Wirksamer Schutz gegen "Men in the Middle"?

Hi zusammen,

recherchiere gerade im Zuge einer Projektarbeit für mein Studium zum Thema Online-Banking - da passt euer Forum ja wie die Faust aufs Auge

Da ich bei meiner Projektarbeit meinen Schwerpunkt auf das Thema Sicherheit legen möchte, suche ich gerade Informationen darüber. Leider finde ich nirgendswo eine schöne einfache Zusammenstellung der einzelnen Bedrohungsarten und der Lösungen.

Im Speziellen interessiere ich mich für das "Men in the Middle"-Problem. Gibt es hier bereits eine Lösung - und wenn ja welche?

thx im voraus

Eugen

Vielleicht sollte man erst einmal definieren, was man unter "sicher gegen mitm" versteht. Denn zum Beispiel verstehe ich im Gegensatz zu dir nicht nur darunter, dass ein Abfangen der Daten im nachhinein auffallen kann, sondern dass von Anfang an gar keine Daten abgefangen und mißbraucht werden können. Geht man nun von einem viren-/trojanerverseuchtem Rechner aus, sind alle Verfahren für mitm anfällig, daher bestimmt meiner Meinung nach ganz alleine der Anwender, wie sicher sein Onlinebanking ist und nicht ein Sicherheitsmedium. Man kann eben nur beurteilen wie sicher ein Paket (Anwender, Rechner, Betriebssystem, Browser, Software, Zusatztools und Sicherheitsmedium) ist, wobei da Sicherheitsmedium nur einen sehr kleinen Anteil hat.

Das kann aber das Sicherheitsmedium nach meiner Meinung schon leisten. Wie von Holger schon dargestellt, kann man das mit der SMS-TAN oder dem TAN-Generator mit Challenge umsetzen.

Kunde reicht Auftrag ein, Banksystem schickt auftragsgebundene TAN an Kunden (z.B. per SMS mit Auftragsdetails), Kunde gibt Auftrag frei.

Wie sollte ich da mit MITM denn eine Manipulation hinbekommen?
Wird der Auftrag vor Einreichung manipuliert, stimmen die Bestätigunsgdaten in der SMS nicht. Nur an der Stelle kommt übrigens der Anwender selber ins Spiel. Und das ist keine Kontrolle im nachhinein, sonder die Prüfung erfolgt tatsächlich vor Ausführung.

SMS abfagen funktioniert auch nicht, dazu müsste der MITM auch die Rufnummer ändern können. Das darf dabei natürlich nicht online möglich sein. Für einen erneuten Auftrag wäre eine abgefangene SMS auch nicht gültig.

Gleiches gilt für den TAN-Generator mit Challenge, da in die TAN Berechnung ja schon auftragsbezogene Daten mit eingezogen werden.

Hallo Stoney,

da liegst Du nicht ganz richtig!
Erstmal haben beide TAN Verfahren einen Bezug zum übermittelten Auftrag. D.h. der Anwender muss kontrollieren, ob die Daten, die er von der Bank erhält, mit denen übereinstimmen, die er vorher im ersten Schritt übermittelt hat. Stimmen die nicht, darf er diesen Auftrag nicht frei geben -> Daher Eigenverantwortung und entsprechende Eigenintelligenz....

Der TAN Generator hat auch einen nachvollziehbaren Auftragsbezug, wenn er gem. FinTS Spec verwendet wird. (das ist derzeit bei der Nationalbank der Fall - wenn ich das richtig gelesen habe - und wohl demnächst bei einem Teil der VR-Banken)
In dem Fall setzt sich der Wert zur Ermittlung der TAN aus einem Auftragsbezogenem Wert des RZs
und einem Direkten Bezug zum Auftrag zusammen.
Anhand des Bankcodes kann der Anwender erkennen, was für einen Typ Auftrag er grade legitimiert. Dazu gibt er dann z.B. die Kontonummer des Empfängers ein. Je nach Auftragsart variieren die Eingaben, die der Anwneder zu tätigen hat -> Anforderung an eine gehobene Eigenintelligenz......

Gruß

Holger

Unter dieser Prämisse ist ein kundenfreundliches Banksystem zu vertretbaren Kosten für alle Beteiligten kaum zu realisieren, oder?

Um den Risikofaktor "Kunden-PC" zu 100% auszuschalten, müsste man wohl versiegelte Banking-Terminals mit integriertem Klasse-3-Kartenleser ausgeben.

Das hilft wohl eher niemandem...

Aus der FinTS Spec geht für mich nur hervor, dass ich eine BankID/Hash zu den Auftragsdaten erhalte, mit der ich dann mit dem TAN-Generator die "GegenTAN" erzeugen.

1. Kunde loggt sich ein mit Kontonummer/PIN
2. Überträgt Auftrag
3. Bekommt Hash aus Auftragsdaten übermittelt
4. Erstellt TAN mit TAN-Generator und Hash
5. Bestätigt den Auftrag mit "GegenTAN"

Oder wie ist es richtig?



Wie kann ich das genau erkennen? Für mich ist der Bankcode nur der Hashwert der Auftragsdaten? Oder wird die "GegenTAN" aus Hashwert, einer Variable des Auftrages und ein gemeinsames Geheimnis erzeugt?

Schade, dass die FinTS Spec da nicht weiter geht und genau vorschreibt, wie eine Challenge aussieht und eine "GegenTAN" zu errechnen ist Ich habe es zumindestens nicht gefunden.



Lt. Poba wird lediglich Konto und Betrag mitgeteilt, wenn ich davon ausgehe, dass diesen beiden Daten die gleiche Beachtung geschenkt wird, wie zum Beispiel den Sicherheitshinweisen, ist es doch schon wieder egal ob die Auftragsdaten dort stehen oder nicht. Sie werden eben einfach ignoriert oder es kommt der gute alte "wird schon stimmen Gedanke". Du kennst es doch sicher auch aus der Praxis, wie oft falsche Beträge (Zahlendreher, Komma verrutscht) überwiesen werden und dort hat der Nutzer noch aktiv durch seinen Fehler mitgewirkt bzw. es mehrmals aktiv bestätigt.

Wenn die Poba nur zwei der vier von mir erdachten Werte übermittelt, ist das erstmal kein Beinbruch. Die Poba ist ja auch nur ein derzeitiges Beispiel und sicher nicht das letzt SMS-TAN nutzende Institut.

Nur glaubst du ersthaft, das jemand auf gut Glück versucht eine solche Echtzeitmanipulation herbeizuführen? Dafür dürfte das Verhältnis von Manipulationsversuchen zu echten Treffern zu klein sein.

Zuerst kann ich als Betrüger doch nur dann einen Versuch starten, wenn der echte Bankkunde sowieso gerade selber aktiv arbeiten möchte.

- Eine TAN-SMS an einen Kunden zu senden, der gerade nicht selber arbeitet, dürfte selbst dem Nachlässigsten auffallen. -

Ist der Kunde selber aktiv, müsste der Rechner des Users bereits mit einem Trojaner infiziert sein oder per DNS Manipulation auf einem nachgebauten System landen.
Jetzt kann der Betrüger das echte Banksystem ansprechen und seine gewünschte Überweisung absenden. Der Bankkunde muss dann noch die ihm übersandte TAN mit den falschen Auftragdaten als richtig erachten und in das gefälschte System eingeben.
Daraufhin kann der Betrüger die TAN seinem Nachbausystem entnehmen und - im noch geöffneten Dialog zur Bank- kann er die TAN verwenden. Das alles in der kurzen Zeit und ohne das der Kunde was bemerkt oder die Session und/oder die TAN abläuft.

Technisch recht kompliziert, zudem gnadenlos auf die Unachtsamkeit des Kunden ausgelegt.
Da könnte auch der Bankmitarbeiter am Schalter einen Beleg absichtlich mit falschen Daten ausfüllen und um Unterschrift bitten.

Ich denke bevor das jemand probiert, wählt der Betrüger eine andere Bank als Ziel.