> Publications > Pressemitteilung: Online-Banking: Warnung vor trügerischer Sicherheit des iTAN Verfahren vertical divider

Pressemitteilung vom 25. August 2005


Forschungsgruppe „RedTeam” der RWTH Aachen warnt vor trügerischer Sicherheit des neuen iTAN Verfahren.


Das "indizierte TAN" (iTAN) Verfahren, das aktuell von mehreren deutschen
Banken eingeführt wird, um ihre Kunden effektiv vor Trojaner- und
Phishingangriffen zu schützen, wird diesem Anspruch nicht gerecht.
RedTeam hat das iTAN-Verfahren untersucht und konnte zeigen, dass
Angriffe weiterhin möglich sind. Die überbewertenden Äußerungen der
Banken über das Verfahren führen zu einem falschen Sicherheitsgefühl
verbunden mit einer Gefährdung der Bankkunden.

Der einzige Unterschied von iTAN zum klassischen TAN System besteht
darin, dass nicht mehr eine beliebige Transaktionsnummer (TAN) zur
Bestätigung eines Auftrages vom Kunden genutzt werden kann, sondern
diese von der Bank vorgeben wird. Dafür werden alle TAN-Nummern
durchnummeriert und nach Übermittlung des Auftrages vom Bankcomputer
eine zufällige TAN aus der TAN-Liste ausgewählt und diese fest mit
dem übermittelten Auftrag verknüpft. Der Kunde muss nun zur Bestätigung
des Auftrages genau diese TAN eingeben und kann auch keinen anderen
Auftrag mit dieser TAN bestätigen.

Ein Angreifer wird durch dieses Verfahren jedoch nur im Zeitraum
eingeschränkt, zu dem er eine schädliche Transaktion durchführen kann.
Erfolgreiche Angriffe selber werden aber nicht verhindert. Sobald ein
Angreifer durch einen Phishing- oder Trojanerangriff die Möglichkeit hat,
die Kommunikation zwischen Kunde und Bankcomputer zu manipulieren, kann
er einen Kunden zur Eingabe der benötigten TAN bewegen, ohne dass dieser
den Mißbrauch ahnt. Eine detaillierte Beschreibung der Schwachstelle
findet sich im Security-Advisory unter
https://www.redteam-pentesting.de/advisories/rt-sa-2005-014.txt.

RedTeam hat exemplarisch einige große Banken, die iTAN bereits einsetzen,
telefonisch über diesen Sachverhalt in Kenntnis gesetzt und um eine
Stellungnahme gebeten. Bei allen diesen Banken konnten kompetente
Ansprechpartner erreicht werden, die die Problematik nachvollziehen
konnten. An den Darstellungen gegenüber den Kunden solle aber weiter
festgehalten werden. Eine Bank geht sogar soweit, auf den ersten
Schaden bei Kunden zu warten, bis von den Aussagen zur effektiven
Sicherheit gegen Trojaner- und Phishingangriffen Abstand genommen werden
soll.

"Ein typisches Beispiel für Security Theater", sagt Maximillian Dornseif,
Sicherheitsexperte an der RWTH Aachen. "Die Banken haben geschickt die
Haftung für elektronischen Zahlungsverkehr auf die Kunden abgewälzt. Nach
den Phishing-Vorfällen wird eine Maßnahme eingeführt, die nur minimale
Sicherheitsverbesserungen bringt, den Kunden aber vorgemacht, dass sie nun
vor Missbrauch sicher seien."

Als Folge dieser Informationspolitik ist eine Desensibilisierung der
Kunden bezüglich möglichen Gefahren beim Onlinebanking zu befürchten, da
sich diese durch das iTAN Verfahren hinreichend geschützt fühlen. Eine
baldige Anpassung der Angriffe an die veränderte Situation ist zu
erwarten, da dafür kein hoher Aufwand nötig ist. Durch die
Veröffentlichung dieses Sachverhaltes möchte RedTeam die Kunden, wie
auch die Banken, auf die weiterhin vorhandenen Risiken aufmerksam
machen. Dies geschieht insbesondere mit Blick auf die angekündigte
Einführung des Verfahrens bei weiteren deutschen Banken.

RedTeam ist eine aus dem Umfeld der Lehr und Forschungsgebiets I4 an der
RWTH Aachen hervorgegange Forschungsgruppe zur IT-Sicherheit mit dem Ziel
die Sicherheit von IT-Systemen durch Forschung und Durchführung von
Penetrationtests, kurz Pentests, zu verbessern. Ein Pentest ist die
Simulation eines Angriffs, um sicherheitsrelevante Schwachstellen beim
Auftraggeber systematisch offenzulegen. Hierbei gewonnene Erkenntnisse
helfen System-Administratoren, ihre IT-Systeme vor realen Angriffen zu
schützen. Die hierdurch und durch Forschung gewonnene Erfahrung wird
von RedTeam in Form von Security-Advisories unter
http://www.redteam-pentesting.de und Beteiligung an der Lehre an der RWTH
Aachen der Öffentlichkeit zugänglich gemacht. Für weitergehende Fragen kann
RedTeam unter der E-Mail Adresse kontakt@redteam-pentesting.de erreicht
werden.