Generation TAN
Über 27 Millionen Deutsche wickeln ihre Bankgeschäfte über den heimischen PC ab. Laut Bitkom nutzen mittlerweile 43 Prozent aller Bundesbürger im Alter von 16 bis 74 Jahren Online-Banking.
Zum Vergleich: Im Jahr 2003 waren es erst 21 Prozent.
Die Popularität steigt weiter und mit ihr leider auch die Zahl der Betrugsfälle, bei der Kriminelle mit ausgespähten Zugangsdaten das Konto leer räumen. Für das Jahr 2010 prognostizierte das BKA eine Schadenssumme von 17 Millionen Euro bei insgesamt 5000 Fällen ein Anstieg um 71 Prozent.
Der Zuwachs der Betrugsfälle ist dabei sogar stärker als der Zuwachsneuer Online-Banking-Anwender.
Den Kriminellen gelingt es immer häufiger, PINs und TANs mitzulesen und für eigene Überweisungen zu missbrauchen. Weil das herkömmliche PIN/TAN-Verfahren vor dem klassischen Phishing über nachgemachte Web-Seiten keinen Schutz bot, sind die meisten Banken relativ schnell auf das iTAN-Verfahren umgestiegen. Beim iTAN-Verfahren wird der Kunde nach einer bestimmten TAN auf seiner Liste gefragt, beispielsweise der 42. Ein Betrüger müsste die gesamte meist hundert TANs umfassende Liste stehlen, um die Frage beantworten zu können - oder den PC seines Opfers mit einem Spionageprogramm infizieren.
Es hat zwar einige Zeit gedauert, bis sich die Betrüger auf die neue Situation eingestellt haben, aber mittlerweile schieben sie Anwendern etwa über Exploits für Java oder den Flash Player Trojaner auf den Rechner - und dabei trifft es auch viele, die bislang über Phishing-Opfer lachten.
Banking-Trojaner wie ZeuS und SpyEye sind in der Lage, die gesamte Kommunikation im Webbrowser so zu manipulieren, dass sie parallel zur legitimen Transaktion des Bankkunden in Echtzeit eine weitere Überweisung anstoßen. Dazu legen sie sich auf die Lauer und warten, bis der Anwender sich auf einer Bankenseite mit seiner PIN einloggt.
Schickt das Opfer eine Überweisung ab, tauscht der Trojaner die Überweisungsdaten heimlich aus und leitet sie an den Bankingserver weiter. Die anschließende Frage des Bankingservers nach der iTAN leitet der „Mann im Browser" zwar noch weiter, nicht jedoch ohne vorher die vom Server zur Kontrolle angezeigten Transaktionsdaten wieder gegen die ursprünglichen Daten auszutauschen.
Im Glauben, die eigene Transaktion zu legitimieren, gibt das Opfer die iTAN ein - und schwupps landet das Geld auf dem Konto des Betrügers.
Manchmal manipulieren die Trojaner sogar noch die Anzeige des Kontostandes, um dem Anwender vorzugaukeln, die Überweisung wäre in die richtigen Wege geleitet. Der merkt unter Umständen erst Tage später, dass irgendwas mit dem Konto nicht stimmt.
Bereits Mitte 2009 konstatierte das Bundeskriminalamt, dass das iTAN-Verfahren keine Hürde mehr für Kriminelle darstellt. Viele Banken haben auf die Bedrohungslage mit der Einführung erneut verbesserter Verfahren reagiert, beispielsweise TANGeneratoren und mobile TAN.
Mehr Schritte
Moderne TAN-Generatoren arbeiten nach einem Zweischrittverfahren:
Die Auftragseinreichung und die TAN-Ermittlung sind zwei voneinander getrennte Prozesse. Dazu ist ein rund zehn Euro teurer, spezieller Kartenleser (ChipTAN/Sm@rtTANGerät) mit Zehnertastatur erforderlich, über die man nach dem Einstecken der Bankkarte einen von der Bank übermittelten Startcode und die angezeigten Überweisungsdaten eingeben muss. Anschließend errechnet die Bankkarte die zur Freigabe erforderliche sechsstellige TAN und zeigt sie im Display des ChipTAN-Geräts an.
Die TAN lässt sich nur für genau diese Transaktion benutzen und ist auch nur einige Minuten gültig.
Ein Betrüger kann eine mitgelesene TAN nicht für eigene Überweisungen verwenden, da der Server sie ablehnen würde. Allerdings ist es prinzipiell nicht unmöglich, dass ein Trojaner den im Browser angezeigten Startcode und die Bankdaten gegen neue austauscht, bevor das Opfer sie in das Gerät eingibt.
Der Schutz davor ist jedoch einfach:
Genauestens die einzugebenden Daten kontrollieren.
Weil die Eingabe von Zahlenkolonnen in das Gerät etwas mühsam und fehlerträchtig ist, bieten die Banken zusätzlich die optische Übertragung der Daten über ein flackerndes Schwarzweiß-Muster auf dem Bildschirm an. Via Flash, bewegtes GIF oder JavaScript erzeugt der Browser den sogenannten Flickercode. Zum Empfang enthalten Chip- TAN-Geräte der Komfortklasse zusätzlich fünf Fototransistoren. Diese empfangen die Schwarzweiß-Signale und wandeln sie in die alphanumerischen Zeichen für Startcode, Kontonummer und Betrag um. Das Gerät zeigt dann nacheinander Konto und Betrag an, die man mit den gewünschten Daten vergleichen und bestätigen muss. Anschließend generiert das Gerät die TAN. Solange man die auf dem Gerät dargestellten Informationen sorgfältig kontrolliert, kann auch hier kein Betrüger eine Transaktion manipulieren.
Die Polizei Bielefeld berichtete im Mai von zwei Fällen, bei denen ein Trojaner eine notwendige Synchronisierung eines Gerätes vorgaukelte und dabei Überweisungsdaten übertrug. Weil die Opfer die Daten einfach abnickten und schließlich sogar die TAN eingaben, gingen mehrere tausend Euro verloren.
Leider hat man nicht immer die Gelegenheit, die Daten genau zukontrollieren - beispielsweise bei Sammelüberweisungen via ChipTAN. In einer Sammelüberweisung kann der Kunde einzelne Überweisungen zusammenfassen und mit einer einzigen TAN legitimieren. Der Haken an der Sache: Anders als bei Einzelüberweisungen erscheinen im ChipTAN-comfort-Gerät bei einer Sammelüberweisung nur die Gesamtsumme und die Anzahl der Überweisungen. Einzelne Zielkonten zeigt das Gerät nicht an. Somit hat der Kunde keine Möglichkeit, eine Manipulation der Transaktionsdaten festzustellen.
Ein Trojaner könnte beispielsweise die vom Kunden abgeschickten Daten im Browser abfangen und durch eigene austauschen, sodass zwar die Summe und die Zahl der Überweisungen gleich, die Zielkonten aber andere sind. In der Praxis wurden jedoch noch keine Missbrauchsfälle durch Sammelüberweisungen beobachtet.
Bei ersten Generationen der Geräte ließen sich sogar Einzelüberweisungen manipulieren. Dazu musste ein Trojaner die Einzelüberweisung abfangen und in eine Sammelüberweisung mit nur einer Überweisung umwandeln und an die Bank schicken. Beim Einlesen der Transaktionsdaten in den TANGenerator erschien dann nur die Summe und die Anzahl der Überweisungen als eine 1. Wer nicht genau hinschaute, dem fiel nicht auf, dass das Gerät keine Kontonummer anzeigte, und gab anschließend die generierte TAN ein. Die Banken haben daraufhin das Verfahren bei Sammelüberweisungen modifiziert, sodass dieser Betrug nicht mehr möglich ist.
TAN to go
Obwohl die Übertragung per Flickercode das Generieren einer TAN vereinfachen soll, haben viele Anwender Probleme damit.
Gründe können zu hell eingestellte Montitore, zu viel Umgebungslicht und falsches Halten des ChipTAN-Gerätes sein. Die Fehlerträchtigkeit belastet Berichten zufolge die Hotlines der Banken, weshalb viele Institute ihren Kunden lieber zur mobilen TAN raten, also einer TAN per SMS auf das Handy.
Bei der mobilen TAN (mTAN/smsTAN) machen sich die Banken den Umstand zunutze, dass in Deutschland so gut wie jeder Kunde ein eigenes Handy besitzt und meist auch immer dabei hat. So ist es möglich, die für eine Transaktion erforderliche Nummer auf einem vom PC unabhängigen, sicheren Kanal zum Kunden zu schicken. Darin stehen neben der TAN zur Kontrolle zusätzlich die Überweisungsdaten. Zudem ist die TAN sicherheitshalber nur wenige Minuten und auch nur für diese Transaktion gültig. Doch auch hier gilt: Nur wer richtig kontrolliert, ist auf der sicheren Seite.
Es gibt erste Fälle, in denen Trojaner auf dem PC die Daten ausgetauscht haben und das Opfer die unterschiedlichen Angaben in der SMS nicht bemerkte.
Bei den großen Instituten ist das Zusenden einer mTAN kostenlos.
Um in den Genuss dieses flexiblen Verfahrens zu kommen, muss man in der Regel nur einmalig seine Handy-Nummer registrieren und die Funktion über einen Freischaltcode aktivieren.
Doch die Popularität des mTAN-Verfahrens hat auch die Kriminellen angestachelt, die ihrerseits ihre Verfahren verfeinert haben. Die neueste Masche ist es, zuerst den PC eines Opfers mit dem Trojaner ZeuS oder SpyEye zu infizieren. Im Online- Banking-Dialog fragt der Schädling dann scheinheilig nach der Handynummer und schickt dorthin per SMS einen Link zu einem als Sicherheits-Update getarnten mobilen Trojaner. Wer sich den installiert, hat fortan einen Spion, der alle SMS mitliest und unbemerkt an den Betrüger weiterleitet. Der hat nun alle Fäden in der Hand.
Derartige Angriffe wurden bislang auf Smartphones mit Symbian und Windows Mobile beobachtet, im April dieses Jahr sogar erstmals auf deutsche Smartphone-Besitzer.
Aufgrund der Virenproblematik sind beim Mobile-Banking per Smartphone keine mTANs zugelassen. Ein auf das iPhone eingeschleuster Schädling hätte sowohl Zugriff auf mTANs als auch auf die Transaktionsdaten und könnte ohne jegliche Nutzerinteraktion das Konto plündern.
Apps wie S-Banking von Star Finanz für iPhone und Android bieten deshalb im Überweisungsdialog auch nur alternative TAN-Verfahren wie iTAN an.
Bei den meisten Banken kann man sich praktischerweise für mehrere TAN-Verfahren registrieren, sodass man sich nicht auf ein Verfahren festlegen muss.
Die Postbank etwa erlaubt die parallele Nutzung von ChipTAN und mTAN.
Wer im Ausland aufgrund hoher Roaming-Kosten das Anfordern einer mTAN scheut, kann sich immer noch per ChipTAN legitimieren.
Bei bestimmten Überweisungshöhen kann auch das TAN-Verfahren wechseln. So lassen sich Überweisungen über 1000 Euro beispielsweise bei der Netbank statt mit einer iTAN nur noch per mTAN absegnen.
Kartenlegen
Weiterhin gilt das Homebanking Computer Interface (HBCI) mit Chipkarte als eine der sichersten Methoden für Online-Banking. Insbesondere in Zusammenarbeit mit Homebanking-Software wie Quicken, StarMoney und WISO bietet HBCI nicht nur Schutz vor Phishing und Pharming-Angriffe auf die DNS-Einstellungen des Routers und PC, sondern auch einen bequemen Zugang zum Konto. Statt über das Webinterface der Bank spricht der PC über ein spezielles Protokoll mit dem Bankserver.
Transaktionen werden nicht mehr mit einer TAN legitimiert.
Stattdessen signiert der Anwender eine Prüfsumme seiner Transaktionsdaten mit seinem geheimen, auf der Karte gespeicherten Schlüssel und schickt das ganze an die Bank.
Da der Signaturvorgang in der Karte erfolgt und sich der Schlüssel nicht aus der Karte auslesen lässt, kann ein Angreifer mit ihm keine eigenen Transaktionen signieren.
Zum Signieren muss der Kunde zudem eine PIN eingeben, um den Vorgang freizuschalten.
Anhand des bei ihr hinterlegten Schlüssels kann die Bank die Gültigkeit der empfangenen Transaktionsdaten verifizieren.
Einige Banken bieten alternativ auch die Speicherung des Schlüssels auf Diskette oder USB-Stick an.
Für HBCI mit Karte benötigt man einen Kartenleser zum Anschluss an den PC - Kostenpunkt ab 50 Euro aufwärts. Der Leser sollte eine eigene Tastatur (Klasse 2 oder 3) besitzen, weil sonst die Eingabe der Karten-PIN auf dem PC erfolgen muss. Dort könnte ein Trojaner mitlesen und damit eigene Überweisungen freischalten.
Ein Schädling hat noch einen weiteren Angriffspunkt:
Zwar zeigt die Banking- Software die Daten einer Überweisung an, jedoch sieht der Anwender nicht, was er letztlich mit der Karte signiert. Auch Kartenleser mit Display zeigen in der Regel nur den Betrag an, nicht jedoch, wohin das Geld geht. Ein Trojaner könnte hier eingreifen, indem er die vom Kunden auf dem PC angestoßene Überweisung vor der Übermittlung an den Kartenleser ändert.
Solche Schädlinge wurden bislang aber noch nie beobachtet.
Vermutlich ist HBCI mit Chipkarte aufgrund der vergleichsweise geringen Verbreitung für Betrüger derzeit uninteressant. Alternativ zu HBCI mit Chipkarte können Kunden auch HBCI mit den jeweiligen TAN-Verfahren der Bank benutzen. Das nennt sich zwar HBCI+ (oder FinTS mit PIN und TAN), bietet aber im Vergleich zur Variante mit Chipkarte keinen Zugewinn an Sicherheit - im Gegenteil. Je nach eingesetztem TAN-Verfahren haben es Betrüger mehr oder minder leicht, eine mitgelesene TAN für ihre Zwecke zu verwenden.
Die Konfiguration von HBCI+ in der Finanzsoftware für die jeweilige Bank und das gewünschte TAN-Verfahren, etwa ChipTAN oder mTAN, ist nicht immer einfach. Anwender sollten sich genau an die Anleitung der Software halten. Unter Umständen hat die Bank das Verfahren auch noch gar nicht für HBCI+ freigeschaltet; vorher fragen erspart Enttäuschungen oder Fehlinvestitionen.
Zukunft
Wie bei den TANs rüsten die Banken auch bei HBCI nach: Der Zentrale Kreditausschuss (ZKA) hat eine Spezifikation für eine neue Generation universeller Chipkartenleser unter dem Namen Secoder entwickelt. Mit Secoder soll Online-Banking mit digitaler Signatur noch sicherer werden, unter anderem weil für den Leser eine Tastatur und ein Display obligatorisch sind - und letzteres sogar die Transaktionsdaten zur Kontrolle anzeigt. Zudem muss die Eingabe der PIN zwingend auf dem Lesegerät erfolgen, unter HBCI ist dies selbst bei Klasse-3-Geräten eine Frage der Einstellung in der Finanzsoftware. Erstaunlicherweise sind Geräte der ersten Secoder-Generation sogar erheblich billiger als HBCI-taugliche Lesegeräte.
Mittelfristig sollen Secoder- Geräte ohnehin die bisherigen Chipkarten-Lesegeräte der Klassen 1, 2 und 3 ablösen. Die 2010 veröffentlichte Spezifikation Secoder ˇ2 unterstützt auch den neuen Personalausweis (nPA), womit sich prinzipiell ein weiteres Verfahren zur Legitimierung von Überweisungen etablieren könnte. Die ersten Geräte befinden sich nach Angaben des Zentralen Kreditausschusses im Zulassungsverfahren und der Zertifizierung durch das BSI; mit der Abnahme soll noch im Juli zu rechnen sein.
Guter Rat
TANs auf Papierlisten haben eigentlich ausgedient und bieten nur noch wenig Schutz vor Trojanerangriffen. iTANs lassen sich mangels Trojanern nur noch unter Linux und Mac OS X ruhigen Gewissens einsetzen. Dennoch setzen weiterhin einige Banken auf iTANs, ohne eine Ausweichmöglichkeit auf eines dermodernen Verfahren ChipTAN oder mTAN anzubieten.
Die großen Institute lassen Papier-TANs hingegen aussterben.
Die Postbank hat das Thema bereits zu den Akten gelegt. Die Sparkassen treiben ihre Kunden ebenfalls zu den besseren Verfahren.
Interessanterweise hat man in diesem Zuge bereits die Sicherheitsmaßnahmen beim Versand der iTANListen gelockert. Die Listen werden nur noch in normalen Kuverts auf normalem Papier verschickt. Innen geschwärzte Kuverts und zusammengeklebte Listen haben ausgedient.
Wer von seinem Institut nur vor die Wahl zwischen TAN oder iTAN gestellt wird, sollte besondere Sicherheitsmaßnahmen ergreifen und sich überlegen, wie er seinen Rechner noch weiter sichern kann. Dazu gehören unter Windows neben einem Virenscanner, einer aktivierten Firewall auch regelmäßige Sicherheits-Updates - insbesondere für Adobe-Software, Java und andere Browser-Plug-ins.
Anwender, die nur die Wahl zwischen (i)TAN und HBCI mit Chip haben, sollten HBCI wählen und sich dafür schon mal ein Secoder-Gerät zulegen. Die derzeit verfügbaren Geräte der ersten Generation sollen sich durch ein Firmware-Update auf die nächste Generation heben lassen.
Die Wahl zwischen ChipTAN und mTAN entscheidet der Geschmack und bisherige Gewohnheit:
Wer immer vom heimischen PC überweist, der mag sich mit dem ChipTAN-Gerät anfreunden.
Wer viel unterwegs ist und nicht ständig ein zusätzliches Gerät mit sich schleppen will, der wählt mTAN. Wer sich nicht entscheiden kann, nimmt beide Verfahren.
Nach Angaben des für die nördlichen Volks- und Raiffeisenbanken zuständigen IT-Dienstleisters GAD haben sich dort die meisten Anwender für ChipTAN entschieden.
Hundertprozentige Sicherheit bietet keines der Legitimierungsverfahren, denn letztlich muss der Anwender Angaben, Beträge und Hinweise ordentlich kontrollieren.
Wer nicht hinschaut und sich blind auf die Technik verlässt, läuft Gefahr, ein Opfer zu werden. Doch selbst wenn man reingefallen ist, besteht Hoffnung.
In der Regel erstatten Banken den Betrag, wenn man gewisse Spielregeln einhält. Dazu gehört es, den Schaden bei der Polizei anzuzeigen, die Bank zu informieren und die Anzeige an die Bank weiterzuleiten.