Ahileos - Fotolia

Online-Banking: Das M-TAN-Verfahren ist diskreditiert

Die neue Betrugswelle im Online-Banking legt die Schwächen des weit verbreiteten M-TAN-Verfahrens offen. Es ist mit einem simplen Trick auszuhebeln.

Seit Mittwoch, 21. 10. 2015, machten Presseberichte von einer neuen Betrugswelle im Online-Banking die Runde. Dieses Mal hatten Cyberkriminelle Bank und Mobilfunkdaten per Spähsoftware auf den PCs der Betroffenen ausspioniert. Im zweiten Schritt gaben Sie sich gegenüber den Mobilfunkbetreibern als Mitarbeiter von Mobilfunk-Shops aus und beantragten im Namen der Betrogenen eine Ersatz-SIM-Karte.

So ausgerüstet, lösten sie Online-Banking-Überweisungen aus und autorisierten sie per mobiler TAN, die sie dank der Ersatz-SIM als SMS erhielten. So zogen sie laut Berichten der Süddeutschen Zeitung hohe fünfstellige Beträge von den Konten der Geschädigten ab. Betroffen waren Mobilfunkkunden der Telekom und von Telefonica. Die Schäden erreichten Millionenhöhe.

M-TAN ist schon häufiger erfolgreich angegriffen worden

In vielen Berichten war vom „Knacken des M-TAN-Verfahrens“ die Rede, das bisher als relativ sicher galt. Beides stimmt laut Markus Tak, Chief Technology Architect von KOBIL, einem Anbieter von mobilen Sicherheitsplattformen aus Worms, nicht ganz.

Zum einen sei das M-TAN-Verfahren in diesem Fall zwar nicht geknackt, aber umgangen worden. Außerdem sei das M-TAN-Verfahren auch in der Vergangenheit schon häufiger auf anderen Wegen erfolgreich angegriffen worden. Es weise zwei wesentliche Schwächen auf: zum einen im Bereitstellungsprozess der SIM Karten und zum anderen in der SMS-Technologie an sich.

Die Banken verlassen sich auf Prozesse anderer

„Die Banken haben den Ablauf nicht von Ende-zu-Ende im Griff“, moniert er. Während sie einen Teil des Prozesses selbst kontrollieren, nämlich die Identifikation des Kunden und die Auslösung der eigentlichen Transaktion, seien sie bei der Autorisierung der Transaktion auf die Prozesse des Telekommunikations-Providers angewiesen.

„Ein Mobilfunk-Provider hat nun einmal das größte Interesse daran, dass seine Kunden Gesprächsminuten oder Datenvolumen verbrauchen, entsprechend einfach macht er es seinen Kunden, SIM Karten zu bestellen oder Ersatzkarten zu erhalten. Dieser Prozess ist anders als der Transaktionsprozess in Banken nicht primär auf Sicherheit getrimmt.“

Diese Prozessschwäche hätten die Online-Betrüger in diesem Fall ausgenutzt. Der Chief Technology Architect empfiehlt Banken daher, die Kontrolle über den gesamten Prozess zu übernehmen und auf SMS als Übertragungsmedium zu verzichten. „Dann müssen sie die Mobilfunk-Provider nicht mehr involvieren und sparen überdies noch Geld, weil die SMS Gebühren entfallen“, so Tak weiter.

Chip-TAN und TAN-lose Verfahren sind sicherer

Beim chipTAN-, oder auch App-basierten TAN-Verfahren, in dem zwei Apps auf einem Gerät eingesetzt werden, taucht weder das Problem der geteilten Prozessverantwortung auf, noch spielt die technische Schwäche der SMS eine Rolle, erklärt Tak. Vorausgesetzt, die Apps sind mit speziellen und aktuellen Härtungsverfahren gegen Angriffe geschützt. Die Schwäche der SMS liegt vor allem in der unverschlüsselten Speicherung der SMS auf dem Mobilfunkgerät.

„Wenn Kriminelle einen SMS-Forwarder auf dem Smartphone eines Nutzers installieren, können sie jede SMS zu jeder beliebigen Adresse weiterleiten. Moderne Forwarder gibt es in entsprechenden Untergrundforen als vorgefertigte Softwarepakete inklusive Support. Sie sind sogar in der Lage, die weitergeleiteten SMS vor dem Besitzer des Handys zu verbergen. Auf diese Weise bemerkt er gar nicht, dass eine TAN entwendet wurde. Das gibt dem Betrüger ausreichend Zeit, die Transaktion auszuführen und das Geld zu kassieren“, berichtet Tak.

Ganz ohne SMS und Abtippen von TANs

Nutzer von Online-Banking empfiehlt Tak entweder chipTAN oder auch das App-basierte TAN-Verfahren zu benutzen. „Diese Verfahren sind sehr sicher, weil der SMS-Übertragungsweg wegfällt, die Apps mit entsprechenden Software Development Kits (SDK) gegen Cyberangriffe gehärtet werden können und alle übertragenen Daten stark verschlüsselt werden.“ Anstatt SMS wird ein eigener Kommunikationskanal zwischen Bank-Server und mobiler App bereitgestellt, der weder von anderen Apps auf dem Smartphone noch von außen angezapft werden kann. Tak erklärt das App-basierte Verfahren am Beispiel ING Diba.

Markus Tak,
KOBIL

Für diese Bank hat KOBIL ein TAN-loses Verfahren auf Basis seines eigenen SDK implementiert. Dabei wird neben der eigentlichen App der Bank für Mobile Banking die von KOBIL entwickelte Smart Secure App eingesetzt. Sie stellt den erwähnten zusätzlichen sicheren Kommunikationskanal zur Verfügung und agiert als ein zweites virtuelles Device. Damit hält die Bank die Sicherheitsanforderungen der Europäischen Bankenaufsicht (European Banking Authority, EBA) ein, ohne dass der Kunde seine mobilen Transaktionen über ein zweites physisches Endgerät autorisieren muss.

Die Technologie erlaubt Nutzern der Smart Secure App Transaktionen zu autorisieren, ohne TANs abzutippen, die ihnen per SMS zugesendet oder die sie per TAN-Generator erzeugen. Die Secure App ist vor dem Kopieren aus dedizierten Geräten, der Manipulation und der Erstellung von Fake-Apps geschützt. Außerdem beinhaltet sie diverse integrierte Sicherheitsfunktionen wie Schutz vor Debugging und Reverse Engineering, Security Sensoren (Jailbreak-, Malware-Detection), Schutz vor unautorisierter Nutzung (PIN) sowie einem Ende-zu-Ende verschlüsselten Kommunikationskanal.

„chipTAN und das beschriebene Verfahren sind sicherer als das M-Tan-Verfahren. Das TAN-lose Verfahren ist zudem komfortabler, weil keine zwei physischen Endgeräte mehr gebraucht werden, kein Medienbruch stattfindet und außerdem das fehlerbehaftete Abtippen der TAN entfällt“, resümiert Tak.

Markus Tak ist Chief Technology Architect bei KOBIL. Er beschäftigte sich bereits während seines Informatikstudiums intensiv mit den Themen Security und Kryptografie. Seine Diplomarbeit schrieb er über Trustcenter-Software. KOBIL bietet Lösungen für digitale Identität und hochsichere Datentechnologie an. 1986 gegründet, ist die 120-Personen starke KOBIL Gruppe, mit Hauptsitz in Worms, Pionier in den Bereichen Smartcard, Einmalpasswort, Authentifikation und Kryptographie. Kern der KOBIL Philosophie ist es, durchgängiges Identitäts- und Mobile Security Management auf allen Plattformen und allen Kommunikationskanälen zu ermöglichen. Knapp die Hälfte der KOBIL Mitarbeiter sind in der Entwicklung tätig, darunter führende Spezialisten für Kryptographie. KOBIL wirkt bei der Entwicklung neuer Verschlüsselungsstandards entscheidend mit. Commerzbank, DATEV, Deutscher Bundestag, Migros Bank, Société Générale, UBS, ZDF und viele andere setzen auf KOBIL.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im Oktober 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close