Spaß mit der Presse(stelle)

[Eine Einführung gibt es bei Spaß mit der iTAN und Spaß mit der Uni] Innerhalb unserer Forschungsgruppe haben wir viel über die iTAN diskutiert. Erst langsam wurde uns klar, dass die iTAN nur minimalen Sicherheitsgewinn bringt. Wer eine Phishing Webseite betreibt, der sollte keine Probleme haben, die Skripte auf dieser Webseite so zu modifizieren, dass diese einen iTAN Request von der Bank Webseite anfordern, diesen an den Kunden weiterreichen und dann die gewonnene iTAN direkt zu verwenden. (Details siehe hier). Haben die Banken diesen Angriff übersehen? Wir telefonierten herum. Überwiegend gerieten wir natürlich an eine Mauer aus Callcentern. Um aus der Pressemitteilung zu zitieren: Bei allen diesen Banken konnten kompetente Ansprechpartner erreicht werden, die die Problematik nachvollziehen konnten. An den Darstellungen gegenüber den Kunden solle aber weiter festgehalten werden. Eine Bank geht sogar soweit, auf den ersten Schaden bei Kunden zu warten, bis von den Aussagen zur effektiven Sicherheit gegen Trojaner- und Phishingangriffen Abstand genommen werden soll. Im Nachhinein habe ich Zweifel, das kompetente Ansprechparter, die das Problem nachvollziehen konnten, am anderen Ende der Leitung waren, aber ich war auch bei den Gesprächen nicht dabei. Online Banking ist ohne Zusatz-Hardware ist nicht sicher zu bekommen. Es geht mit heutiger Technik nicht. Client PCs sind nicht sicher zu bekommen. So wird z.B. etwa drittel der Malware, die wir in unseren Experimenten fangen, nicht von Virenscannern erkannt. Die Studenten waren recht frustriert über die Reaktionen der angesprochenen Banken. Von den versprchenen Rückrufen (zwei an der Zahl) erreichte uns nie einer. Ich war nicht sonderlich verwundert, schließlich ist es eine Reaktion, auf die man in 80% der Fälle trifft. Die Banken bleiben dabei: "Um Ihre Online-Geschäfte noch besser zu schützen, führt die Postbank Anfang August ein neues Verfahren ein - die iTAN. [...] Damit werden Betrügereien nahezu ausgeschlossen." (postbank.de) Sie schreiben ein Advisory und eine Pressemitteilung. Donnerstag: 12:00h: ich habe grade den Beisitzer in zwei Prüfungen gespielt und habe noch Prüfungen bis 20:00h vor mir, danach soll es in den Urlaub gehen. Der erste seit ich im Frühjahr 2004 an der RWTH angefangen hab. "Wir müssen noch über das Advisory reden und Du mußt die Pressemitteilung an die Pressestelle zu geben." Na super - schöne Überraschung. Nach dem Mittagessen schau ich über das Advisory. Es ist missverständlich, ein paar Formulierungen und es ist nicht ganz so missverständlich. Nicht perfekt, aber jeder sollte verstehen können, was gemeint ist. Die Pressemitteilung hatte ähnliche Probleme. Und wir brauchten, wie immer noch ein Zitat. Gewöhnlich macht mein Chef das, aber der war prüfen. Also musste ich ran. "Ein typisches Beispiel für Security Theater", sagt Maximillian Dornseif, Sicherheitsexperte an der RWTH Aachen. "Die Banken haben geschickt die Haftung für elektronischen Zahlungsverkehr a…