IT security and other aweful matters

Of computer mice and men – for availability, integrity and privacy

Online Banking – smsTAN nur sicher am PC

Das von Banken und Sparkassen als besonders sichere angepriesene smsTAN-Verfahren ist nur dann besonders sicher, wenn Onlinebanking-Programm und SMS-Empfang auf verschiedenen Geräten. Für die meisten Nutzer dürfte dies der Fall sein, denn sie starten ihr Onlinebanking an einem PC oder Laptop, und empfangen die SMS auf einem unabhängigen Mobiltelefon.

Aber Achtung – stimmt das auch in Ihrem Fall? Nutzen Sie vielleicht Ihren Laptop über eine Mobilfunkanbindung (überall surfen, wo Ihr Provider erreichbar ist), und nutzen damit auch den SMS-Empfang? Geht ja – aber dann Vorsicht beim Onlinebanking.

Auf jeden Fall – smsTAN ist nur sicher, wenn getrennte Kanäle genutzt werden!

Auf Drängen meiner Sparkasse werde ich mich in den nächsten Tagen vom klassischen TAN-Listen-Verfahren trennen und auf das ChipTAN-Verfahren einstellen. Das smsTAN-Verfahren mag ich nicht, weil jedesmal 9 Cent für die SMS anfallen. Dann lieber einmal 10 Euro für den Tokenchip ausgeben. Dabei habe ich nebenbei die beiden Verfahren genauer betrachtet.

smsTAN – Richtig anwenden

Beim smsTAN-Verfahren erstellen Sie z.B. eine Überweisung im Onlinebanking-Programm, senden diese als Auftrag an die Bank, und geben in dem Programm ihre PIN ein, um dem Server der Bank zu zeigen, dass Sie es sind und dass Sie das dürfen. Die Übertragung des Auftrags und der PIN ist durch das sichere Protokoll https geschützt. Nachdem der Auftrag beim Bankserver eingegangen ist, wird dort eine TAN generiert und an eine Mobilfunknummer übertragen. Die Nummer haben Sie vorher der Bank bei Aktivierung des Verfahrens nennen müssen. Idealerweise, und davon gehen alle Beteiligten aus, ist das die Nummer Ihres Händis, das Sie stets bei sich haben.

Das smsTAN-Verfahren wird auch mobilTAN oder mTAN genannt.

Dieses Verfahren ist sicher, wenn

  • Das Mobiltelefon während des Onlinebanking keine Verbindung zum PC/Laptop hat.
  • Auf dem Mobiltelefon keine Information über Ihre Bankverbindung und schon gar nicht ihre Bank-PIN gespeichert ist. Auch nicht kurz eben mal!
  • Der PC/Laptop nicht über dasselbe Telefon mit dem Internet verbunden ist. (Dann wäre er auch mit dem Mobiltelefon verbunden – siehe oben.)
  • Das Mobiltelefon nicht für Onlinebanking verwendet wird. Smartphones können das ja.

Warum diese strikte Trennung? Weil die Sicherheit der smsTAN einzig darin liegt, dass der Auftrag über einen ersten Weg an die Bank geht, dann die Bank über einen zweiten Weg die akut ermittelte TAN sendet, und der Benutzer diese TAN liest und wieder über den ersten Weg zur Bestätigung des Auftrags an die Bank sendet. Der menschliche Benutzer ist dann die einzige Verbindung, die den Kreis schließt. Nur wenn dieser menschliche Auftraggeber PC und Händi im Griff hat, kommt es zu einem legitimen Auftrag.

Das Risiko: Wenn Onlinebanking und SMS-Empfang auf demselben Gerät erfolgen, oder wenn die beiden Geräte miteinander verbunden sind, kann der Mensch überbrückt werden. Ein Programm, das auf dem PC Daten aus dem Onlinebanking lesen kann, und das die TAN aus der SMS lesen kann, kann dann auch den Auftrag, etwa eine hübsche kleine Überweisung, bestätigen. Es könnte ihn auch vorher manipulieren, und Ihr Konto leeren.

Der Einsatz eines solchen Programms erscheint lukrativ, und so wundert es nicht, dass es auch eines gibt. Das ist schon richtig ausgetüftelte Schadsoftware, die über mehrere Prozessschritte geht. Und weil es so lukrativ ist – gibt es sie auch schon.

Daher bitte ernst nehmen. Die Sparkassen informieren noch etwas spärlich über das Risiko. Es nagt ja auch an dem wichtigsten Nutzen: “flexibel online banken”, sprich vom Smartphone aus. Genau das sollte tabu sein. Wenn Sie es wirklich nicht anders organisieren können, sollten das Smartphone täglich strengstens mit mehreren Diensten auf Malware geprüft werden.

Quelle: BSI Bürger Cert

Dazu die Reklame der Frankfurter Sparkasse für das Verfahren

Immerhin steht dort auch: Wichtiger Hinweis: Bitte beachten Sie, dass Sie das smsTAN-Verfahren nicht für Online-Banking an einem Mobilgerät (Mobile Banking) nutzen können. Für Applikationen wie S-Banking etc. auf einem Mobilgerät verwenden Sie bitte ein anderes Sicherungsverfahren.

Advertisements

Author: TTeichmann

IT is my business since 1985, focused on IT security since 1999. I built up several IT networks as security based architectures. In 2007 business continuity management came into my portfolio. I feel open minded, keeping an eye on things evolving, trying to find solutions that meet business needs while security requirements are kept high. ITsec, ITSCM and BCM are necessarily part of cost efficient IT delivery today.

Comments are closed.