Spaß mit iTAN

Die Öffentlichkeitsarbeit von Hochschulen ist immer so eine Sache. Ich erinnere mich deutlich, dass die Uni Bonn uns nicht "Wissenschaftler" nennen wollte, weil wir ja schließlich nicht promoviert seien. Diesmal sind wir keine "Forscher" ... Erstmal zu den Grundlagen: Die Banken - oder die Artikel, die auf Ihren Pressemitteilungen basieren - pitchen die iTAN als großen Sicherheitsgewinn und implizieren, dass das einzige Mittel gegen die iTAN "Raten" sei und dsa damit die Sicherheit der TAN um das knapp 100 fache gesteigert wird: "Die Gefahr, dass ein Phisher eine erbeutete TAN einsetzen kann, sinkt damit auf ein Prozent" (Spiegel Online/stern.de) Somit werde Phising unmöglich: "Damit wird das Konzept der Phisher durchkreuzt, Kunden durch gefälschte E-Mails zur Preisgabe von TANs zu überlisten. Selbst wenn die Betrüger in Besitz dieser iTAN gelangen, ist sie wertlos." (tecchannel). "Damit werden Betrügereien nahezu ausgeschlossen." (postbank.de) Gerne wird auch noch erwähnt, dass man natürlich weiterhin Virenschutz und Firewall benötige. Das mag zwar sein, aber diese Technologien sind in Zusammenhang mit Phishing nahezu irrelevant, obwohl auch schon trojanische Pferde/Malware unterwegs ist, die gezielt Online-Banking angreift. Das allgemeine Sentiment ist also, das die iTAN einer merklichen Verbesserung der Sicherheit gleichkommt. Tut es aber nicht. Anbei ein Bild das versucht die Sache zu erklären. Wer einen SVG Viewer installiert hat, kann sich auch das Bild in ordentlicher Qualität anschauen. Bisher konnte der Angreifer "offline" arbeiten. Er sammelte die Daten der Kunden (Schritt 1 und 4) und führte damit später die Transaktionen aus (Schritt 2 und 6). Einen Einblick in "traditionelles Phishing" gibt unser Paper Know your Enemy: Phishing. Inzwischen kann der Täter nicht mehr in aller Ruhe die Daten sammeln und "am Stück" missbrauchen.. Stattdessen muss er, während sich der Bankkunde noch auf der Webseite des Phishers befindet, bei der Bank eine Transaktion beginnen, die Anfrage nach der iTAN an den Kunden weiterleiten und die vom Kunden eingegeben. Das mag kompliziert klingen, aber dem technischen Laien sei versichert, dass bei jedem Handy-Telefonat hundertfach kompliziertere Vorgänge ablaufen. Also. Die iTAN macht Phishing schwieriger (gut) aber nicht viel (ist halt so). Das Problem ist, das es in der Öffentlichkeit so dargestellt wird. Meine obige Linksammlung ist etwas Postbank lastig, das liegt aber vor allem daran, das die Postbank scheinbar am Schlimmsten vom Phishing getroffen wurde. Alle Banken, die das iTAN Verfahren einsetzen, beschreiben dies als erheblichen Sicherheitsgewinn - zumindest alle Banken, deren Webseiten wir durchgeschaut haben. Das Meme, das Online-Banking "jetzt wieder sicher sei". Ist bedrohlich. Die deutschen Banken haben eine hässliche Tradition die Risiken ihrer elektronischen Zahlungssysteme auf die Kunden abzuwälzen. Z.B. hier: In einem Fall im Jahr 1995 manipulierten die Täter zwei Bankomaten der ‹Deutschen Ba…