die Sache mit der iTAN und den Studenten

Meine Studenten zeigen Initiative und forschen fleißig. Sie veröffentlichen - wenn auch nicht unbedingt in den vorgefahrenen akademischen bahnen. Ich bin ganz klar stolz auf sie. Aber diesmal haben sie mir ein Wochenende am Telefon eingehandelt befürchte ich: Forschungsgruppe "RedTeam" der RWTH Aachen warnt vor trügerischer Sicherheit des neuen iTAN Verfahren. Das "indizierte TAN" (iTAN) Verfahren, das aktuell von mehreren deutschen Banken eingeführt wird, um ihre Kunden effektiv vor Trojaner- und Phishingangriffen zu schützen, wird diesem Anspruch nicht gerecht. RedTeam hat das iTAN-Verfahren untersucht und konnte zeigen, dass Angriffe weiterhin möglich sind. Die überbewertenden Äußerungen der Banken über das Verfahren führen zu einem falschen Sicherheitsgefühl verbunden mit einer Gefährdung der Bankkunden. Der einzige Unterschied von iTAN zum klassischen TAN System besteht darin, dass nicht mehr eine beliebige Transaktionsnummer (TAN) zur Bestätigung eines Auftrages vom Kunden genutzt werden kann, sondern diese von der Bank vorgeben wird. Dafür werden alle TAN-Nummern durchnummeriert und nach Übermittlung des Auftrages vom Bankcomputer eine zufällige TAN aus der TAN-Liste ausgewählt und diese fest mit dem übermittelten Auftrag verknüpft. Der Kunde muss nun zur Bestätigung des Auftrages genau diese TAN eingeben und kann auch keinen anderen Auftrag mit dieser TAN bestätigen. Ein Angreifer wird durch dieses Verfahren jedoch nur im Zeitraum eingeschränkt, zu dem er eine schädliche Transaktion durchführen kann. Erfolgreiche Angriffe selber werden aber nicht verhindert. Sobald ein Angreifer durch einen Phishing- oder Trojanerangriff die Möglichkeit hat, die Kommunikation zwischen Kunde und Bankcomputer zu manipulieren, kann er einen Kunden zur Eingabe der benötigten TAN bewegen, ohne dass dieser den Mißbrauch ahnt. Eine detaillierte Beschreibung der Schwachstelle findet sich im Security Advisory unter http://www.redteam-pentesting.de/advisories/rt-sa-2005-014.txt. RedTeam hat exemplarisch einige große Banken, die iTAN bereits einsetzen, telefonisch über diesen Sachverhalt in Kenntnis gesetzt und um eine Stellungnahme gebeten. Bei allen diesen Banken konnten kompetente Ansprechpartner erreicht werden, die die Problematik nachvollziehen konnten. An den Darstellungen gegenüber den Kunden solle aber weiter festgehalten werden. Eine Bank geht sogar soweit, auf den ersten Schaden bei Kunden zu warten, bis von den Aussagen zur effektiven Sicherheit gegen Trojaner- und Phishingangriffen Abstand genommen werden soll. "Ein typisches Beispiel für Security Theater", sagt Maximillian Dornseif, Sicherheitsexperte an der RWTH Aachen. "Die Banken haben geschickt die Haftung für elektronischen Zahlungsverkehr auf die Kunden abgewälzt. Nach den Phishing-Vorfällen wird eine Maßnahme eingeführt, die nur minimale Sicherheitsverbesserungen bringt, den Kunden aber vorgemacht, dass sie nun vor Missbrauch sicher seien." Als F…