π

eBanking: Tod des Papier-TANs und dessen Auswirkungen

Show Sidebar

Update 2017-05-10: secTAN auf gerooteten Android-Handys

Eine Richtlinie der Europäische Bankenaufsichtsbehörde verlangt seit Sommer 2015 starke Zwei-Faktoren-Authentifizierung bei Online-Banking.

Offenbar sind zu viele Konsumenten schlecht mit ihren Papier-TANs umgegangen. Deshalb wird nun einem jeden Kunden die Möglichkeit genommen, die meiner Meinung nach sicheren Papier-TANs weiter zu verwenden. Stattdessen wird massiv auf TAN-Methoden gesetzt, die mein potentiell unsicheres Smartphone verwenden.

Keine Gute Idee.

Nun trifft es auch mich. Die easybank stellt mit 20. August 2017 die Möglichkeit der Nutzung von Papier-TANs ein. Als Alternativen werden mir folgende Methoden schmackhaft gemacht:

Papier-TANs (iTAN)

Die Papier-TANs muss man natürlich sehr sorgfältig behandeln. Meine Methode war, die TAN-Liste nach Erhalt am Computer zu scannen, einen OCR-Software drüberlaufen lassen und das Papier zu schreddern. Die digitalen TANs habe ich per copy und paste in meinen Passwortsafe kopiert und die PDF-Datei ebenfalls gelöscht.

Auf meinen Passwortsafe passe ich ohnehin extragut auf: geprüfte Open Source Software mit anerkannten Verschüsselungs-Algorithmen, gutes und langes Passwort, keine Cloud, Benutzung nur auf vertrauenswürdigen Geräten, ...

Aus meiner Sicht war das Verfahren als hinreichend sicher zu bewerten. Zumindest sicherer als die Alternativen.

mobileTAN (mTAN)

Die Sicherheit von SMS-TANs ist ausreichend durch massenweise abgegriffene SMS widerlegt. Bereits ein Equipment von wenigen hundert Euro genügt, ob SMS beliebig abfangen oder manipulieren zu können. Die Zustellung per SMS ist bereits seit längerem kein sicherer Kanal.

Es sind auch schon reale Angriffe veröffentlicht, wo die TANs aus den abgefangenen SMS mit einer Online-Banking-Session am Computer (oder gar Handy) kombiniert wurden, um beliebigen Schaden anzurichten. Wer aufmerksam die Talks bei den CCC-Kongressen mitverfolgt, ist am aktuellen Stand in dem Thema.

Auch der deutsche Sicherheitsexperte fefe hält nicht viel von mTANs.

Keine Option für mich.

Digitale Signatur

Die easybank schreibt hierzu in der Online-Hilfe:

Alternativ zu PIN und iTAN bzw. mobileTAN können Sie im easy internetbanking auch die digitale Signatur für Login und Freigabe von Aufträgen verwenden. Sie benötigen dazu entweder Ihre für die digitale Signatur registrierte Maestro-Karte mit Zertifikat a-sign premium oder Ihre für die Bürgerkartenfunktion aktivierte e-Card. Weiters muss auf Ihrem Rechner eine Bürgerkarten-Software installiert sein. Die sichere digitale Signatur ist die Basis Ihrer digitalen Identität und nach dem Signaturgesetz (SigG §18) gesetzlich Ihrer händischen Unterschrift gleichgestellt.

Meine ersten Versuche vor etlichen Jahren waren eine Katastrophe. Mein Betriebssystem (Linux) wurde nur extrem schlecht unterstützt. Insofern war es mir damals mit bestem Bestreben nicht möglich, das Teil zum Laufen zu bringen.

Inzwischen wird wohl die technische Situation unter Linux besser geworden sein. Jedoch habe ich keine Lust, für e-banking dauernd ein Lesegerät mitzuschleppen, wenn ich beispielsweise mit dem Notebook unterwegs bin.

Die Möglichkeit, die Bürgerkarte in ein Lesegerät zu stecken aber den Freischaltcode am Computer zu tätigen finde ich sehr bedenklich. Warum tut man sich den Aufwand mit starker Kryptografie an, damit man danach den sehr sensiblen Freischalt-PIN über das potentiell verseuchte (oder manipulierte) Betriebssystem zum Kartenleser überträgt? Aber das hat schon nicht mehr unmittelbar mit dem TAN-Thema zu tun. Ein Klasse-3-Lesegerät hat immerhin Display und Mini-Tastatur eingebaut.

Kurz: Ebenfalls keine optionale Lösung für mich.

secTAN

Die letzte Option der easybank ist die Verwendung der easybank Security App. Die für iOS und Android verfügbare App überträgt unter anderem die TANs über die Datenverbindung und zeigt sie mir am Handy an.

Klarerweise ist die App nicht unter einer Open Source Lizenz veröffentlicht. Dadurch wird es für Sicherheitsexperten unmöglich, die Sicherheit zu prüfen. Aus diesem Grund muss man den Programmierern der easybank hier absolut vertrauen, hier keine Fehler gemacht zu haben.

Bislang ist noch kein Problem mit der easybank Security App bekannt geworden. Und bei einer Bank, die hundert Prozent ihrer Kunden online bedient, wird die Sicherheit der online-App wohl groß geschrieben werden, oder?

Die selbe Annahme ging aber schon des öfteren in die Hose. Die hippe N26 Bank musste das letztes Jahr sehr schmerzlich lernen. Ihre App hatte dermaßen gravierende Mängel, sodass Sicherheitsforscher von außen bereits etliche markante Angriffshebel fanden. Hier konnte N26 aus gutem Grund attestiert werden, sicherheitstechnisch nicht adäquat ausgebildete Programmierer arbeiten zu lassen. Hier das sehenswerte Video vom entsprechenden 33C3-Talk.

Zuvor hat es die deutsche Sparkasse heftig erwischt. Deren Dementi gleicht anderen Fällen: keine bekannten Fälle aufgetaucht, wo es ausgenutzt wurde, alles nur sehr unwahrscheinlich, bla bla bla. Alles nur, um die Kunden zu beruhigen und die eigenen Fehler runterzuspielen. Würde ich als Bank in so einem Fall vermutlich auch so machen - eh klar.

Nur unter starken Bauchschmerzen vertraue ich dieser Methode.

Nachtrag 2017-05-10: laut Auskunft von easybank kann die easybank Security App nicht auf gerooteten Android-Handys installiert werden, wenn eine der folgenden Apps installiert ist: SuperUser, SuperSU, Towelroot, KingoRoot. Bei mir fällt daher secTAN aus diesem Grund aus der Liste der möglichen Verfahren.

Card-TAN, chipTAN

Es gäbe noch andere TAN-Verfahren. Als ein Beispiel davon möchte ich hier Card-TAN nennen. Dieses Verfahren benötigt eine zusätzliche Hardware. Das Lesegerät ist kleiner als ein Taschenrechner, schaut aber ungefähr so aus: handliche Größe, Nummernblock zur Eingabe und ein Display.

Bei der Bank Austria registrieren fünf Lichtsensoren an der Oberseite ein Muster an Flackerlichtern der entsprechenden online-banking-Webseite. Mit diesem Muster werden die Transaktionsdaten auf das Lesegerät übertragen, das man zuvor mittels PIN für die Kontokarte freischalten muss.

Nach erfolgreicher Übertragung sieht man am Display die wichtigsten Daten: Zielkonto und Summe. Das Gerät generiert dann einen Einmalcode, den man dann im Webinterface eingeben muss, um die Transaktion zu bestätigen.

In der Theorie eine tolle und sichere Sache.

Doch dann kommt die Praxis. Die Usability ist furchtbar: die Bank Austria verwendet für die selben PINs leider verschiedene Begriffe, sodass ein normaler Kunde hier kaum erfolgreich durch den Prozess durchkommt. Ich brauche beim Einlesen immer mehrere Anläufe, bis das Flackermuster von meinem Gerät erkannt wird. Oft funktioniert es auch nach fünf oder sechs Versuchen nicht. Hier hilft es auch nichts, die Geschwindigkeit des Flackermusters auf "mühsam langsam" runterzuschalten. Und nein, mein Monitor hat kein Spiegeldisplay, das hier mit Reflexionen stören könnte.

Ich habe deswegen wieder von der Bank Austria weggewechselt, da ich damals bei der easybank weiterhin meine Papier-TANs verwenden durfte.

Update 2017-05-10: laut Auskunft der easybank ist nicht geplant, ein Card-TAN-Verfahren einzuführen.

Was nun?

Der geringste Schmerz ist aus meiner Sicht bei secTAN, nachdem mir Papier-TANs und Card-TAN nicht angeboten werden. Die easybank Security App wird hoffentlich ordentlich verschlüsselt die TANs übertragen. Ein Angriff erfordert zumindest den Aufwand, jede secTAN-App der Banken einzeln zu hacken. Das ist schon mal besser als der simple Aufwand, massenweise unverschlüsselten SMS abzufangen.

Das Handy ist zumindest immer dabei, sodass ich auch unterwegs (bei gegebener Datenverbindung) Überweisungen tätigen kann.

An dieser Stelle ist noch zu erwähnen, dass das Verwenden von TAN-Übertagung in Kombination mit einer netbanking-Handy-App auf einem Handy (oder Tablet) eine ganz schlechte Idee ist. Denn dann ist auf einem Gerät, das man potentiell unsicher einstufen muss, alles an einer Stelle vereint: die TANs und die banking-App. Wurde schon oft gehackt und ausgenutzt. Finger weg!

Ich schickte der easybank ein paar Zeilen, wo ich feststelle, dass ich nicht alles aus deren Haftungserklärung beeinflussen kann: Sicherheit der App, Sicherheit der Übertragung, Sicherheit des Betriebssystems, Sicherheit aller installierten Apps. Wenn sie keinen Einspruch erheben, aktiviere ich nächsten Monat mein secTAN. Ansonsten muss ich mich wohl leider wieder um eine andere Bank umsehen.

Mal sehen.

Update 2017-05-10: weil secTAN bei mir nicht funktioniert, muss ich wohl oder übel auf die Bürgerkarte setzen. Ich werde hier berichten.

Comment via email or via Disqus comments below: