iTAN-Verfahren unsicherer als von Banken behauptet

Hallo.

Bitte noch mal: Hacker != Kriminelle. Sämtliche Textpassagen die Bezug auf Straftaten nehmen - dürfen aus meinem Verständnis heraus - nicht das Wort "Hacker" enthalten. Hier ist das Wort "Hacker" durch das Wort "Krimineller" in der Einzahl und "Kriminelle" in der Mehrzahl zu ersetzen. Das Wort "Hacker" kann vieles bedeuten, ist aber auf keinem Fall eine Ersatzform für das Wort "Computerkrimineller".



An dieser Stelle schon mal vorab vielen Dank für einen konstruktiven Umgang.



Nichts anderes war gemeint. Ich habe nicht von Keyloggern geredet, sondern ganz bewusst von Komponenten, die auf Keywords reagieren. Ab dort ist ein Logging eines entsprechenden Netzwerkverkehrs möglich. Du siehst: Auch wenn noch nicht auf die abgesicherte Verbindung abgezielt wird, es bedarf einzig und allein kleiner Nuancen und das Problem ist da.



Hier liegst Du eindeutig falsch. Eine MITM ist kein "großer" Aufwand. Es bedarf einer Raw-Socket-Funktion, ein wenig Logik (Reaktion auf SSL-Zertifikate und
Auswertung derselben) und alles das kann man durchaus innerhalb weniger C-Dateien erschlagen. Ich bitte Dich mal näher mit dem Modell zu befassen und darüber nachzudenken, welche Schritte man hierzu benötigt. Du wirst feststellen: Ein erfahrener Programmierer kann das innerhalb weniger Zeilen Code verpacken. Die Leute, die Trojaner oder Würmer (Einigen wir uns auf Malware) programmieren, sind genau dieses. Und noch viel schlimmer: Die neue Generation dieser Leute bietet ihre Dienst gegen Bezahlung an. Und die Beträge sind noch nicht mal sehr hoch.



Ich finde ja nicht, dass man nichts getan hat. Aber wenn Du mich ehrlich fragst, so würde ich sagen: Man hat es schwerer gemacht, aber nicht wirklich unmöglich. Das Verfahren ist dadurch immer noch nicht sicher. Ehrlich gesagt würde ich mir wünschen, dass wir zu Smart-Cards und kryptographischen Verfahren übergehen.



Ich habe mich auch primär nicht angesprochen gefühlt. Ich empfand Dein erstes Posting nur als sehr destruktiv. Und im Grunde genommen habe ich auch ein wenig Frustration rauslesen können. Da sich mir Deine Situation nun auch erschliesst, kann ich die sogar nachempfinden. Aber bitte. Ich weiss, es ist mühselig, aber manchmal müssen die Themen eben doppelt und dreifach diskutiert werden. Lass uns nur sachlich dabei bleiben. Wir sind nun mal Menschen und jeder der Beteiligten hat sein individuelles Verständnis der Thematik. Und natürlich - und das kommt erschwerend hinzu - auch seine eigene Position



Gern geschehen



Ich glaube: Das wird noch nicht mal 1 - 2 Jahre dauern, sofern sich mir dieses Verfahren bisher erschlossen hat. Aber zu Deiner Frage, was man machen soll. Ich hoffe Du reagierst hier nicht mit der Frustration: Ihr braucht da ehrlich gesagt nicht lange zu forschen, die Antwort ist eigentlich sonnenklar. Nur ein kryptographisches Verfahren, welches von der Gemeinschaft als hinreichend sicher empfunden wird, kann als Antwort auf die Frage "Wie sichern wir Transaktionen?" ernst genommen werden. Und ganz ehrlich, da sollten alle Kosten in Kauf genommen werden.



Ich kenne solche Treffen aus der Erfahrung zu genüge. Seien wir doch mal ehrlich. Jeder dieser Leute weiss doch, wie man das entsprechende Verfahren zu sichern hat. Aber aus Kostengründen wird die einzige Antwort darauf ignoriert. Und jetzt mal ganz ehrlicher(TM): Was ist wohl kostengünstiger? Dauernd darüber zu reden oder zu handeln? Und damit ist jetzt nicht unterstellt (Ich bin nicht aus der Kategorie Red-Team), dass Banken nichts tun. Nur die Schritte sind einfach zu klein. Diese drastische Situation in der wir uns heute befinden, verlangt einer drastischen Durchsetzung der richtigen Massnahmen. Philosophie-Studien können wir doch eigentlich im Anschluß ansetzen, oder meinst Du nicht!? Deswegen noch mal: Setzt endlich durchgängig kryptographische Verfahren ein.



Kannst Du gerne finden. Aber zur Klarstellung: Die war nicht auf Deine Bank bezogen, sondern auf Deine individuelle Ausführung, dass MITM ein absoluter Aufwand wäre, im heutigen Gebilde unmöglich wäre und man sich dafür keinen Server hinstellt. Mal Klartext: Massnahmen sind auch präventiv zu verstehen und nicht nur reaktiv. Also bleibe ich dabei. Das Risiko ist da, die Möglichkeit ebenso. Das Verfahren ist aber im Hinblick auf diese möglichen Entwicklungen nicht ausreichend gesichert.



Ich glaube Dir. Trotzdem denke ich, wird auch dort massiv auf die Kostenbremse gedrückt. Und ob das wirklich vernünftig geprüft (Aufwand - Kosten - Nutzen) wurde, ist auch nicht immer transparent.



Du.. Ehrlich gesagt, werde ich mich schwer hüten eine Bank schlecht darzustellen. Nur ist auch nicht alles gleich "schlecht darstellen" (Mit klarer Ausnahme dieses Reisser-Artikels aus dem Heise-Ticker - untere Schublade, sagte ich bereits!), sondern auch konstruktive Kritik. Ich wurde massiv belächelt, aufgrund meiner Haltung bzgl. elementarer Sachen im Sicherheitsverständnis. In diesem Forum schlagen mir dann immer diese tollen technischen Massnahmen um die Ohren, die Banken ergreifen. Aber so richtig das Verständnis, dass Sicherheit ein komplettes Umdenken in unserer Gesellschaft verlangt, das vermisse ich hier. Viele Sachen brauchen auch ein Umdenken in den Köpfen. Und da sind auch Banken gefordert hier eine soziale Aufgabe zu übernehmen. Aber gut. Ich möchte das nicht weiterausführen. Nur ich finde auch, dass Banken nicht gerade aufgeschlossen reagieren, wenn jemand - aus der Branche - mal was dazu sagt. Manchmal glaube ich sogar bei Banken herrscht immer noch das Denken: Eine Leistung, die nichts kostet (z.B. ein Vorschlag), ist nichts wert. Meine Versuche mit entsprechenden Personen mal weitreichender zu diskutieren, schlagen da auf wenig Gegenliebe. Vielleicht ist man aufgrund der - fast behördlicher Natur reagierender - Strukturen noch nicht bereit dazu.



Sehe ich ein, wie gesagt kann ich diese Frustration auch nachvollziehen. Und den angesprochenden Bericht finde ich auch nicht besonders dolle. Weil das gehörte wirklich ins Lager "Auf Kosten der Banken mache ich mir einen Namen".



Richtig! Man kann es nur erschweren. Trotzdem sollte man den Spielraum so einengen, dass der Aufwand so immens teuer wird, dass es sich einfach nicht mehr lohnt. Und Stand heute geht dieses nur mit dem durchgängigen Einsatz von kryptographischen Technologien. Also ja: Signaturkarten ausrollen.

Sicherheitstechnisch gehen die Banken bei EBICS in die richtige Richtung:

1. Doppelte Verschlüsselung, einmal auf Transportebene durch TLS-gesicherte Übertragung und zweitens auf Anwendungsebene durch 3DES/RSA

2. Alle Nachrichten werden mit einer Transportunterschrift elektronisch unterschrieben (EU-Version A004).

3. Es gibt kein DFÜ-Passwort mehr, die Authentifizierung erfolgt ebenfalls über elektronische Unterschrift.

4. Bankfachliche Unterschrift erfolgt über einen dritten, von den anderen beiden unterschiedlichen Schlüssel.

Das dürfte Kriminelle für die nächsten Jahre abhalten, nur leider ist EBICS nichts für das Homebanking. Das wird wohl nur bei Firmenkunden eingesetzt werden.

EBICS-Feinzpezifikation: http://www.zentraler-kreditaus…kommen.pdf

Hallo,

auch auf die Gefahr hin diese bereits lange Diskusion noch weiter zu verlängern, möchte ich doch noch einen Gedankenanstoß geben.

Zu dem Punkt, dass die Sicherheit auf der technischen Seite immer weiter entwickelt werden muß, möchte ich nichts weiters hinzufügen, außer dass ich der Meinung bin, das doch schon sehr viel unternommen wird. Wenn man auch über den Punkt des Umfangs (und des Kosten/Nutzen-Verhältnisses) streiten kann.

Mir geht es eher um etwas anderes:
Nämlich dem Nutzer zu Hause vor dem PC.
Mittlerweile haben wir die Erfahrung gemacht, dass der Endanwender doch
zum einen versierter ist, aber auch zum anderen es viele gibt, die sehr unbedarft und unwissend scheinen. Bis hin zum volkommenen DAU.
- nach dem Motto: PC bei ALDI kaufen und sofort InternetBanking machen, ohne Wissen zu Windows u.a. (wissen z.T. noch nicht mal wie man ein Fenster minimiert).

Und hier sollte (meiner Meinung nach) der nächste Schritt ansetzen:

Wie kann man den Endanwender besser sensibilisieren / schulen ???
Oder muß man gar einen PC-Führerschein einführen ?
Sollten von Seiten der Bank / RZ entsprechende Schulungen angeboten werden ?
Und wie kann man sowas umsetzen / wer stellt sich da zur Verfügung ?

Denn von alleine wird der Endanwender kaum weitere Schulungen durchführen (z.B. bei der Volkshochschule).
Und wenn dieses nicht vorangetrieben wird, werden die Durchschnittsuser doch wohl noch weiter absacken.

Wenn dieses umgesetzt werden könnte, würde man an zwei Fronten tätig sein: an der technischen und an der menschlichen.

Den der Mensch darf sich nicht alles durch die Technik aus der Hand nehmen lassen, sie soll ja 'nur' zur Erleichterung dienen und den Menschen nicht ersetzen !!!!!

Gruß und ein schönes Wochenende

WINNETOU

imho kannst du das knicken. Derjenige, der zu einer solchen Schulung geht bringt eigene Initiative mit. Der wird zwar nicht sofort zum Experten, aber er schaltet beim Umgang mit der Kiste voraussichtlich (ab und zu) sein Hirn ein. Und somit ist er schon nicht mehr unsere primäre Zielgruppe. Das ist nämlich der Dau der AOL starten kann und dann irgendwie unsere Bankingseiten aufruft (mehr nicht...) - und damit göücklich ist. Den werden wir nie erreichen, weil er unsere tollen Banner, Popups, Sicherheitshinweise, Papierbroschüren, direkten Kundenanschreiben .... ganz einfach nicht liest.

Einzige Lösung: Die IT-Branche stellt in Kooperation mit den Banken jedem Dau einen persönlichen Aufpasser an die Seite. Müsste doch über 1-€-Jobs lösbar sein. Damit hättenwir ganz nebenbei auch das Arbeitslosenproblem in Deutschland gelöst.

CU

Frank

Ich finde es ein wenig lächerlich, aber das war zu erwarten.

Das gegen MITM auch die iTAN nicht schützen kann ist doch nun wirklich nix neues.
Aber nein, da muss eine Arbeitsgruppe einer Uni her, die sich wundern das man mit MITM doch weniger als ein Jahr braucht um das System auszuschalten...

Ey krass!

Ich will auch studieren, dann könnte ich vielleicht auch verstehen wie rum man eine Glühbirne einschrauben muss.

Man man, hier wird doch die Uni nur benötigt um künstlich eine Seriösität vermuten zu lassen die den schlechten Beigeschmack des Sensationsjournalismus überdecken soll.

Wie simpel sowas wieder aufzudecken ist, schreiben sie natürlich nicht

Zertifikat/Fingerprint überprüfen und schon ist die Fakeseite aufgeflogen...

Das Verfahren an sich ist sicher, lediglich das Speichermedium birgt das Risiko der relativ einfachen Weitergabe.



HBCI Chipkarte (und auschließlich Chipkarte mit Leser Klasse 2) ist wenn überhaupt nur daher sicherer, dass der Nutzer weniger Überprüfungen selbstständig übernehmen muß. Banken schwören allerdings auch nicht auf PIN/TAN, aber es ist das meist geforderte...




Wo ist das Problem? Was kann jemand allein mit der Liste anfangen?



Jedes andere Verfahren hätte genauso eingesteckt, aber das Sommerloch sollte doch eigentlich langsam vorbei sein. Was mich an dem Thema nur wieder irritiert, dass selbst die c't einen mit Fehlern gespickten Bericht zu dem Thema gebracht hat...

p.s. das ist die uni. wo letztens der mailserver gehackt wurde - auf die interne sicherheit wird scheinbar keinen wert gelegt. hauptsache mit dem finger auf andere zeigen, um in die presse zu kommen.

p.p.s. mann drehte seine frau durch den fleischwolf - b*ld sprach als erstes mit der frikadelle ))

Oh Mann... Wenn ich solche pseudowissenschaftlichen Aussagen lese bekomme ich einen dicken Hals. Ich mag mich ja irren, aber dass ist doch ein ganz normaler "Man In The Middle"-Angriff und hat nichts mit iTAN im speziellen zu tun. Einige andere Medien verdrehen dann alles, so dass es zum Schluss heißt, dass das OnlineBanking mit iTAN geknackt wurde.

Ganz nebenbei wird auch erwähnt:


Man muss nur mal die Kommentare in Heise-Online durchlesen.
http://www.heise.de/security/n…m_id=87777
http://www.heise.de/security/n…m_id=87777
http://www.heise.de/security/n…m_id=87777