Online-Banking: Experten knacken neues Sicherheitsverfahren

Dieses Thema im Forum "Netzwelt" wurde erstellt von zwa3hnn, 11. November 2005 .

  1. 11. November 2005
    Zuletzt von einem Moderator bearbeitet: 14. April 2017
    Mit dem iTAN-Verfahren wollen Postbank und Deutsche Bank den wachsenden Problemen mit Phishing und anderen Betrugsmethoden begegnen, mit denen Online-Banking-Kunden um ihr Geld gebracht werden sollen. Bochumer IT-Experten brauchten nur einen Tag, das Verfahren zu knacken.

    Aus Sicht der Kunden war seit Einführung des Online-Bankings die effektivste Sicherheitsmaßnahme die verschämte Kulanz der Banken: In Zeiten, in denen Großbanken Filialen schließen, Personal entlassen und die Schalterarbeit gern auf den Kunden abwälzen, konnte man sich darauf verlassen, dass sie entstandene Schäden lieber ausglichen, als sie öffentlich werden zu lassen. Denn wirklich sicher war Online-Banking nie.

    Bild {img-src: http://www.spiegel.de/img/0,1020,529025,00.jpg}
    Frisches Verfahren, schnell geknackt: Noch bevor das iTAN-Verfahren beim Kunden angekommen ist, wurde es schon entzaubert​

    Zumindest innerhalb geschlossener Netzwerke (Firmen, Universitäten etc.) ist es ein Kinderspiel, auch verschlüsselte Kommunikation abzufangen und zu entschlüsseln. Entsprechende Cracker-Tools kursieren seit Jahren frei erhältlich im Internet. Sie alle basieren auf dem Prinzip der "Man in the Middle"-Attacke.

    Dabei setzt sich der Angreifer zwischen das Web-Interface der Bank und den Kunden und sorgt dafür, dass der Datenverkehr beider "Kommunikationspartner" über seinen Rechner geroutet wird. Gibt der Kunde Kennworte und "Personal Identification Number" ("PIN") ein, werden diese registriert, entschlüsselt und gespeichert. Die folgende Transaktionsnummer ("TAN"), die der Kunde braucht, um beispielsweise eine Überweisung zu authentifizieren, fängt der Cracker ab, statt sie zur Bank durchzuleiten: Der Kunde bekommt stattdessen zum Beispiel eine Fehlermeldung serviert, die aussieht, als käme sie von der Bank. Das lässt sich mehrere Male wiederholen, bis der Kunde aufgibt und sein Banking auf später verschiebt.

    Der Cracker überweist derweil mit Hilfe der "geernteten" TAN-Nummern, die nur einmal zu gebrauchen sind, Gelder zu seinen eigenen Gunsten.

    Im offenen Internet sind solche Man-in-the-Middle-Attacken schwerer durchzuführen. Unmöglich, das bewiesen nun Bochumer IT-Experten, sind sie nicht - und auch das als sicherer geltende iTAN-Verfahren von Post- und Deutscher Bank bietet keinen genügenden Schutz.

    Software-Experten der Universität Bochum, berichtet das "Handelsblatt", gelang es, das iTAN-Verfahren mit einer klassischen Man-in-the-Middle-Attacke auszutricksen. Eigentlich sollte das so genannte iTAN-Verfahren vorhandene Sicherheitslücken schließen. Doch die Hochschulhacker aus Bochum hätten nach eigenen Angaben gerade einmal einen Tag benötigt, um das iTAN-Verfahren zu überwinden und ihren Erfolg mit der symbolischen Überweisung von einem Euro zu dokumentieren.

    Dem Bericht zufolge stehen Postbank und Deutsche Bank mitten in der Einführung des Systems. Auch die Sparkassen wollen demnächst mit iTAN starten. Ein Postbank-Sprecher verwies auf Nachfrage des Blattes darauf, sein Institut habe nie behauptet, dass iTAN absolut sicher sei. Längerfristig hoffe das Institut, dass sich die von der Bundesregierung geförderte elektronische Signatur am Markt durchsetzen werde.

    Das Sicherheitsleck: Phishing und Webseiten-Highjacking

    Tatsächlich ließen sich die Sicherheitslücken im Online-Banking mit einer Kombination aus elektronischer Unterschrift und beispielsweise zeitabhängigen Codes weitgehend lösen. Dabei sind Passworte nicht nur verschlüsselt, sondern ändern sich auch alle paar Sekunden, in einem festen, bei Bank und Kunden synchronisierten Takt, der beispielsweise über eine Codekarte eingegeben wird. Auch "Automatisieren" lässt sich das Abfangen von TANs so nicht mehr, weil die Codes verfallen, bevor sie zum Einsatz kommen. Wird dann noch vorausgesetzt, dass sich die Bankseite gegenüber dem Kunden auf die gleiche Weise authentifiziert, wird das Zwischenschalten einer gefälschten Seite nutzlos.

    Denn alle Online-Banking-Probleme beginnen damit, dass sich der Kunde auf eben eine solche zwischengeschaltete, gefälschte Bankseite einlässt. In der Regel wird er durch eine Phishing-Mail dorthin geführt: Er klickt auf einen Link in einer angeblich von seiner Bank kommenden E-Mail und landet in der Falle. Andere Cracker-Tricks beruhen auf dem "Umlenken" des Webbrowsers selbst durch eingeschleuste Schadprogramme ("Webseiten-Highjacking").

    So etwas lässt sich durch Einhaltung der Sicherheitsregeln beim Surfen (Virenschutz und Firewall up to date, Sicherheits-Updates von Browsern regelmäßig aufspielen etc.) weitgehend verhindern. Als besonderes Sicherheitsrisiko dürfen daneben offene, ungeschützte WLans gelten: Sie kommen einer Einladung zur Man-in-the-Middle-Attacke gleich.

    Doch aktuell sind es vor allem die Phishing-Attacken, die massiv zunehmen. Dabei locken Hacker die Bankkunden per E-Mail auf gefälschte Internet-Seiten und fragen unter einem Vorwand Kontendaten und Transaktionsnummern ab. Gerade diese Angriffe sollten mit indexierten Transaktionsnummern (iTAN) unterbunden werden. Die Bank fordert dabei eine ganz bestimmte Transaktionsnummer von der TAN-Liste des Kunden an.

    Die Bochumer Wissenschaftler setzten bei ihrem Angriff auf die oben beschreibene Man-in-the-Middle-Methode. "Es war viel einfacher, als wir uns das vorgestellt hatten", sagte Henrik Te Heesen, einer der beteiligten Bochumer Forscher, die den Angriff programmierten.

    Für Sicherheitsexperten kommt der erfolgreiche Angriff nicht überraschend. "Wenn Kriminelle ihr Verhalten leicht modifizieren, wird das iTAN-Verfahren nahezu wirkungslos", sagte Maximilian Dornseif von der Universität Mannheim dem "Handelsblatt". Dornseif ist Initiator der Red-Team-Initiative, die Sicherheitssysteme auf Schwachstellen prüft. Auf die Erkennung und Abwehr von Man-in-the-Middle-Attacken in geschlossenen Netzwerken hat sich unter anderem auch das Hagener Unternehmen ISL Internet Sicherheitslösungen spezialisiert. Die Hagener warnen seit über drei Jahren vor den Gefahren solcher Crack-Methoden für das Online-Banking.


    quelle: Spiegel Online
     
  2. 11. November 2005
    das war ja wohl wieder klar ist das nicht immer so das schon befor irgendwas neues "sicheres" rauskonnt bereits gehackt wurde ich find schon lustig ist aber für die kunden sicher nicht so zum lachen, die desshalb kohle verlieren falls die hacker bösartig sind.
     
  3. 11. November 2005
    Also ich finde das gar nicht mehr so lustig mit dem Knacken den Viele Menschen ich inbegriffen erledigen Ihre geschäfte über das Internet. Nur so langsam muss man sich doch fragen was denn überhaupt noch sicher ist? Irgendwann schaust du auf dein Konto und es ist leer. Kann mann sich nicht Irgendwie dagegen schützen?
     
  4. 11. November 2005
    Manchmal frag ich mich da schon bos überhaupt nochn Sinn hat neue System zuentwickeln die dann eh früher oder später wieder geknackt werden .

    Naja finds halt blöd, da ich auch selber öfters online meine Geschäfte erledige.
     
  5. 13. November 2005
    Würden sich die Leute, die es immer wieder knacken mal alle zusammensetzen und ein Neues System entwickeln wär es bestimmt besser als alles was es bisjetzt gibt. Den so können sie immer wieder versuchen ob es auch wirklich keiner schafft zu knacken und wenn ja durch was es geknackt wurde.
     
  6. 13. November 2005
    Ich würde nie Online Banking benutzen, war mir persönlich schon immer viel zu unsicher.
     
  7. 13. November 2005
    man muss eben allen sagen dass sie niemals nen link fuer online banking anklicken sollen sondern immer schoen fleissig die adresse des onlinebanking-"providers" eintippen oder halt bookmarken .. dann kann eigentlich so gut wie nix passieren ..
     
  8. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.