Transaktionsnummer

Transaktionsnummer

Eine Transaktionsnummer (TAN) ist ein Einmalpasswort, das üblicherweise aus sechs Dezimalziffern besteht und vorwiegend im Online-Banking verwendet wird.

Inhaltsverzeichnis

Realisierung

Es gibt verschiedene Ansätze, um TANs zu erzeugen, zu prüfen und zum Nutzer zu übertragen. Einige davon werden im Folgenden beschrieben.

TAN-Liste (klassisches TAN-Verfahren)

Beim klassischen TAN-Verfahren erhält der Teilnehmer beim Electronic Banking, meist per Post, eine Liste von Transaktionsnummern. Bei jedem Buchungsvorgang – der Transaktion – muss eine beliebige TAN der aktiven Liste eingegeben werden. Sie ist eine Ergänzung zur Persönlichen Identifikationsnummer (PIN). Falls die Bank nach Eingabe der korrekten PIN einen Buchungsauftrag mit korrekter TAN erhält, geht sie davon aus, dass der Auftrag vom Kunden abgesendet wurde. Die TAN wird von der Bank als Quasi-Unterschrift interpretiert. Sie verfällt nach einmaligem Gebrauch. Wenn die TAN-Liste zur Neige geht, erhält der Kunde von der Bank eine neue.

Auf Grund von stark anwachsenden Phishing-Angriffen wird diese Art der TAN-Liste kaum noch verwendet. Fast alle Banken setzen nun die Form der indizierten TAN-Liste ein.

Indizierte TAN-Liste (iTAN)

Einen Schritt weiter geht das Verfahren der indizierten Transaktionsnummern, kurz iTAN: Der Kunde kann hier seinen Auftrag nicht mehr mit einer beliebigen TAN aus seiner Liste legitimieren, sondern wird von der Bank aufgefordert, eine bestimmte, durch eine Positionsnummer (Index) gekennzeichnete TAN aus seiner zu diesem Zweck nun durchnummerierten Liste einzugeben. Der TAN-Aufforderung muss der Kunde innerhalb weniger Minuten folgen. Außerdem wird die angeforderte TAN auch im Falle einer Nichtverwendung im Bankrechner als verbraucht gekennzeichnet.

Auch dieses Verfahren wird mittlerweile von Hackern auf zwei verschiedene Weisen angegriffen:

  1. Durch Einblenden eines Formulars innerhalb des Online-Banking-Systems wird der Online-Banking-Kunde zur Eingabe mehrerer TANs inklusive Index-Nummer aufgefordert. Teilweise fragt die Schadsoftware („Virus“) die freien Plätze der TAN-Liste ab und gibt die entsprechenden Index-Nummern vor. Auf diese Weise erhöht der Hacker die Wahrscheinlichkeit, bei einer TAN-Anforderung nach einer in seinem Besitz befindlichen TAN gefragt zu werden, deutlich. Dies kann er im Nachgang versuchen, um damit eine betrügerische Überweisung auszuführen.
  2. Bei einem Man-in-the-middle-Angriff schaltet sich die Schadsoftware automatisch ein, sobald der Online-Kunde eine Überweisung tätigen will. Die Schadsoftware tauscht im Hintergrund die Überweisungsdaten aus; mit der angeforderten TAN bestätigt der Online-Banking-Kunde also in Wirklichkeit die betrügerische Überweisung des Hackers. Auf seinem PC-Bildschirm sieht er immer noch seine Original-Überweisung. Selbst die Umsatzanzeige und der Kontosaldo wird durch den Virus manipuliert und so perfekt vorgetäuscht.

Immer mehr Banken sehen die iTAN-Liste nur noch als Mindestschutz und empfehlen ihren Kunden sicherere Verfahren (siehe unten).

Ein Nachteil der iTAN ist, dass für Überweisungen von unterwegs (z. B. aus dem Urlaub) immer die komplette iTAN-Liste mitgeführt werden muss. Bei dem einfachen TAN-Verfahren ist es möglich, wenige TANs so mitzuführen, dass sie von Fremden nicht als solche erkennbar und/oder nicht korrekt lesbar sind, zum Beispiel in einer Telefonliste. Eine iTAN-Liste ist schwerer zu tarnen, und einem Dieb fällt auch immer die komplette Liste in die Hände. Diese ist jedoch wertlos, solange der Dieb nicht auch im Besitz der PIN ist. Erst dann kann er durch Überweisungen Geld erbeuten.

Dagegen besteht ein praktischer Vorteil der iTAN gegenüber der einfachen TAN darin, dass man verbrauchte iTANs nicht von der Liste streichen muss. Dadurch kann man beispielsweise unabhängig ohne Synchronisierungsprobleme mit mehreren verschlüsselten elektronischen Kopien einer iTAN-Liste arbeiten.

Nach neueren Untersuchungen kann das iTAN-Verfahren heute nicht mehr als sicher gelten. Mirko Manske, Kriminalhauptkommissar beim Bundeskriminalamt (BKA), erklärte auf dem 11. IT-Sicherheitskongress des Bundesamts für Sicherheit in der Informationstechnik im Mai 2009 in Bonn, Phishing-Angriffe seien durch iTAN zwar schwieriger geworden, „aber nicht unmöglich“. Das BKA habe im Jahr 2008 rund 1.800 erfolgreiche Phishing-Angriffe registriert, die in aller Regel durch die Einschleusung von Trojanern erfolgen, die sich etwa in präparierten PDF-Dateien befinden könnten.

Anfang 2007 tauchten demnach erste Phishing-Kits auf, die in der Lage gewesen seien, über die bereits genannte Man-in-the-middle-Attacke abgephishte iTANs in Echtzeit für eigene Transaktionen zu benutzen.[1]

Indizierte TAN-Liste mit CAPTCHA (iTANplus)

Der beim iTAN-Verfahren mögliche Man-in-the-middle-Angriff wird durch das sogenannte iTANplus-Verfahren erschwert, aber nicht verhindert.[2] Bei diesem Verfahren wird vor Eingabe der iTAN ein Kontrollbild (CAPTCHA) angezeigt, in welchem sämtliche Transaktionsdaten noch einmal aufgeführt werden. Außerdem wird als Hintergrund des CAPTCHAs das Geburtsdatum des Kontoinhabers angezeigt, welches einem Man-in-the-middle-Angreifer in der Regel nicht bekannt ist, sondern nur der Bank. Dadurch soll ein automatisches Generieren des CAPTCHAs durch einen Angreifer massiv erschwert werden. Nachteil dieses Verfahrens ist die Verschlechterung der Ergonomie, da das CAPTCHA schwieriger zu lesen ist als die Aufforderung zur iTAN-Eingabe in normaler Textform. Dennoch ersetzt iTANplus aufgrund der höheren Sicherheit für den Bankkunden beim Großteil der Volks- und Raiffeisenbanken das bisherige iTAN-Verfahren.

Diese CAPTCHAs sind andere als diejenigen, mit denen manche Banken das automatisierte Einloggen eines betrügerischen Programms verhindern wollen. Diese werden eingesetzt, um Brute-Force-Angriffe auf den Anmeldeseiten zu verhindern, die zu massenweisen Sperrungen von Zugangsdaten führen würden.

TAN mit Bestätigungsnummer

Das Verfahren kann um eine Bestätigungsnummer (BEN) erweitert werden, mit der die Bank die Auftragsannahme im Gegenzug quittiert. Das bedeutet, dass ein Angriff nur als Man in the Middle und in nahezu Echtzeit stattfinden muss, um nicht aufzufallen. Phishing und Pharming fielen auf, da keine (korrekten) BENs zurückgegeben würden.

Mobile TAN (mTAN)

Funktionsprinzip

Die Variante Mobile TAN (mTAN) oder smsTAN besteht aus der Einbindung des Übertragungskanals SMS. Dabei wird dem Onlinebanking-Kunden nach Übersendung der ausgefüllten Überweisung im Internet seitens der Bank per SMS eine nur für diesen Vorgang verwendbare TAN auf sein Mobiltelefon gesendet. Der Auftrag muss anschließend mit dieser TAN bestätigt werden.

Sicherheit

Durch den SMS-Versand der TAN gilt mTAN als sicherer als iTAN oder das klassische TAN-Verfahren. Dadurch, dass die Gültigkeitsdauer der TAN begrenzt ist und zusätzlich noch Teile der Ziel-Kontonummer (im GAD-Umfeld der Volksbanken wird die komplette Kontonummer angezeigt) der Überweisung sowie des Überweisungsbetrages in der SMS übertragen werden und die TAN nur für diese Transaktion gültig ist, soll eine Umleitung auf ein anderes Konto durch einen Man-in-the-middle-Angriff auf die Homebanking-Webseiten verhindert werden. Auch werden Phishing-Angriffe auf TANs im mTAN-Verfahren erschwert. Der TÜV Rheinland bescheinigte im Jahr 2006 dem mTAN-System der Postbank AG eine „wirksame Absicherung der von außen zugänglichen technischen Systeme gegen unbefugte Nutzung“.[3] Mitte 2007 erhielt auch das mTAN-System der Fiducia IT AG (IT-Dienstleister der Volks- und Raiffeisenbanken) diese TÜV-Zertifizierung.[4]

Als Vorteil wird angesehen, dass man für Transaktionen unterwegs keine TAN-Liste dabei haben muss. Erfahrungsgemäß wird auch der Verlust des Mobiltelefons eher vom Nutzer bemerkt als der Verlust der Bankkarte oder des TAN-Bogens. Zusätzlich erfährt der Nutzer womöglich per SMS von unautorisierten Überweisungsversuchen, sodass eine Sperrung des Kontos veranlasst werden kann.

Bei einem Verlust des Mobiltelefons besteht der einzige Schutz des Kontos in der PIN und der unbekannten Kontonummer. Diese sollten also nicht zusammen mit dem Mobiltelefon aufbewahrt werden oder gar darin gespeichert sein. Je nach Geldinstitut ist die Nutzung einer mTAN kostenpflichtig, kostenlos innerhalb eines monatlichen Freikontingents oder ohne Einschränkung kostenlos.

Im deutschsprachigen Raum sind keine erfolgreichen Angriffe gegen mTAN bekannt (Stand: Januar 2010). Es gibt einen Bericht über einen Fall in Südafrika, in dem Betrüger vermutlich eine neue SIM-Karte im Namen des Opfers erhielten und damit eine mTAN anforderten.[5] In einem weiteren Fall aus Australien wurde die Rufnummer durch einen Betrüger zu einem anderen Anbieter portiert.[6]

Im September 2010 wurde berichtet, dass neue Varianten des Banking-Trojaners ZeuS jetzt auch das mTAN-Verfahren ins Visier nehmen.[7]

Kosten

Um die TANs dynamisch erstellen zu können, wird spezielle Hardware benötigt. Diese verursacht im Vergleich mit den statischen TAN-Verfahren zusätzliche Kosten für den Kontoinhaber.

Mögliche Angriffe

Denkbare Angriffe gegen das mTAN-Verfahren basieren darauf, dass die PIN für das Onlinebanking im ersten Schritt über herkömmliche Methoden wie Phishing oder Trojaner ausgespäht wird. Sobald der Phisher die PIN hat, kann er sich im Onlinebanking des Betrugsopfers einloggen und dessen persönliche Daten auslesen, unter anderem Kontonummer, Bankleitzahl, Adresse sowie die hinterlegte Mobiltelefonnummer für das mTAN-Verfahren. Das genutzte Mobilfunknetz kann über eine Netzabfrage herausgefunden werden. Daher wird die hinterlegte Mobilfunknummer im Onlinebankingportal nicht komplett angezeigt.

Im zweiten Schritt müsste es dem Phisher gelingen, auch die mTAN zu manipulieren.

Zugriff auf die PIN des Opfers

Sobald man die PIN hat, kann man sich selbst (d. h. das eigene Mobiltelefon) für das mTAN-Verfahren registrieren lassen. Die dabei von den Banken vorgenommenen Authentisierungsverfahren sind noch nicht ausgereift, es wird aber ständig an einer Optimierung der Prozesse gearbeitet.

Diebstahl des Mobiltelefons

Die einfachste Möglichkeit ist, das Mobiltelefon des Opfers zu stehlen oder sich vorübergehend Zugriff zu beschaffen.

Angriff auf das Mobiltelefon

Eine Möglichkeit bestünde darin auch das Mobiltelefon des Betrugsopfers zu kompromittieren, insbesondere Smartphones sind hier gefährdet. Ein bereits infizierter Computer kann auch das Mobiltelefon das Betrugsopfers infizieren, wenn das Betrugsopfer sein Mobiltelefon mit dem Computer verbindet, zum Beispiel für den eigentlichen Zweck der Synchronisation. Auch denkbar wäre SMiShing oder Exploit des Mobiltelefons.

Auf Grund der momentan noch geringen zu erwartenden Gewinne durch Betrug mit mobilen Geräten und durch die vielen verschiedenen miteinander inkompatiblen Plattformen sind Handyviren momentan noch nicht zahlreich verbreitet. Gleichwohl verbieten aktuelle Bedingungen der Geldinstitute die Verwendung ein und desselben Mobiltelefons zum Onlinebanking und zum Empfang der mTAN.

Sobald das Mobiltelefon des Betrugsopfers kompromittiert ist, kann der Betrüger beliebige Überweisungen ausführen, während die Anzeige und Signalisierung der mTAN nur für den Betrüger sichtbar ist, nicht jedoch für das Betrugsopfer.

Ein solcher Angriffsversuch mittels Spyware auf dem Mobiltelefon wurde im April 2011 tatsächlich entdeckt.[8]

Angriff auf das GSM-Netz

Weitere Möglichkeiten wären der Einsatz eines IMSI-Catchers oder das Brechen der GSM-Verschlüsselung. Diese Methoden erfordern allerdings örtliche Nähe zum Betrugsopfer, wofür erheblich mehr kriminelle Energie notwendig ist als beim Phishing, das lediglich aus der Ferne ausgeführt wird.

Angriff auf den Netzbetreiber

Eine weitere Möglichkeit wäre ein kompromittierter Netzbetreiber, entweder durch einen menschlichen Komplizen oder durch Sicherheitslücken.

Anforderung einer neuen SIM-Karte

Ein Angreifer kann im Namen des Opfers bei dessen Mobilfunkanbieter eine neue SIM-Karte beantragen und sich zusenden lassen oder teilweise sofort im Geschäft austauschen lassen. Bei den meisten Mobilfunkanbietern ist dies relativ einfach möglich. Allerdings wird üblicherweise die alte Karte 1–2 Tage vor Eingang der neuen Karte gesperrt, so dass das Opfer den Angriff leicht bemerken kann.

Portierung der Rufnummer

Der Angreifer kann den Laufzeit- oder Prepaidvertrag des Opfers kündigen und danach eine Rufnummernmitnahme zu einem neuen Mobilfunkanbieter auslösen. Für die Kündigung beim alten Anbieter sowie für den neuen Laufzeit- oder Prepaidvertrag und die Rufnummernmitnahme beim neuen Anbieter wird nur die Unterschrift benötigt. Diese lässt sich mit wenig Aufwand fälschen und wird teilweise auch nur ungenügend oder überhaupt nicht geprüft.

Es ist möglich, eine betrügerische Adressänderung sowie Kündigung in einem Schreiben an den alten Anbieter in einem Brief gleichzeitig zu formulieren. Die Kündigungsbestätigung sowie die neue SIM-Karte könnte also an eine vom Angreifer frei wählbare Adresse gesandt werden.

Im für den Angreifer günstigsten Fall würde die Rufnummer des Opfers auf seiner alten SIM-Karte um 24 Uhr abgeschaltet werden und für ihn um 6 Uhr angeschaltet werden, was ein erfolgversprechendes Zeitfenster darstellt.

TAN-Generator

Mit einem TAN-Generator können TANs elektronisch erzeugt werden. Hierfür gibt es mehrere unterschiedliche Verfahren.

sm@rt-TAN

sm@rtTAN-Generator

Bei diesem Verfahren erhält der Nutzer von seinem Kreditinstitut einen TAN-Generator ohne Ziffernfeld. Sobald die Kundenkarte (z. B. eine Maestro-Card oder eine V-Pay-Karte) in den Generator eingesteckt wird, können auf Knopfdruck TANs erzeugt werden. Diese TANs können nur der Reihe nach im Online-Banking eingegeben werden. Werden beispielsweise 5 TANs generiert, jedoch nur die zuletzt erzeugte TAN für eine Transaktion verwendet, sind die vorherigen vier TANs ungültig. Das Kreditinstitut kann als Herausgeber der Kundenkarte die TANs überprüfen.

Die Generierung der TANs erfolgt über den Chip auf der Kundenkarte des Kunden. Der TAN-Generator selbst ist nicht auf den Kunden individualisiert. Bei einem Verlust der Karte können mit einem beliebigen TAN-Generator gültige TANs erzeugt werden. Da für Transaktionen auch die PIN notwendig ist, stellt dies eine überschaubare Gefahr dar.

Dieses Verfahren ist anfällig für Phishing- bzw. Man-in-the-middle-Angriffe, da die generierten TANs für beliebige Transaktionen verwendet werden können. Eine Auftragsbindung findet nicht statt. Die Verbreitung dieses Verfahrens ist gering.

eTAN-Generator (z. B. BW-Bank, Cortal Consors)

eTAN-Generator der BW-Bank

Im Dezember 2006 hat die BW-Bank dieses Verfahren eingeführt.[9] Kunden erhalten einen individualisierten TAN-Generator, der unter Einbeziehung eines geheimen Schlüssels, der aktuellen Uhrzeit und der Kontonummer des Empfängers eine temporär gültige TAN erzeugt. Die Empfängerkontonummer muss über das Ziffernfeld des TAN-Generators eingegeben werden. Weitere Personendaten werden nicht verwendet.

Dieses Verfahren schützt vor Phishing- bzw. Man-in-the-middle-Angriffen, sofern die korrekte Empfängerkontonummer eingegeben wird. Die manuelle Eingabe der Kontonummer ist wenig komfortabel. Bei einem Verlust des TAN-Generators können weiterhin TANs generiert werden. Da für Transaktionen auch die PIN notwendig ist, stellt dies eine überschaubare Gefahr dar.

Bei weiteren Banken (z. B. der Santander Consumer Bank) muss statt der Empfängerkontonummer eine für die jeweilige Überweisung generierte Kontrollnummer (Startcode) eingegeben werden. Im Gegensatz zur Eingabe des Empfängerkontos ist dieses Verfahren für Man-in-the-middle-Angriffe anfällig, da die Empfängerkontonummer nicht kontrolliert wird.

Einige TAN-Generatoren anderer Banken (z. B. von der Bank für Sozialwirtschaft) erstellen zeitlich begrenzt gültige TANs nur anhand eines individuellen geheimen Schlüssels und der Uhrzeit, ohne Eingabe einer Kontrollnummer oder eines Empfängerkontos. Hier ist weder Kartenlesegerät noch Tastatur am Generator erforderlich. Da keinerlei Auftragsbezug besteht, ist das Verfahren ähnlich Phishing-anfällig wie das vorher beschriebene sm@rt-TAN-Verfahren. Allerdings müsste die unerwünschte Transaktion innerhalb des kurzen Gültigkeitszeitraums der TAN veranlasst werden.

chipTAN manuell/sm@rtTAN-Plus

Zahlreiche Volks- und Raiffeisenbanken[10] sowie viele Sparkassen bieten dieses Verfahren an.

Der Kunde erwirbt ggf. kostenpflichtig einen TAN-Generator mit Ziffernfeld und Karteneinschub als weiteres Elektronikgerät. Eine Ersatzlösung mit einem bereits vorhandenen Gerät ist nicht vorgesehen.

Nachdem eine Überweisung im Online-Banking erfasst wurde, wird ein (Start-)Code am Bildschirm angezeigt. Nun muss die persönliche Bankkarte in den TAN-Generator eingesteckt werden und dieser (Start-)Code über das Ziffernfeld des TAN-Generators eingetippt werden. Danach werden die Empfängerkontonummer sowie der Betrag der Überweisung (bei Volksbanken und Sparkassen) am TAN-Generator eingetippt. Die mehrmalige Eingabe derselben Information nacheinander an zwei Geräten ist weniger komfortabel.

Aus den am TAN-Generator eingegebenen Daten errechnet der TAN-Generator eine auftragsbezogene TAN, die im Online-Banking erneut manuell mit der Tastatur des Online-Platzes eingegeben wird. Dieses Verfahren schützt vor Phishing- bzw. Man-in-the-middle-Angriffen, nachdem die Empfängerkontonummer und der Betrag genauso, wie am TAN-Generator erneut eingegeben sind. Die Relevanz solcher Botschaften ist zeitlich beschränkt, da die Anbieter stets versuchen werden, die Lücken zu schließen.

Bei einem Verlust der Bankkarte können durch den Finder mit einem beliebigen TAN-Generator weiterhin TANs generiert werden. Da für Transaktionen auch die PIN notwendig ist, stellt dies eine überschaubare Gefahr dar. Sobald eine Bankkarte gesperrt wird (z. B. bei Diebstahl), werden mit dieser Karte erzeugte TANs vom Kreditinstitut abgelehnt.

chipTAN comfort/SmartTAN optic (Flickering)

Erzeugung einer TAN mittels chipTAN comfort am Beispiel des Online-Bankings einer Sparkasse.
TAN-Generator mit optischen Sensoren (oben).

Dieses neue Verfahren findet in Deutschland eine zunehmende Verbreitung. Viele Sparkassen sowie die Postbank und auch einige Volks- und Raiffeisenbanken setzen es bereits ein. Die Sparkassen und die Postbank nennen dieses optische TAN-Verfahren „chipTAN comfort“, während die Volksbanken die Bezeichnung „SmartTAN optic“ dafür verwenden. Die Kunden erwerben dazu einen TAN-Generator mit Ziffernfeld und Karteneinschub. Auf der Rückseite des TAN-Generators befinden sich fünf optische Sensoren. Nachdem eine Überweisung im Online-Banking erfasst wurde, erscheint am Bildschirm eine Grafik, die fünf flackernde Schwarz-Weiß-Flächen enthält. Nun muss die persönliche Bankkarte in den TAN-Generator eingesteckt werden. Sobald der TAN-Generator am Bildschirm an die Grafik gehalten wird, erfolgt eine Datenübertragung durch Lichtsignale. Hierbei wird ein (Start-)Code, die Empfängerkontonummer sowie der Überweisungsbetrag an den TAN-Generator übermittelt. Auf dem Display des TAN-Generators werden im Anschluss die Empfängerkontonummer sowie der Überweisungsbetrag angezeigt. Diese müssen bestätigt werden. Der TAN-Generator errechnet nun eine auftragsbezogene TAN, die im Online-Banking eingegeben wird.

Dieses Verfahren schützt vor Phishing- bzw. Man-in-the-Middle-Angriffen, sofern die im Display angezeigten Daten vor der Bestätigung auf ihre Richtigkeit geprüft werden. Durch die optische Übertragung müssen keine Auftragsdaten am TAN-Generator eingegeben werden. Bei einem Verlust der Bankkarte kann der Finder mit einem beliebigen TAN-Generator weiterhin TANs generieren. Da für Transaktionen auch die PIN notwendig ist, stellt dies eine überschaubare Gefahr dar. Sobald eine Bankkarte gesperrt wird (z. B. bei Diebstahl), werden mit dieser Karte erzeugte TANs vom Kreditinstitut abgelehnt.

Angriffsmöglichkeiten zeigen sich in Verbindung mit Sammelüberweisungen. Hier wird im Display des TAN-Generators nur die Anzahl der Posten sowie der Gesamtbetrag angezeigt. Auf die Anzeige der einzelnen Empfängerkontonummern wird verzichtet, da dies bei umfangreichen Sammelüberweisungen nicht darstellbar wäre. Bei einem Angriff könnten nun die einzelnen Überweisungen des Sammlers verändert werden. Solange die Anzahl der Posten und der Gesamtbetrag gleich bleibt, wäre die Manipulation im Display des TAN-Generators nicht erkennbar.

Eine weitere Angriffsmöglichkeit wäre die Umwandlung einer Einzelüberweisung in eine Sammelüberweisung mit einem Posten. Der Nutzer würde in diesem Fall im Display des TAN-Generators nur die Anzahl der Posten (hier „1“) und den Betrag angezeigt bekommen. Nachdem dies bekannt wurde,[11][12] haben die deutschen Sparkassen die Displayanzeige bei Sammelüberweisungen mit nur einem Posten umgestellt. In diesem Fall werden trotz Sammelüberweisung die Empfängerkontonummer sowie der Betrag angezeigt. Bei Volksbanken im GAD-Umfeld sind hingegen Sammelüberweisungen mit nur einem Posten nicht zulässig und werden abgewiesen.

In allen Fällen ist die Sicherheit mindestens so hoch wie bei Benutzung von TAN- oder iTAN-Listen. Kontrolliert der Benutzer aber die angezeigten Daten und benutzt keine Sammelüberweisung, ist die Sicherheit deutlich erhöht.

Sicherheit

Generell kann ein Betrüger versuchen, eine TAN zu raten. Bei einer 6-stelligen TAN ist die Wahrscheinlichkeit 1:1.000.000, eine bestimmte TAN mit einem Versuch zu raten. Wenn der Kunde zur Legitimation aus einer Liste von beispielsweise 100 TAN eine beliebige auswählen kann, ist die Wahrscheinlichkeit für den Betrüger, eine dieser TANs zu raten, 1:10.000. Wenn der Betrüger drei Versuche hat, um genau eine TAN zu erraten, so ergibt sich eine Wahrscheinlichkeit von ungefähr

P = \frac{100}{10^6}+ \left(1-\frac{100}{10^6}\right)\cdot\left(\frac{100}{10^6-1}+\left(1-\frac{100}{10^6-1}\right)\cdot\frac{100}{10^6-2}\right) \approx 0,03 % .

Anstatt zu raten, kann der Betrüger versuchen, TANs auszuspähen. Des Öfteren wurde bereits versucht, durch Phishing in den Besitz von Transaktionsnummern zu kommen. In einer Variante wird hierbei dem Bankkunden eine E-Mail mit einem Link auf eine falsche Internetadresse der Bank geschickt. Der Text der E-Mail bzw. Internetseite soll den Kunden veranlassen, auf dieser falschen Internetseite seine Kontonummer, seine PIN und auch noch nicht verwendete TANs einzugeben.

Die Sicherheit des iTAN-Verfahrens ist differenziert je nach Bedrohungstyp zu sehen. Während beim klassischen TAN-Verfahren im Mittel 50 TANs auf einem TAN-Bogen gültig sind (der TAN-Bogen enthält 100 TANs, von denen im statistischen Mittel die Hälfte bereits verbraucht sind), ist beim iTAN-Verfahren jeweils nur die einzige TAN gültig, welche die Bank während der Transaktion abfragt. Es bietet daher einen guten Schutz gegen Phishing, sofern der Bankkunde nicht zu viele iTANs in eine Phishing-Seite eingibt. Es bietet keinen Schutz gegen Man-In-The-Middle-Angriffe, worauf verschiedene Veröffentlichungen hingewiesen haben.[13][14][15]

Phishing ist erfolgreich, weil viele Nutzer des Online-Bankings nicht genau überprüfen, ob die im Browser angezeigte Seite auch wirklich von der gewünschten Bank stammt. Beim klassischen TAN-Verfahren ist der Betrüger erfolgreich, wenn er Kontonummer, PIN und eine beliebige, noch nicht benutzte TAN erfährt, d. h. der Kunde diese Daten auf der gefälschten Internetseite einträgt. Beim iTAN-Verfahren hat der Betrüger eine geringe statistische Wahrscheinlichkeit, eine erbeutete iTAN zu verwerten.

Die TANs können aber auch von verschiedenen Trojanern und Bots gephisht werden. Hierbei handelt es sich um eine https-injection. Das bedeutet, dass der Trojaner trotz verschlüsselter Verbindung (https) die Daten, die eingeben werden, erkennt. Eine andere Gefahr ist, dass der Trojaner den Browser so manipuliert, dass man beim Versuch eines Verbindungsaufbaus zu seiner Bank automatisch zu einer Phishing-Seite umgeleitet wird. Weiterhin besteht die Möglichkeit einer Bank-Injection. Hierbei wird bei einer Überweisung unauffällig die Kontonummer des Zielkontos in eine vom Betrüger festgelegte geändert.

Die Sicherheit des klassischen TAN-Verfahrens sowie des iTAN-Verfahrens ist begrenzt, da die TAN nicht direkt mit dem Inhalt der Überweisung verknüpft wird. Dadurch kann die Bank nicht alleine mit Hilfe der übermittelten TAN entscheiden, ob der Auftrag korrekt ist. Dagegen bietet das mTAN-Verfahren einen besseren Schutz gegen Phishing- und Man-in-the-middle-Angriffe. Bei der Postbank AG und der HypoVereinsbank wird dem Kunden beim Versand der mTAN der Überweisungsbetrag und die Empfänger-Kontonummer im Text mitgesendet. Dadurch hat der Kunde die Möglichkeit, diese Daten mit der bei der Bank eingegebenen Überweisung zu vergleichen und einen möglichen Betrug zu bemerken. Allerdings muss der Kunde beim Empfang der SMS nicht nur die mTAN lesen, sondern auch Betrag und Empfänger-Kontonummer überprüfen.

Auch Verfahren, die auf elektronischen Unterschriften basieren, wie das HBCI-Verfahren mit Chipkarte, bieten keinen höheren Schutz. Hier wird aus dem Inhalt der Überweisung mit kryptographischen Verfahren eine Prüfsumme berechnet und an die Bank übermittelt. Die Bank kann hier anhand der Prüfsumme feststellen, ob die Überweisung vom Kunden kommt oder nicht, und auch, ob die Überweisung seit dem Signiervorgang unverändert ist. Sofern der PC des Kunden mit Schadsoftware Trojanischen Pferden (Trojaner) oder Viren infiziert ist, könnten Daten bereits manipuliert an den Kartenleser geleitet werden. Am Kartenleser ist nicht sichtbar, welche Daten zur elektronischen Signatur vorliegen.

Neuere TAN-Verfahren mit einem TAN-Generator (z. B. chipTAN comfort/SmartTAN optic) verknüpfen die TAN mit den Auftragsdaten. Die damit erzeugten TANs können nicht für abweichende (betrügerische) Überweisungen genutzt werden. Sofern Überweisungsdaten durch Schadsoftware verändert werden, sind diese veränderten Werte auf dem Display des TAN-Generators sichtbar. Der Bankkunde kann die Transaktion in diesem Fall abbrechen. Da der TAN-Generator nicht an den PC angeschlossen wird, ist eine Manipulation der Displayanzeige ausgeschlossen. Alle bisherigen, technischen Angriffsarten können damit wirkungsvoll verhindert werden. Einzige Gefahrenquelle bleibt der sorglose Umgang mit den angezeigten Auftragsdaten im Display des TAN-Generators.

Geschichte

Das PIN/TAN-Verfahren wurde bereits zu Zeiten des Btx-Onlinebankings benutzt. Die Idee wird dem technischen Leiter der damaligen Verbraucherbank (heute Norisbank), Alfred Richter, zugeschrieben.[16] Zunächst war dieser Zugriffschutz 1976 nur für den internen Gebrauch gedacht, ab 1979 führte die Bank Onlinebanking ein.

Siehe auch

Weblinks

Einzelnachweise

  1. Christiane Schulzki-Haddouti / dab: BKA: iTAN-Verfahren keine Hürde mehr für Kriminelle. In: heise Security. 18. Mai 2009, abgerufen am 8. Oktober 2010.
  2. dab: Verbessertes iTAN-Verfahren soll vor Manipulationen durch Trojaner schützen. In: heise online. 26. Oktober 2007, abgerufen am 8. Oktober 2010.
  3. bb: TÜV-Zertifizierung für mobile TAN der Postbank. In: heise online. 18. April 2006, abgerufen am 8. Oktober 2010.
  4. Das mobileTAN-Verfahren der FIDUCIA IT AG erhält Siegel des TÜV Rheinland. In: Website der FIDUCIA IT AG. 2. Mai 2007, abgerufen am 8. Oktober 2010.
  5. Victim's SIM swap fraud nightmare auf IOL
  6. mTAN in Australien ausgehebelt auf Heise Security
  7. Banking-Trojaner ZeuS nimmt SMS-TAN-Verfahren ins Visier auf Heise Security
  8. Angriffe auf deutsche mTAN-Banking-User, Heise News-Meldung vom 5. April 2011
  9. Pressemitteilung der BW-Bank zum TAN-Generator, Stand 4. Januar 2007
  10. Beschreibung des Sm@rtTAN-Plus-Verfahrens der GAD, Stand 26. Juni 2008
  11. Man-in-the-Middle-Angriffe auf das chipTAN comfort-Verfahren im Online-Banking RedTeam Pentesting GmbH, 23. November 2009, abgerufen am 27. Oktober 2010
  12. chipTAN-Verfahren-der-Sparkassen-ausgetrickst auf Heise Security
  13. Forschungsgruppe „RedTeam” der RWTH Aachen warnt vor trügerischer Sicherheit des neuen iTAN Verfahren RedTeam Pentesting GmbH, 25. August 2005, abgerufen am 27. Oktober 2010
  14. iTAN-Verfahren unsicherer als von Banken behauptet Heise Newsticker, 26. August 2005, abgerufen am 27. Oktober 2010
  15. Erfolgreicher Angriff auf iTAN-Verfahren Heise Newsticker, 11. November 2005, abgerufen am 27. Oktober 2010
  16. http://www.heise.de/newsticker/meldung/Vor-30-Jahren-Online-Banking-startet-in-Deutschland-1135331.html

Wikimedia Foundation.

Игры ⚽ Нужно решить контрольную?

Schlagen Sie auch in anderen Wörterbüchern nach:

  • Transaktionsnummer — TAN * * * Transaktionsnummer,   TAN …   Universal-Lexikon

  • Transaktionsnummer — Beim Homebanking (e banking) verwendeter geheimer Code, der bei jeder Transaktion (beispielsweise bei einer Überweisung) angegeben wird. Der Benutzer erhält von seiner Bank vorab eine Liste mehrerer Transaktionsnummern (TANs). e banking …   Online-Wörterbuch Deutsch-Lexikon

  • Indizierte Transaktionsnummer — Eine Transaktionsnummer (TAN) ist ein Einmalpasswort, das üblicherweise aus sechs Dezimalziffern besteht und vorwiegend im Online Banking verwendet wird. Inhaltsverzeichnis 1 Realisierung 1.1 TAN Liste 1.2 Indizierte TAN Liste 1.3 …   Deutsch Wikipedia

  • TAN — Transaktionsnummer * * * tan 〈Abk. für〉 Tangens * * * tan = Tangens. * * * I TAN,   Abkürzung für Transaktionsnummer (persönliche Identifikationsnummer). II …   Universal-Lexikon

  • TAN — • Transaktionsnummer (unter BTX) • tan : Tangens Funktion …   Acronyms

  • TAN — Transaktionsnummer. Beim Homebanking (e banking) verwendeter geheimer Code, der bei jeder Transaktion (beispielsweise bei einer Überweisung) angegeben wird. Der Benutzer erhält von seiner Bank vorab eine Liste mehrerer Transaktionsnummern. e… …   Online-Wörterbuch Deutsch-Lexikon

  • Cache Poisoning — (dt. Temporärspeichervergiftung) ist ein Internet Angriff, bei dem ein Angreifer in den Cache eines DNS Servers gefälschte Daten einbringt. Ziel ist es, Clients, die unwissentlich auf diese gefälschten Daten zugreifen, auf manipulierte Webseiten… …   Deutsch Wikipedia

  • HBCI — Homebanking Computer Interface (HBCI) ist ein offener Standard für den Bereich Electronic Banking und Kundenselbstbedienung. Er wurde von verschiedenen Bankengruppen in Deutschland entwickelt und vom Zentralen Kreditausschuss (ZKA) beschlossen.… …   Deutsch Wikipedia

  • HBCI+ — Homebanking Computer Interface (HBCI) ist ein offener Standard für den Bereich Electronic Banking und Kundenselbstbedienung. Er wurde von verschiedenen Bankengruppen in Deutschland entwickelt und vom Zentralen Kreditausschuss (ZKA) beschlossen.… …   Deutsch Wikipedia

  • HBCI-Homebanking — Homebanking Computer Interface (HBCI) ist ein offener Standard für den Bereich Electronic Banking und Kundenselbstbedienung. Er wurde von verschiedenen Bankengruppen in Deutschland entwickelt und vom Zentralen Kreditausschuss (ZKA) beschlossen.… …   Deutsch Wikipedia

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”