Hi zusammen,

recherchiere gerade im Zuge einer Projektarbeit für mein Studium zum Thema Online-Banking - da passt euer Forum ja wie die Faust aufs Auge

Da ich bei meiner Projektarbeit meinen Schwerpunkt auf das Thema Sicherheit legen möchte, suche ich gerade Informationen darüber. Leider finde ich nirgendswo eine schöne einfache Zusammenstellung der einzelnen Bedrohungsarten und der Lösungen.

Im Speziellen interessiere ich mich für das "Men in the Middle"-Problem. Gibt es hier bereits eine Lösung - und wenn ja welche?

thx im voraus

Eugen

Hallo Eugen,

wenn das OnlineBanking sicher gegen "man in the middel" Attacken sicher sein soll, müssen sich beide Partner gegenseitig identifizieren. Theoretisch ist dies bei HBCI/FinTS und beim Internetbanking eigentlich gegeben.
Da aber fast kein Anwender in der Lage sein dürfte die Zertifikate zu prüfen gilt eigentlich noch mindestens eine Zusatzbedingung um vor Manipulationen bei Angriffen mit Mim und Trojanischen Pferden sicher zu sein.

Der Anwender muss die Auftragsdaten, die er versendet hat über einen unabhängigen Weg kontrollieren können.
Bei PIN/TAN kommt noch hinzu, dass die TAN einen Auftragsbezug haben sollte.

Von dem was bisher spezifiziert ist, erfüllen diese Ansprüche bisher die mTAN, wenn Auftragsbezogene Daten mit übermittelt werden und der TAN Generator mit einer Challange. Details dazu findest Du sicherlich in der neusten FinTS Spec und dem Sicherheitsverfahren PIN/TAN.

Dann hat PPI gemeinsam mit Reiner SCT auf der letzten CeBIT eine Chipkarten basierte Lösung vorgestellt, die auch manipulationssicher zu sein scheint. Details können Dir sicherlich die beiden beteiligten Firmen nennen.

Gruß

Holger

Vielleicht sollte man erst einmal definieren, was man unter "sicher gegen mitm" versteht. Denn zum Beispiel verstehe ich im Gegensatz zu dir nicht nur darunter, dass ein Abfangen der Daten im nachhinein auffallen kann, sondern dass von Anfang an gar keine Daten abgefangen und mißbraucht werden können. Geht man nun von einem viren-/trojanerverseuchtem Rechner aus, sind alle Verfahren für mitm anfällig, daher bestimmt meiner Meinung nach ganz alleine der Anwender, wie sicher sein Onlinebanking ist und nicht ein Sicherheitsmedium. Man kann eben nur beurteilen wie sicher ein Paket (Anwender, Rechner, Betriebssystem, Browser, Software, Zusatztools und Sicherheitsmedium) ist, wobei da Sicherheitsmedium nur einen sehr kleinen Anteil hat.

Hallo Stoney,

natürlich hast Du mit deinem Ansatz recht! Aber leider ist die Welt nicht so und daher bin ich den Ansatz mit den Verfahren gegangen. Aber auch hier gilt ganz klar ohne Eigenintelligenz und Eigenverantwortung des Anwenders wird kein System sicher sein!

Gruß

Holger

Das kann aber das Sicherheitsmedium nach meiner Meinung schon leisten. Wie von Holger schon dargestellt, kann man das mit der SMS-TAN oder dem TAN-Generator mit Challenge umsetzen.

Kunde reicht Auftrag ein, Banksystem schickt auftragsgebundene TAN an Kunden (z.B. per SMS mit Auftragsdetails), Kunde gibt Auftrag frei.

Wie sollte ich da mit MITM denn eine Manipulation hinbekommen?
Wird der Auftrag vor Einreichung manipuliert, stimmen die Bestätigunsgdaten in der SMS nicht. Nur an der Stelle kommt übrigens der Anwender selber ins Spiel. Und das ist keine Kontrolle im nachhinein, sonder die Prüfung erfolgt tatsächlich vor Ausführung.

SMS abfagen funktioniert auch nicht, dazu müsste der MITM auch die Rufnummer ändern können. Das darf dabei natürlich nicht online möglich sein. Für einen erneuten Auftrag wäre eine abgefangene SMS auch nicht gültig.

Gleiches gilt für den TAN-Generator mit Challenge, da in die TAN Berechnung ja schon auftragsbezogene Daten mit eingezogen werden.

Es ist mir aber doch trotzdem möglich Daten abzufangen und zu mißbrauchen, egal über welchen Kanal eine Bestätigung erfolgt. Weiter ist die Frage, wie genau die Bestätigungsdaten überhaupt überprüft werden, die ja lediglich aus Kontonummer und Betrag bestehen. Problem ist eben, dass falsche Bestätigungsdaten nicht automatisch die Transaktion unterbinden.

Bei dem TAN-Generator mit Challenge bekomme ich doch nur einen Hash der auftragsbezogenen Daten von meiner Bank und errechne daraus die TAN ?!? Woher weiß ich das meine Auftragsdaten übermittelt wurden und Grundlage für den mir angezeigten Hash sind, meine Auftragsdaten nicht auf dem Weg zur Bank manipuliert wurden und mir der Hash der manipulierten Auftragsdaten untergeschoben wird?

Hallo Stoney,

da liegst Du nicht ganz richtig!
Erstmal haben beide TAN Verfahren einen Bezug zum übermittelten Auftrag. D.h. der Anwender muss kontrollieren, ob die Daten, die er von der Bank erhält, mit denen übereinstimmen, die er vorher im ersten Schritt übermittelt hat. Stimmen die nicht, darf er diesen Auftrag nicht frei geben -> Daher Eigenverantwortung und entsprechende Eigenintelligenz....

Der TAN Generator hat auch einen nachvollziehbaren Auftragsbezug, wenn er gem. FinTS Spec verwendet wird. (das ist derzeit bei der Nationalbank der Fall - wenn ich das richtig gelesen habe - und wohl demnächst bei einem Teil der VR-Banken)
In dem Fall setzt sich der Wert zur Ermittlung der TAN aus einem Auftragsbezogenem Wert des RZs
und einem Direkten Bezug zum Auftrag zusammen.
Anhand des Bankcodes kann der Anwender erkennen, was für einen Typ Auftrag er grade legitimiert. Dazu gibt er dann z.B. die Kontonummer des Empfängers ein. Je nach Auftragsart variieren die Eingaben, die der Anwneder zu tätigen hat -> Anforderung an eine gehobene Eigenintelligenz......

Gruß

Holger

Also wenn ich als Kunde eine SMS bekomme, in der steht:

Ihre TAN für den Auftrag vom <DATUM> an <KONTO>/<BLZ> in Höhe von <Betrag> lautet 745987. Die TAN ist 7 Minuten gültig. Ihre Bank/Sparkasse X-Stadt.

Was kann ich dann noch falsch machen?
Eine nicht so lautende Überweisung kann ich nicht freigeben, ein anderer kann mir keine gültige TAN zu so einem Auftrag schicken. Zudem weiss ich wohl, was ich in den letzten 7 Minuten in Auftrag gegeben habe - hoffentlich

Was mit MITM weiter möglich wäre, ist das Abfragen von Umsatzdaten. Ausser für Witschaftsspionage ist das aber nicht weiter interessant, zudem könnte man auch das per TAN sichern (macht das nicht die Nationalbank schon?).

Der größte Angriffspunkt wäre dabei die Rufnummer die die SMS erhält. Diese darf natürlich nur gegen persönliche Vorsprache änderbar sein.

Zum TAN Generator hat Holger schon alles gesagt.

Unter dieser Prämisse ist ein kundenfreundliches Banksystem zu vertretbaren Kosten für alle Beteiligten kaum zu realisieren, oder?

Um den Risikofaktor "Kunden-PC" zu 100% auszuschalten, müsste man wohl versiegelte Banking-Terminals mit integriertem Klasse-3-Kartenleser ausgeben.

Das hilft wohl eher niemandem...

Zu welchem Preis ist der Anwender bereit, für eine sichere Lösung wie die MobileTan zu bezahlen? (SMS-Kosten)

Aus der FinTS Spec geht für mich nur hervor, dass ich eine BankID/Hash zu den Auftragsdaten erhalte, mit der ich dann mit dem TAN-Generator die "GegenTAN" erzeugen.

1. Kunde loggt sich ein mit Kontonummer/PIN
2. Überträgt Auftrag
3. Bekommt Hash aus Auftragsdaten übermittelt
4. Erstellt TAN mit TAN-Generator und Hash
5. Bestätigt den Auftrag mit "GegenTAN"

Oder wie ist es richtig?



Wie kann ich das genau erkennen? Für mich ist der Bankcode nur der Hashwert der Auftragsdaten? Oder wird die "GegenTAN" aus Hashwert, einer Variable des Auftrages und ein gemeinsames Geheimnis erzeugt?

Schade, dass die FinTS Spec da nicht weiter geht und genau vorschreibt, wie eine Challenge aussieht und eine "GegenTAN" zu errechnen ist Ich habe es zumindestens nicht gefunden.



Lt. Poba wird lediglich Konto und Betrag mitgeteilt, wenn ich davon ausgehe, dass diesen beiden Daten die gleiche Beachtung geschenkt wird, wie zum Beispiel den Sicherheitshinweisen, ist es doch schon wieder egal ob die Auftragsdaten dort stehen oder nicht. Sie werden eben einfach ignoriert oder es kommt der gute alte "wird schon stimmen Gedanke". Du kennst es doch sicher auch aus der Praxis, wie oft falsche Beträge (Zahlendreher, Komma verrutscht) überwiesen werden und dort hat der Nutzer noch aktiv durch seinen Fehler mitgewirkt bzw. es mehrmals aktiv bestätigt.

Hallo Stoney,

sorry, ausführlich stehen die Challengebeschreibungen in der Spec zu dem jeweiligen TAN Verfahren. In der FinTS Spec wird darauf referenziert.

Laut der Spec gibt es erstmal Chaellengeklassen, mit denen definiert wird, was für ein Auftrag eingereicht wird/wurde.
Um eine TAN zu generieren muss der Anwender den Bankcode, der sich aus der Challangeklasse (1. Stelle des Bankcodes) und einem Speziellen Wert des RZs (möglichst Auftragsbezogen) zusammensetzt in den TAN Generator eingeben. Zusätzlich muss er je nach Challangeklasse noch bestimmte Daten aus dem Auftrag ermitteln und ebenfalls eingeben. Aus beiden Daten wird dann eine TAN errechnet, bei der die Bank die Möglichkeit hat nachzurechnen, ob die TAN wirklich zu dem eingereichten Auftrag gehören kann.

Gruß

Holger

Wenn die Poba nur zwei der vier von mir erdachten Werte übermittelt, ist das erstmal kein Beinbruch. Die Poba ist ja auch nur ein derzeitiges Beispiel und sicher nicht das letzt SMS-TAN nutzende Institut.

Nur glaubst du ersthaft, das jemand auf gut Glück versucht eine solche Echtzeitmanipulation herbeizuführen? Dafür dürfte das Verhältnis von Manipulationsversuchen zu echten Treffern zu klein sein.

Zuerst kann ich als Betrüger doch nur dann einen Versuch starten, wenn der echte Bankkunde sowieso gerade selber aktiv arbeiten möchte.

- Eine TAN-SMS an einen Kunden zu senden, der gerade nicht selber arbeitet, dürfte selbst dem Nachlässigsten auffallen. -

Ist der Kunde selber aktiv, müsste der Rechner des Users bereits mit einem Trojaner infiziert sein oder per DNS Manipulation auf einem nachgebauten System landen.
Jetzt kann der Betrüger das echte Banksystem ansprechen und seine gewünschte Überweisung absenden. Der Bankkunde muss dann noch die ihm übersandte TAN mit den falschen Auftragdaten als richtig erachten und in das gefälschte System eingeben.
Daraufhin kann der Betrüger die TAN seinem Nachbausystem entnehmen und - im noch geöffneten Dialog zur Bank- kann er die TAN verwenden. Das alles in der kurzen Zeit und ohne das der Kunde was bemerkt oder die Session und/oder die TAN abläuft.

Technisch recht kompliziert, zudem gnadenlos auf die Unachtsamkeit des Kunden ausgelegt.
Da könnte auch der Bankmitarbeiter am Schalter einen Beleg absichtlich mit falschen Daten ausfüllen und um Unterschrift bitten.

Ich denke bevor das jemand probiert, wählt der Betrüger eine andere Bank als Ziel.