Pressemitteilung vom 25. August 2005
Forschungsgruppe „RedTeam” der RWTH Aachen warnt vor trügerischer Sicherheit des neuen iTAN Verfahren.
Das “indizierte TAN” (iTAN) Verfahren, das aktuell von mehreren deutschen Banken eingeführt wird, um ihre Kunden effektiv vor Trojaner- und Phishingangriffen zu schützen, wird diesem Anspruch nicht gerecht. RedTeam hat das iTAN-Verfahren untersucht und konnte zeigen, dass Angriffe weiterhin möglich sind. Die überbewertenden Äußerungen der Banken über das Verfahren führen zu einem falschen Sicherheitsgefühl verbunden mit einer Gefährdung der Bankkunden.
Der einzige Unterschied von iTAN zum klassischen TAN System besteht darin, dass nicht mehr eine beliebige Transaktionsnummer (TAN) zur Bestätigung eines Auftrages vom Kunden genutzt werden kann, sondern diese von der Bank vorgeben wird. Dafür werden alle TAN-Nummern durchnummeriert und nach Übermittlung des Auftrages vom Bankcomputer eine zufällige TAN aus der TAN-Liste ausgewählt und diese fest mit dem übermittelten Auftrag verknüpft. Der Kunde muss nun zur Bestätigung des Auftrages genau diese TAN eingeben und kann auch keinen anderen Auftrag mit dieser TAN bestätigen.
Ein Angreifer wird durch dieses Verfahren jedoch nur im Zeitraum eingeschränkt, zu dem er eine schädliche Transaktion durchführen kann. Erfolgreiche Angriffe selber werden aber nicht verhindert. Sobald ein Angreifer durch einen Phishing- oder Trojanerangriff die Möglichkeit hat, die Kommunikation zwischen Kunde und Bankcomputer zu manipulieren, kann er einen Kunden zur Eingabe der benötigten TAN bewegen, ohne dass dieser den Mißbrauch ahnt. Eine detaillierte Beschreibung der Schwachstelle findet sich im Security-Advisory unter https://www.redteam-pentesting.de/advisories/rt-sa-2005-014.txt.
RedTeam hat exemplarisch einige große Banken, die iTAN bereits einsetzen, telefonisch über diesen Sachverhalt in Kenntnis gesetzt und um eine Stellungnahme gebeten. Bei allen diesen Banken konnten kompetente Ansprechpartner erreicht werden, die die Problematik nachvollziehen konnten. An den Darstellungen gegenüber den Kunden solle aber weiter festgehalten werden. Eine Bank geht sogar soweit, auf den ersten Schaden bei Kunden zu warten, bis von den Aussagen zur effektiven Sicherheit gegen Trojaner- und Phishingangriffen Abstand genommen werden soll.
“Ein typisches Beispiel für Security Theater”, sagt Maximillian Dornseif, Sicherheitsexperte an der RWTH Aachen. “Die Banken haben geschickt die Haftung für elektronischen Zahlungsverkehr auf die Kunden abgewälzt. Nach den Phishing-Vorfällen wird eine Maßnahme eingeführt, die nur minimale Sicherheitsverbesserungen bringt, den Kunden aber vorgemacht, dass sie nun vor Missbrauch sicher seien.”
Als Folge dieser Informationspolitik ist eine Desensibilisierung der Kunden bezüglich möglichen Gefahren beim Onlinebanking zu befürchten, da sich diese durch das iTAN Verfahren hinreichend geschützt fühlen. Eine baldige Anpassung der Angriffe an die veränderte Situation ist zu erwarten, da dafür kein hoher Aufwand nötig ist. Durch die Veröffentlichung dieses Sachverhaltes möchte RedTeam die Kunden, wie auch die Banken, auf die weiterhin vorhandenen Risiken aufmerksam machen. Dies geschieht insbesondere mit Blick auf die angekündigte Einführung des Verfahrens bei weiteren deutschen Banken.
RedTeam ist eine aus dem Umfeld der Lehr und Forschungsgebiets I4 an der RWTH Aachen hervorgegange Forschungsgruppe zur IT-Sicherheit mit dem Ziel die Sicherheit von IT-Systemen durch Forschung und Durchführung von Penetrationtests, kurz Pentests, zu verbessern. Ein Pentest ist die Simulation eines Angriffs, um sicherheitsrelevante Schwachstellen beim Auftraggeber systematisch offenzulegen. Hierbei gewonnene Erkenntnisse helfen System-Administratoren, ihre IT-Systeme vor realen Angriffen zu schützen. Die hierdurch und durch Forschung gewonnene Erfahrung wird von RedTeam in Form von Security-Advisories unter https://www.redteam-pentesting.de und Beteiligung an der Lehre an der RWTH Aachen der Öffentlichkeit zugänglich gemacht. Für weitergehende Fragen kann RedTeam unter der E-Mail Adresse kontakt@redteam-pentesting.de erreicht werden.