Wir haben den 2012-02-01. Es ist Zeit zu veröffentlichen, was einige Banken ihren Kunden verschweigen. Auch auf die Gefahr hin, damit das Aufkommen dieser Art von Betrug zu beschleunigen. Die Banken betrügen ihre Kunden bereits jetzt, indem sie eine nicht vorhandene Sicherheit behaupten. Es geht um den Ersatz von iTAN durch mTAN.
Die Erklärung der Verfahren findet sich anderswo, kommt evtl später auch hierher.
iTAN ist nicht für "dumme" Nutzer, für absolut arglose Menschen, die alles glauben, was ihnen auf Websites oder per Email angezeigt wird.
mTAN gefährdet auch den bestens geschulten und vorsichtigen und denkenden Nutzer.
Der folgende Text wurde von mir 2007-04-03 als Teil einer längeren Email mit dem Titel "Internetbanking aus meiner Sicht" gesendet an direkt@postbank.de, zu einer Zeit, als mTAN gerade anfing.
mTAN anstelle iTAN - ein Sicherheitsgewinn?
Die mTAN zusätzlich zur iTAN,
das wäre auf jeden Fall ein Sicherheitsgewinn,
weil eine zusätzliche Hürde aufgebaut wird.
Die alleinige Verwendung einer mTAN hingegen ermöglicht
einen neuen Typ eines Angriffs:
Irgendwann geraten Kontonummer und PIN bzw. die Login-Daten
in die böswilligen Hände.
Zu einer anderen Zeit wird die Identität des Mobiltelefons kopiert.
Dazu muß das Mobiltelefon nicht mal geklaut werden.
Denkbar ist auch eine Manipulation ("Hack") im Mobilfunknetz.
Nun sind beliebig viele Transaktionen im Namen des Kunden möglich.
Es ist nur eine Frage der Zeit, bis diese Art von Angriff lukrativ wird.
Es gab eine Eingangsbestätigung, einige Tage später eine Standard-Antwort, die u.a. den Text enthielt: "Ihren Vorschlag haben wir an die Marketingabteilung unserer Zentrale weitergeleitet. Alle Vorschläge werden dort auf Ihre Umsetzbarkeit hin geprüft. Bevor wir einen Verbesserungsvorschlag realisieren, untersuchen wir auch, wie viele Kunden von der möglichen Verbesserung profitieren werden. Daher bitte wir um Verständnis, dass wir Ihnen keine Auskunft darüber geben können, ob und wann Ihr Vorschlag umgesetzt wird."
Das empfand ich schon damals als Verarschung, weil jede seriös arbeitende Firma mit einer funktionierenden Änderungsverwaltung aufzeichnet, wer eine Änderung angestoßen hat. Das passiert üblicherweise in einer computerisierten Datenbank, so daß es eine Leichtigkeit ist, automatisch den Urheber zu informieren über Realisierung oder Ablehnung.
Das fällt mir zu eurem tollen Wettbewerb ein.
Die mobileTAN ist SCHLECHT, so wie es jetzt ist. Das habe ich euch schon 2007 mitgeteilt. Mein jetziger Umstieg war von der Postbank erzwungen durch Abschaltung der iTAN.
Mit iTAN konnte niemand eine Überweisung o.ä. auslösen, ohne meinen kleinen nicht-vernetzten Computer zu stehlen, oder die Dateien darauf, und ein nur in meinem Kopf gespeichertes langes Paßwort zu deren Entschlüsselung zu besitzen. Alternativ mußte der Angreifer in der Leitung sitzen, wenn ich eine Überweisung tätigte. Jedenfalls konnte er nur eine Aktion pro abgegriffener iTAN auslösen.
Mit mTAN kann jeder technisch entsprechend Erfahrene, von jedem Ort der Welt mit Internetzugang, zu jeder Zeit, das Netz irgendeines größeren Mobilfunkbetreibers angreifen und manipulieren, so daß "meine" SMS dorthin umgeleitet werden, und so völlig unbemerkt Überweisungen und anderen Dinge in beliebiger Anzahl auslösen.
Diese Angriffe wird es in naher Zukunft geben. Sie werden erfolgreich sein.
Für beide Angriffe muß das Login-Paßwort (PIN) herausgefunden werden, was aber keine große Kunst ist, wenn man irgendeinen Router auf dem Weg zwischen Kunden und Postbank kontrolliert, was wiederum im Bereich des Machbaren liegt.
Fazit: mTAN zusätzlich zur iTAN wäre ein Sicherheitsgewinn gewesen, auch schon allein die Zusendung einer SMS oder ein automatisierter Anruf. Der Ersatz von iTAN durch mTAN ist ein GROSSER VERLUST an Sicherheit.
Natürlich gab es keine Reaktion der Postbank auf meine wiederholte, berechtigte und konstruktive Kritik.
Stattdessen muß ich 2011-Ende auf www.postbank.de 60 ausschließlich positive kleine Aufsätze lesen, die angeblich von Kunden stammen. Keine einzige Kritik. Angeblich sogar im Bereich der Informatik beruflich Ausgebildete unter den Autoren. Es gibt für mich wenig Grund das zu bezweifeln, weil sich ein positiver Ausbildungs- und sogar Studienabschluß als Diplomingenieur auch mit etwas Auswendig-Lernen und ohne jedes Verständnis für die Sache erreichen läßt.
Ich betrachte solche einseitigen Veröffentlichungen als Betrug.
Das iTAN Verfahren kann auch 2012-Anfang nicht soooo schlecht sein, denn Broking ist weiterhin mit iTAN möglich.
Zumindest 2011-Ende versucht die ING-DiBa nicht, dem Kunden eine nicht vorhandene Sicherheit vorzugaukeln. Es wird das Versprechen gegeben, Schäden zu übernehmen, wenn der Kunde über Auffälligkeiten und Schäden sofort die Bank informiert. Das nenne ich vernünftig.
Bei dieser Bank ist die Verwaltung des Girokontos weiterhin mit iTAN möglich.
Autor: Harun Scheutzow
Letzte Änderung: 2012-02-01