Online-Banking: mTAN und Banking-Apps unsicher

Online-Banking ist bequem und die Banken drängen die Kunden (über die Gebührenmodelle) dazu, diese Methode zu verwenden. Damit das Ganze nicht zum Desaster wird, ein kleiner Beitrag zum Thema Sicherheit beim Online-Banking.


Anzeige

Dass man sein System sauber von Viren, Trojanern oder anderen Computerschädlingen hält, hatte ich ja hier im Blog bereits ausgeführt. Weiterhin gibt es Beiträge, die gezielt vor Banking-Trojanern waren. Auch das Thema Phishing habe ich im Beitrag Phishing – das sollten Sie wissen behandelt. So weit so gut – wer das alles beherzigt, hat aber erst die halbe Miete eingefahren. Denn auch in den von Banken verwendeten Sicherheitsmechanismen lauern Fallen.

Banking mit TAN

Zur Autorisierung von Transaktionen im Online-Bankkonto verwenden Banken TAN-Nummern (TAN = Transaktionsnummer). Die älteste Variante sind auf Papier gedruckte TAN-Listen, wobei die früher gebräuchliche Abarbeitung der TANs in direkter Reihenfolge nicht mehr verwendet wird (jemand, der mehrere TANs erbeutete, konnte diese für Transaktionen verwenden). Vielmehr verwendet man aus Sicherheitsgründen sogenannte indexierte TANs. Dabei gibt der Rechner der Bank nach dem Zufallsprinzip vor, dass die TAN Nummer soundso für die Transaktion zu verwenden ist. Selbst wenn jemand Unbefugtes ein paar TANs erbeutet hat, ist die Chance gering, dass diese bei Transaktionen zufällig ausgewählt werden. Nur wer die ganze TAN-Liste erbeutet, hat Zugriff auf Überweisungen.

Vorsicht: Banking mit mTAN ist unsicher

Geht man z.B. auf diese Webseite, wird das sogenannte mTAN-Verfahren noch als sicher angegeben. Man gibt die Nummer eines Mobiltelefons an und erhält bei jeder Transaktion eine SMS mit der TAN auf's Handy. Diese gibt man dann im Online-Banking-Formular zur Autorisierung der Transaktion ein. Klingt auf den ersten Blick gut, denn für jede Transaktion wird eine eigene TAN generiert und nur auf ihr Handy übertragen.

Der Pferdefuß: Ist eine andere Handy-Nummer im Konto eingetragen, gibt es die Möglichkeit zur Transaktion. Bereits 2013 gab es Berichte wie diesen, die über eine Häufung von Betrugsfällen mit Online-Banking im Zusammenhang mit mTANs berichteten. Eine Masche bestand darin, dass sich die Betrüger eine Ersatz-SIM-Karte des Opfers zusenden ließen und damit eigene mTANs mit dem Handy generieren konnten. Diese Masche ist nun unterbunden, da Ersatz-SIM-Karten mit gleicher Nummer) nur nach Autorisierung rausgegeben werden.

Aber mTANs sind noch aus einem anderen Grund unsicher: SMS und mTANs lassen sich abfangen. Darauf wurde bereits im September letzten Jahres z.B. auf dieser Webseite ausgeführt. Und in meinen Blog-Artikeln Neue Android-Malware BadNews (April 2013) und Desaströse Sicherheitsinfos zum Wochenstart (Dezember 2014) berichte ich über mTAN-Trojaner bzw. warne ich explizit vor Online-Banking mit mTANs. Hintergrund für die Warnung im Dezember 2014: Der Chaos Computer Club (CCC) hat auf dem Jahrestreffen 2014 eine UMTS-Sicherheitslücke aufgedeckt. Über die Sicherheitslücke lassen sich nicht nur Gespräche abhören, sondern auch SMS-Nachrichten umleiten. Neben der Zwei-Faktor-Authentifizierung per Mobilfunkgerät für die gängigen Online-Konten wurde damit auch die Transaktionsabsicherung durch SMS-TANs (mTANs) endgültig beerdigt.

TAN-Generator mit Bankkarte

Bei vielen Banken wir ein TAN-Generator in Verbindung mit der Chipkarte (EC- bzw. Bankkarte eingesetzt (siehe diese Seite). Das folgende Foto zeigt solche TAN-Generatoren (z.B. der Firma Reiner), die von Banken den Kunden angeboten werden (hier ist es der Sparkassen-Shop).


Anzeige

Die Generatoren kosten nicht viel und laufen mit Knopfzellen über Jahre. Nur wer die Bankkarte besitzt, kann mit dem Online-Konto Überweisungen tätigen. Bei jeder Überweisung wird ein optischer "Flickercode" im Browser im Formular angezeigt. Der TAN-Generator kann diesen Flickercode optisch lesen und eine TAN berechnen. Diese wird dann im Browser-Formular zum autorisieren der Überweisung eingetragen. Hier findet sich eine Erklärung auf einer Bankseite. Da die TAN für jeden Vorgang einzeln generiert wird und keine Funkverbindung zum TAN-Generator besteht, gilt dieses Verfahren als sicher.

Man könnte sich noch vorstellen, dass jemand die TAN abfängt und für eine eigene Überweisung missbraucht. Klappt aber nicht, wenn der Besitzer des Online-Kontos die Daten jeweils prüft. Denn auf dem Display des TAN-Generators wird das Empfängerkonto und die Summe angezeigt. Erst nach Bestätigung dieser beiden Daten errechnet der TAN-Generator die TAN. Diese berücksichtigt Informationen von der Bankkarte und Betrag samt Kontonummer des Zielkontos. Bei Manipulation würde die TAN also ungültig. Leider beachten das nicht alle Benutzer – hier verweise ich auf diesen Artikel bei der Zeitschrift heise.de, die sich mit der juristischen Aufarbeitung eines Missbrauchsfalls befasst.

Allerdings verweise ich auch auf meinen Blog-Artikel hier, wo es Spezialisten gelungen ist, die PIN-Absicherungsmechanismen für Chip-Karten von Banken auszuhebeln. Das gilt zwar eher für das Geldabheben am Automaten. Aber es ist nicht auszuschließen, dass dort auch noch Überraschungen blühen. Momentan ist mir aber noch nichts unter die Augen gekommen, dass es dort Missbrauch gäbe.

Achtung: Auch Banking Apps können unsicher sein

Zur Abwicklung von Bankgeschäften werden Banking-Apps für Android oder iOS (iPhone/iPad) immer beliebter. Die App übernimmt nach einer Anmeldung am Konto die Abwicklung. Aber wie sicher ist das Ganze eigentlich? Ich habe einfach mal im Zusammenhang mit diesem Artikel kurz recherchiert. Hier ein paar Artikel:

BANKING-APPS FÜR IPHONE UND ANDROID IM VERGLEICHSTEST (Connect)
iPhone-Banking-Apps im Sicherheitscheck (heise.de, Artikel 2010)

Was dort bemängelt wurde, sind Fehler in Apps und der Umstand, dass die Apps zu viele Daten abgreifen, die mit dem Banking nichts zu tun haben. Aktualisierte Fassungen der Banking-Apps scheinen die Sicherheitsmängel nicht mehr aufzuweisen. Auf der CCC-Tagung wurde dieses Vortragsdokument freigegeben, welches sich mit Android Banking-Apps befasst (aber nur was für Spezialisten ist). Tenor: Fehler in Banking-App, gepaart mit neuer Schadsoftware für Android stellen durchaus ein Risiko für Banking Apps dar. Falls Sie Banking-Apps verwenden, wäre mein Hinweis, die Augen offen zu halten und die in folgenden Artikeln gegebenen Sicherheitstipps zu beherzigen.

Sicherheit beim Mobile-Banking: 10 Tipps
Banking Apps und Sicherheit

Zum Abschluss noch ein kleiner Tipp außerhalb des Themas. Beim Online-Banking haften wir Kunden ja für Fehler bei Kontenangaben des Empfängers. Und vermutlich ärgern wir uns alle über die voriges Jahr eingeführten SEPA-Zahlungsverfahren mit IBAN/BIC wegen der langen Kontenangaben. Aber die Sache hat ein Gutes. Hier der Hinweis von Blog-Leser Marc, den ich mal weitergebe:

Viele ärgern sich über IBAN/BIC, dabei bieten diese die höchste Sicherheit. (insbesondere 1.tere). IBAN besteht ja aus Ländercode, Prüfziffer, BLZ und Konto. Tritt irgendwo bei der Eingabe der IBAN ein Tippfehler auf, wird die IBAN bereits bei der Eingabe abgewiesen. Also erhält man im Vergleich zur alten, einfachen Kontonummer (wird immer akzeptiert) eine höhere Sicherheit.

Man sollte daher auch keinen Gebrauch von Umrechnungs-/Converter-Funktionen für BLZ und Konto in IBAN machen.

Ähnliche Artikel – das könnte Sie auch interessieren:
Achtung: Angriffe auf den Adobe Flash-Player!
Sicherheit: Office-Macro-Trojaner-Welle
Warnung vor Banking-Trojanern
Phishing – das sollten Sie wissen
Warnung: Betrüger geben sich telefonisch als Microsoft-Mitarbeiter aus


Anzeige

Dieser Beitrag wurde unter Computer, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

13 Antworten zu Online-Banking: mTAN und Banking-Apps unsicher

  1. Norbert sagt:

    Leider wird hier ein ganz entscheidender Punkt außer Acht gelassen. Der weitaus größte Teil aller Schadensfälle im OnlineBanking entsteht nicht auf Grund mangelnder Sicherheit des eingesetzten Authentifizierungsverfahrens.
    Vielmehr ist 'Sozial Engineering' der Grund für die meisten Schadensfälle. D. h., der OnlineBanking-Teilnehmer wird – unter Vorspiegelung irgendwelcher falscher Tatsachen – dazu gebracht, selbst die betrügerische Überweisung zu authentifizieren und auszuführen.
    Dabei ist es dann völlig schnuppe, ob z. B. Fingerabdruckscanner, Augenscanner oder wie auch immer geartete, futuristische und supersichere Verfahren zum Einsatz kommen.

    • guenni sagt:

      Zum Thema Banking-Sicherheit und Phishing: Ich versuche einfach die Themen hier im Blog so aufzubereiten, dass sie wahrgenommen und halbwegs verstanden werden können (beide Themen sind hier im Blog drin). Dann muss jeder selbst entscheiden, wie er verfährt. Auf das Thema Phishing ist im zweiten Absatz explizit hingewiesen worden – hast Du möglicherweise überlesen …

      • Norbert sagt:

        Ja, das kann sein, dass ich das überlesen habe. Ich finde aber, dass hier an dieser Stelle, wo es darum geht, wie sicher oder weniger sicher bestimmte OnlineBanking-Verfahren sind, darauf hingewiesen werden sollte, dass genau das eigentlich völlig unerheblich ist!
        Denn – noch einmal – , die OnlineBanking-Verfahren können so sicher sein wie sie wollen. In dem Moment, wo Sozial Engineering ins Spiel kommt, ist das alles außen vor und spielt überhaupt keine Rolle mehr.

        • Marc sagt:

          @Norbert
          vereinfacht: der Mensch ist der Fehler/Problem ;-)

          dies betrifft das gute alte "tote Holz", in der Neuzeit Papier genannt, genauso, wie die digitale Welt.
          Jedoch kann die Fehlerquelle beim Menschen reduziert werden, wenn gerade Technik eingesetzt wird, nämlich um bpsw. phishing zu verhindern. Dies Erfolgt durch Warnung und den Hinweis, dass spezielle Programme verwendet werden sollen und nicht unbedingt bspw. der Browser.

  2. Norbert sagt:

    Hmmh, seltsam. Ich hatte gestern Abend an dieser Stelle einen Kommentar zum obigen Artikel verfasst. Dieser Kommentar ist nun verschwunden.
    Gab es eventuell eine technisches Problem oder war mein Kommentar unerwünscht und wurde deshalb kurzer Hand gelöscht? Bin verunsichert und bitte um Aufklärung.

    Vielen Dank.

  3. Norbert sagt:

    Seltsam, seltsam! Jetzt ist er wieder da. Mein vorheriger Eintrag hat sich damit also erledigt. Sorry!
    Irgendwo klemmt da wohl was. Nachdem ich auf diese Seite gegangen war, musste ich jetzt erst nochmal F5 drücken, um die mittlerweile 2 Kommentare angezeigt zu bekommen.

    • guenni sagt:

      @Norbert: Zum Thema Kommentare – grundsätzlich wird der erste Kommentar durch mich moderiert und freigeschaltet (geht nicht anders, sonst würde ich hier, trotz Spam-Filter, in Spam-Kommentaren ersaufen).

      Zum Kommentar da, wieder weg, wieder da: Es gibt wohl "Probleme", deren Ursache ich noch nicht genau kenne. Ich habe es in meinem IT-Blog im Artikel Seitenabrufprobleme mit dem Chrome Browser hier im Blog? für einen anderen Blog beschrieben. Heute habe ich bestimmte Vorgaben zum 'Client-Caching im Browser' wieder auf dem Server rausgenommen. Kannst Du mal den Browser-Cache leeren (siehe ggf. im oben verlinkten Beitrag) und mir einen Kommentar hinterlassen, ob die Fehler weg sind? Danke.

      • Norbert sagt:

        Ja, jetzt scheint es normal zu funktionieren. Kann alle Beiträge sehen, auch ohne dass ich zuvor den Browser-Cash geleert habe! Verwendeter Browser ist der IE.

        Vielen Dank.

  4. Marc sagt:

    da alles "alte" besser ist, ziehen wir doch mal die Papierüberweisung heran.
    a.) wenn Konto-Nr. u. BLZ angegeben werden soll, welche evtl. Schreibfehler** beinhaltet, wird durch den Bankconverter zwar korrekt konvertiert, jedoch auf **falsche Ausgangsdaten.
    b.) Verwendungszweck wird von den OCR-Banken-Scanner teilweise nicht korrekt übernommen, somit evtl. fehlerhafte Rechnungs-/Kundernr.
    c.) höhere Kosten
    d.) Unterschriften sind doch leicht zu clonen

    rundum als unsicher, dh bei digitalem banking, wird auf sehr hohem Niveau "gejammert" und ist in jedem Fall vorzuziehen.

    Ein ganz wichtiger Punkt, "… wenn der Besitzer des Online-Kontos die Daten jeweils prüft…" dies wird oft vergessen, da die TAN dem User wichtiger erscheint als die Prüfung.

  5. Norbert sagt:

    Also ich geb's jetzt auf hier. Jetzt sehe ich den Beitrag von Marc, von heute 09:37 Uhr,
    aber meine mittlerweile 3 Beiträge sehe ich nicht!
    ???

    • guenni sagt:

      Erklärung: Siehe meine Kommentare oben. Marc hatte schon kommentiert, seine Beiträge werden dann automatisch freigeschaltet. Deine Kommentare hingen hier in der Moderatorenwarteliste und wurden von mir gerade freigegeben. Neue Kommentare von dir müssten jetzt automatisch freigeschaltet werden. Danke für den Hinweis.

  6. Wolfgang sagt:

    Also meines Erachtens sollte man man kein O-Banking außerhalb seiner 4
    Wände machen. Da ich mTan verfahren habe und nur eine Nummer angegeben,
    gibt es keine Probleme. Kein Smartphone, stiknormales eifaches Handy.

    Das Ganze zu Hause nur mit dem Rechner und zwar c't Bankix Ubuntu
    abgeleitetes Live-Linux-Betriebssystem. Interessantes zum nachlesen gibt
    es hier.

    http://www.heise.de/ct/projekte/Sicheres-Online-Banking-mit-Bankix-284099.html

    Gruss,
    Wolfgang

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert