken, die wie die Postbank das iTAN-Verfahren als besonders sicher preisen, lassen sie jedoch kein gutes Haar.
Informationspolitik wird nicht geändert
Das RedTeam hat einige große deutsche Banken, die das iTAN-Verfahren benutzen, über die festgestellte Sicherheitslücke informiert. Tatsächlich habe man auch kompetente Ansprechpartner gefunden, die das Problem prinzipiell verstanden hätten. Dennoch wollen diese Banken nichts am iTAN-Verfahren ändern. Im Gegenteil würde damit bei den Kunden auch weiterhin für ein „sicheres“ Online-Banking geworben. Eine Bank ging laut RedTeam sogar so weit, „auf den ersten Schaden bei Kunden zu warten, bis von den Aussagen zur effektiven Sicherheit gegen Trojaner- und Phishing-Angriffen Abstand genommen werden soll“.
Zurück zur News-Übersicht
