Online-Banking Experten knacken neues Sicherheitsverfahren

Mit dem iTAN-Verfahren wollen Postbank und Deutsche Bank den wachsenden Problemen mit Phishing und anderen Betrugsmethoden begegnen, mit denen Online-Banking-Kunden um ihr Geld gebracht werden sollen. Bochumer IT-Experten brauchten nur einen Tag, das Verfahren zu knacken.


Aus Sicht der Kunden war seit Einführung des Online-Bankings die effektivste Sicherheitsmaßnahme die verschämte Kulanz der Banken: In Zeiten, in denen Großbanken Filialen schließen, Personal entlassen und die Schalterarbeit gern auf den Kunden abwälzen, konnte man sich darauf verlassen, dass sie entstandene Schäden lieber ausglichen, als sie öffentlich werden zu lassen. Denn wirklich sicher war Online-Banking nie.

Frisches Verfahren, schnell geknackt: Noch bevor das iTAN-Verfahren beim Kunden angekommen ist, wurde es schon entzaubert
DPA

Frisches Verfahren, schnell geknackt: Noch bevor das iTAN-Verfahren beim Kunden angekommen ist, wurde es schon entzaubert

Zumindest innerhalb geschlossener Netzwerke (Firmen, Universitäten etc.) ist es ein Kinderspiel, auch verschlüsselte Kommunikation abzufangen und zu entschlüsseln. Entsprechende Cracker-Tools kursieren seit Jahren frei erhältlich im Internet. Sie alle basieren auf dem Prinzip der "Man in the Middle"-Attacke.

Dabei setzt sich der Angreifer zwischen das Web-Interface der Bank und den Kunden und sorgt dafür, dass der Datenverkehr beider "Kommunikationspartner" über seinen Rechner geroutet wird. Gibt der Kunde Kennworte und "Personal Identification Number" ("PIN") ein, werden diese registriert, entschlüsselt und gespeichert. Die folgende Transaktionsnummer ("TAN"), die der Kunde braucht, um beispielsweise eine Überweisung zu authentifizieren, fängt der Cracker ab, statt sie zur Bank durchzuleiten: Der Kunde bekommt stattdessen zum Beispiel eine Fehlermeldung serviert, die aussieht, als käme sie von der Bank. Das lässt sich mehrere Male wiederholen, bis der Kunde aufgibt und sein Banking auf später verschiebt.

Der Cracker überweist derweil mit Hilfe der "geernteten" TAN-Nummern, die nur einmal zu gebrauchen sind, Gelder zu seinen eigenen Gunsten.

Im offenen Internet sind solche Man-in-the-Middle-Attacken schwerer durchzuführen. Unmöglich, das bewiesen nun Bochumer IT-Experten, sind sie nicht - und auch das als sicherer geltende iTAN-Verfahren von Post- und Deutscher Bank bietet keinen genügenden Schutz.

Software-Experten der Universität Bochum, berichtet das "Handelsblatt", gelang es, das iTAN-Verfahren mit einer klassischen Man-in-the-Middle-Attacke auszutricksen. Eigentlich sollte das so genannte iTAN-Verfahren vorhandene Sicherheitslücken schließen. Doch die Hochschulhacker aus Bochum hätten nach eigenen Angaben gerade einmal einen Tag benötigt, um das iTAN-Verfahren zu überwinden und ihren Erfolg mit der symbolischen Überweisung von einem Euro zu dokumentieren.

Dem Bericht zufolge stehen Postbank und Deutsche Bank mitten in der Einführung von iTAN-Systemen. Auch die Sparkassen wollen demnächst mit einem iTAN-Verfahren starten.

Dass sich nun ein iTAN-Ansatz als nicht hundertprozentig sicher erwiesen habe, erklärte ein Sprecher der Deutschen Bank im Gespräch mit SPIEGEL ONLINE, bedeute jedoch nicht, dass diese Verfahren generell unsicher seien. Die Deutsche Bank sei weiterhin von ihrem Verfahren überzeugt und werde das auch einführen. Nicht zu vergessen sei auch, dass auch bei dem vom "Handelsblatt" geschilderten Hack wieder Phishing-Methoden zum Einsatz gekommen seien, die beim Kontoinhaber selbst ansetzten.

Der Einwand ist berechtigt. Anders als bei einer beispielsweise mittels "ARP-Spoofing" eingeleiteten Man-in-the-Middle-Attacke arbeitet der betrogene Kunde hier quasi mit beim Knacken des Kontos: Er lässt sich auf eine Kommunikation mit einem Betrüger ein, der vom Kunden selbst erst die Grundinformationen bekommt, die er für seinen Crack braucht. Gegen Phishing kann man sich aber durch technische Maßnahmen (z.B. Browser mit "Phishing-Erkennung" wie Opera) und die Einhaltung von Verhaltensregeln (keine Eingabe von Passworten etc. auf Aufforderung per Mail, Überprüfung der Echtheits-Zertifikate der Bankseite u.a.) weitgehend schützen.

Ein Sprecher der Postbank bestritt gegenüber SPIEGEL ONLINE, dass das "Handelsblatt" von seinem Institut die Auskunft bekommen habe, dass die Postbank nie davon ausgegangen sei, dass iTAN absolut sicher sei. Das Zitat sei aus dem Zusammenhang gerissen und so nicht richtig. Längerfristig hoffe das Institut, dass sich die von der Bundesregierung geförderte elektronische Signatur am Markt durchsetzen werde.

Das Sicherheitsleck: Phishing und Webseiten-Highjacking

Tatsächlich ließen sich die Sicherheitslücken im Online-Banking mit einer Kombination aus elektronischer Unterschrift und beispielsweise zeitabhängigen Codes weitgehend lösen. Dabei sind Passworte nicht nur verschlüsselt, sondern ändern sich auch alle paar Sekunden, in einem festen, bei Bank und Kunden synchronisierten Takt, der beispielsweise über eine Codekarte eingegeben wird. Auch "Automatisieren" lässt sich das Abfangen von TANs so nicht mehr, weil die Codes verfallen, bevor sie zum Einsatz kommen. Wird dann noch vorausgesetzt, dass sich die Bankseite gegenüber dem Kunden auf die gleiche Weise authentifiziert, wird das Zwischenschalten einer gefälschten Seite nutzlos.

Denn alle Online-Banking-Probleme beginnen damit, dass sich der Kunde auf eben eine solche zwischengeschaltete, gefälschte Bankseite einlässt. In der Regel wird er durch eine Phishing-Mail dorthin geführt: Er klickt auf einen Link in einer angeblich von seiner Bank kommenden E-Mail und landet in der Falle. Andere Cracker-Tricks beruhen auf dem "Umlenken" des Webbrowsers selbst durch eingeschleuste Schadprogramme ("Webseiten-Highjacking").

So etwas lässt sich durch Einhaltung der Sicherheitsregeln beim Surfen (Virenschutz und Firewall up to date, Sicherheits-Updates von Browsern regelmäßig aufspielen etc.) weitgehend verhindern. Als besonderes Sicherheitsrisiko dürfen daneben offene, ungeschützte WLans gelten: Sie kommen einer Einladung zur Man-in-the-Middle-Attacke gleich.

Doch aktuell sind es vor allem die Phishing-Attacken, die massiv zunehmen. Dabei locken Hacker die Bankkunden per E-Mail auf gefälschte Internet-Seiten und fragen unter einem Vorwand Kontendaten und Transaktionsnummern ab. Gerade diese Angriffe sollten mit indexierten Transaktionsnummern (iTAN) unterbunden werden. Die Bank fordert dabei eine ganz bestimmte Transaktionsnummer von der TAN-Liste des Kunden an.

Die Bochumer Wissenschaftler setzten bei ihrem Angriff auf die oben beschreibene Man-in-the-Middle-Methode. "Es war viel einfacher, als wir uns das vorgestellt hatten", sagte Henrik Te Heesen, einer der beteiligten Bochumer Forscher, die den Angriff programmierten.

Für Sicherheitsexperten kommt der erfolgreiche Angriff nicht überraschend. "Wenn Kriminelle ihr Verhalten leicht modifizieren, wird das iTAN-Verfahren nahezu wirkungslos", sagte Maximilian Dornseif von der Universität Mannheim dem "Handelsblatt". Dornseif ist Initiator der Red-Team-Initiative, die Sicherheitssysteme auf Schwachstellen prüft. Auf die Erkennung und Abwehr von Man-in-the-Middle-Attacken in geschlossenen Netzwerken hat sich unter anderem auch das Hagener Unternehmen ISL Internet Sicherheitslösungen spezialisiert. Die Hagener warnen seit über drei Jahren vor den Gefahren solcher Crack-Methoden für das Online-Banking.

Mehr zum Thema


© SPIEGEL ONLINE 2005
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.