Linus Neumann analysiert für den IT-Dienstleister "Security Reseach Labs" Angriffszenarien. Demonstrieren will er, wie leicht es ein Angreifer hat, auch das Mobiltelefon zu infizieren, das die von der Bank per SMS gesendete Transaktionsnummer, eine sogenannte M-TAN, empfängt. Voraussetzung ist, dass der PC des Opfers bereits mit einem Trojaner infiziert ist. Der übermittelt dem Rechner des Täters heimlich jeden Tastendruck. Jetzt sendet Linus Neumann die Bitte an die Bank, ihm für eine Überweisung eine Transaktionsnummer auf das Handy zu schicken. Doch statt der M-TAN kommt eine gefälschte SMS vom Angreifer. Der Text fordert dazu auf, vor der Transaktion eine App zu installieren:
"Das Opfer-Mobiltelefon empfängt die Empfehlung und lädt diese App herunter, die von der 'Sicherheitsbehörde' oder von der 'Bank' empfohlen wurde, installiert diese und jetzt haben wir eine Maleware-Infektion auf diesem Mobiltelefon und dieses Mobiltelefon wird nun SMS-Nachrichten nicht mehr empfangen. Das heißt, wenn ich jetzt hier beginne, eine Transaktion vom Rechner des Opfers durchzuführen und die Bank beginnt, mir eine SMS zu senden, sehen wir: das Opfer-Telefon empfängt sie, zeigt sie doch nicht an und stattdessen sehen wir den Inhalt dieser SMS nun auf unserem Server."
Und zwar auf dem Server des Angreifers. Denn dort landen künftig alle Transaktionsnummern, heimlich umgeleitet vom Handy des Opfers:
"Ab jetzt habe ich als Angreifer alles, was ich brauche. Ich habe eine Möglichkeit, die SMS abzufangen, ich habe den Zugang zu diesem Konto, ich kann nun verschiedene Transaktionen durchführen, bekomme jeweils die Transaktionsnummer dazu und kann dieses Konto leer machen."
Mit dem ChipTan-Generator funktioniert das nicht mehr, weshalb er bereits von etlichen Banken eingesetzt wird. Halb so groß wie eine Fernbedienung ist das Gerät. Auf der einen Seite steckt man die EC- Karte hinein, auf gegenüberliegenden Seite befinden sich fünf Fotozellen, die man möglichst nahe an einen, auf dem Bildschirm flimmernden 'Zebrastreifen' halten soll.
Diese Lichtbalken übertragen die Überweisungsdaten an den ChipTan- Generator. Nach zwei Sekunden erscheinen auf dem winzigen LC-Display die Überweisungsdaten, nach einem Tastendruck die Ziffern der TAN, erklärt Andreas Staiger, Geschäftsführer des Herstellers "Reiner" aus Furtwangen.
"Die TAN-Nummer wird berechnet aus dem Betrag der Überweisung, aus der Kontonummer des Empfängers, die ich im Display des Gerätes hier angezeigt bekomme und in Verbindung mit meinem individuellen Schlüssel, den ich auf der EC-Karte abgespeichert habe, wird eine individuelle TAN- Nummer berechnet, die dann genau für diesen einen Auftrag gilt und nur für diesen Auftrag in der Kombination, Betrag und Kontonummer."
Das kann der Angreifer mitlesen?
"Das kann er mitlesen, aber er sieht nur die TAN 1,2,3,4,5,6 und damit kann ich 50 Euro an den Herrn Noelke überweisen, etwas anderes kann er nicht damit tun."
Dieses sichere Verfahren, mit zwei getrennten Geräten den Man-in-the-Middle auszusperren, kann allerdings im Zusammenspiel mit Touchscreens Probleme bereiten, dann nämlich, wenn der Generator den Bildschirm berührt. Die Idee, in diesem Fall Smartphones oder Tablets künftig per USB- oder Blutooth- mit dem Chip-TAN-Generator zu verbinden, wurde auf der Omnicard sehr kontrovers diskutiert. Einige Teilnehmer befürchten einen Rückschritt, da beide Übertragungswege angreifbar seien. Sich auf diesen künftigen Standard festzulegen, wird so noch längere Zeit dauern, anders, als zum Beispiel in der Schweiz, wo Banken mit eigenen, untereinander oft inkompatiblen Sicherheitssystemen konkurrieren. Die Mehrzahl europäischer Banken bevorzugen ein einheitliches System. Hans-Peter Dünnwald, Leiter der Fachgruppe "Multikanaltechnologie" des Informatikzentrums der Sparkassen:
"Also meine persönliche Meinung ist, dass wir mit dem Agreement, was wir in der deutschen Kreditwirtschaft haben, dass Sicherheit, also gerade auch das Thema Online-Banking-Sicherheit eben kein Wettbewerbsfaktor ist, eigentlich auf dem richtigen Weg sind. Dadurch, dass wir einheitliche Sicherheitsniveaus definieren wollen, die wir standardisieren und für alle letztendlich als Sicherheitsniveau vorschreiben, haben wir in der Vergangenheit auch immer die höheren Niveaus gehabt, - waren, was das Sicherheitsbewusstsein betrifft, wesentlich weiter, als in anderen Ländern, unter anderem auch in der Schweiz."
Zum Themenportal "Risiko Internet"
"Das Opfer-Mobiltelefon empfängt die Empfehlung und lädt diese App herunter, die von der 'Sicherheitsbehörde' oder von der 'Bank' empfohlen wurde, installiert diese und jetzt haben wir eine Maleware-Infektion auf diesem Mobiltelefon und dieses Mobiltelefon wird nun SMS-Nachrichten nicht mehr empfangen. Das heißt, wenn ich jetzt hier beginne, eine Transaktion vom Rechner des Opfers durchzuführen und die Bank beginnt, mir eine SMS zu senden, sehen wir: das Opfer-Telefon empfängt sie, zeigt sie doch nicht an und stattdessen sehen wir den Inhalt dieser SMS nun auf unserem Server."
Und zwar auf dem Server des Angreifers. Denn dort landen künftig alle Transaktionsnummern, heimlich umgeleitet vom Handy des Opfers:
"Ab jetzt habe ich als Angreifer alles, was ich brauche. Ich habe eine Möglichkeit, die SMS abzufangen, ich habe den Zugang zu diesem Konto, ich kann nun verschiedene Transaktionen durchführen, bekomme jeweils die Transaktionsnummer dazu und kann dieses Konto leer machen."
Mit dem ChipTan-Generator funktioniert das nicht mehr, weshalb er bereits von etlichen Banken eingesetzt wird. Halb so groß wie eine Fernbedienung ist das Gerät. Auf der einen Seite steckt man die EC- Karte hinein, auf gegenüberliegenden Seite befinden sich fünf Fotozellen, die man möglichst nahe an einen, auf dem Bildschirm flimmernden 'Zebrastreifen' halten soll.
Diese Lichtbalken übertragen die Überweisungsdaten an den ChipTan- Generator. Nach zwei Sekunden erscheinen auf dem winzigen LC-Display die Überweisungsdaten, nach einem Tastendruck die Ziffern der TAN, erklärt Andreas Staiger, Geschäftsführer des Herstellers "Reiner" aus Furtwangen.
"Die TAN-Nummer wird berechnet aus dem Betrag der Überweisung, aus der Kontonummer des Empfängers, die ich im Display des Gerätes hier angezeigt bekomme und in Verbindung mit meinem individuellen Schlüssel, den ich auf der EC-Karte abgespeichert habe, wird eine individuelle TAN- Nummer berechnet, die dann genau für diesen einen Auftrag gilt und nur für diesen Auftrag in der Kombination, Betrag und Kontonummer."
Das kann der Angreifer mitlesen?
"Das kann er mitlesen, aber er sieht nur die TAN 1,2,3,4,5,6 und damit kann ich 50 Euro an den Herrn Noelke überweisen, etwas anderes kann er nicht damit tun."
Dieses sichere Verfahren, mit zwei getrennten Geräten den Man-in-the-Middle auszusperren, kann allerdings im Zusammenspiel mit Touchscreens Probleme bereiten, dann nämlich, wenn der Generator den Bildschirm berührt. Die Idee, in diesem Fall Smartphones oder Tablets künftig per USB- oder Blutooth- mit dem Chip-TAN-Generator zu verbinden, wurde auf der Omnicard sehr kontrovers diskutiert. Einige Teilnehmer befürchten einen Rückschritt, da beide Übertragungswege angreifbar seien. Sich auf diesen künftigen Standard festzulegen, wird so noch längere Zeit dauern, anders, als zum Beispiel in der Schweiz, wo Banken mit eigenen, untereinander oft inkompatiblen Sicherheitssystemen konkurrieren. Die Mehrzahl europäischer Banken bevorzugen ein einheitliches System. Hans-Peter Dünnwald, Leiter der Fachgruppe "Multikanaltechnologie" des Informatikzentrums der Sparkassen:
"Also meine persönliche Meinung ist, dass wir mit dem Agreement, was wir in der deutschen Kreditwirtschaft haben, dass Sicherheit, also gerade auch das Thema Online-Banking-Sicherheit eben kein Wettbewerbsfaktor ist, eigentlich auf dem richtigen Weg sind. Dadurch, dass wir einheitliche Sicherheitsniveaus definieren wollen, die wir standardisieren und für alle letztendlich als Sicherheitsniveau vorschreiben, haben wir in der Vergangenheit auch immer die höheren Niveaus gehabt, - waren, was das Sicherheitsbewusstsein betrifft, wesentlich weiter, als in anderen Ländern, unter anderem auch in der Schweiz."
Zum Themenportal "Risiko Internet"