smsTAN vs. pushTAN vs. chipTAN

So ziemlich jede Bank oder Sparkasse bietet ihren Kunden heute mehrere TAN-Verfahren für mehr oder weniger sicheres Online-Banking an. In diesem Artikel möchte ich die drei Verfahren smsTAN, pushTAN und chipTAN kurz allgemeinverständlich beschreiben und auf ihre Vor- und Nachteile eingehen.

smsTAN

smsTAN oder auch mTAN1 ist ein sehr weit verbreitetes Online-Banking Verfahren. Hierbei werden die Auftragsdetails und die Transaktionsnummer (TAN) an eine Mobilfunknummer gesendet. Als Kunde kann man so prüfen, ob Summe und Empfänger einer Überweisung korrekt sind und anschließend die übermittelte TAN zur Bestätigung eingeben.

Dieses Verfahren galt lange Zeit als sicher, solange man für das Online-Banking und den Empfang der smsTAN nicht ein und dasselbe Geräte nutzt.

Durch die große Verbreitung dieses Verfahrens haben Kriminelle in letzter Zeit jedoch eine Vielzahl möglicher Angriffe gegen dieses Verfahren entwickelt.2 So berichtete heise Security bereits im August 2013 über zwei gelungene Angriffe auf das mTAN Verfahren.3 Und nach aktuellen Berichten nehmen diese Angriffe weiter zu. Deutschland gehört dabei nach einem Bericht des Antivirus-Herstellers Kaspersky zu den Top-Angriffszielen in Europa.4

Dies verwundert nicht, rücken Smartphones durch ihre große Verbreitung doch immer stärker in den Fokus von Betrügern, Crackern und anderen Kriminellen. Für mich bedeutet das, dass es an der Zeit ist, mir ein neues TAN Verfahren auszusuchen.

pushTAN

Ein Verfahren, welches ich bisher noch nicht kannte, nennt sich pushTAN. Laut der Sparkassen Website ist dieses Verfahren besonders für Smartphones und Tablets geeignet, da hierbei TAN-Empfang und Transaktion auf einem Gerät erfolgen können.5 Bei dieser Aussage sträuben sich mir jedoch die Nackenhaare.

Transaktion und TAN-Empfang auf ein und demselben Gerät? Dies ist in meinen Augen vielleicht bequem aber keinesfalls sicher. Zwar schreibt die Sparkasse, dass die TAN in einem TÜV-zertifizierten und passwortgeschützten Bereich einer S-pushTAN-App angezeigt werden, doch befindet sich alles, was man zum Abräumen des Kontos braucht, auf einem Gerät. Geschützt nur durch Benutzername und Passwort. Doch gerade auf diese Daten haben es Kriminelle abgesehen. Sie versuchen diese Daten mittels Phishing und Trojanern zu erbeuten. Diese Angriffe sind bereits in Sozialen Netzwerken und auf PCs und Notebooks sehr erfolgreich und werden aktuell und in Zukunft auch auf mobile Geräte übergreifen.

Daher lautet mein persönliches Fazit: pushTAN ist viel zu bequem, um noch wirklich sicher zu sein. Daher lautet mein Rat: Hände weg!

Update vom 25.10.2015: App-TANs der Sparkasse demontiert

Was ich bereits im Mai vergangenen Jahres am PushTAN-Verfahren kritisierte, wurde nun von Forschern der Uni Erlangen bestätigt. heiseSecurity berichtet6, dass es den Forschern gelungen ist, eine in Auftrag gegebene Überweisung abzufangen und zu verändern. Zitat:

Durch gezielte Manipulationen im Betrieb der Sparkassen-App fängt ihr Schadcode eine vom Nutzer in Auftrag gegebene Überweisung ab und verändert diese. Die vom Anwender tatsächlich durchgeführte Überweisung sendet dann einen deutlich höheren Betrag an ein anderes Konto. Der Anwender hat dabei keine Chance die Manipulation zu erkennen, da „die angezeigten Daten zu jeder Zeit des Transaktionsprozesses den eingegeben Werten entsprechen“.

Der schriftliche Bericht von Vincent Haupert und Tilo Müller sowie ein Presseartikel in deutscher und englischer Sprache sind über die Webseite (In)Security of App-based TAN Methods in Online Banking abrufbar.

Für jene, denen Sicherheit beim Online-Banking wichtig ist, wiederhole ich meinen Rat: Hände weg von PushTAN! Jetzt erst recht!

chipTAN

Bleibt als letztes Verfahren aus unserem Trio noch das chipTAN Verfahren.7 Hierbei kommt ein sogenannter TAN-Generator8 zum Einsatz, welcher die zur Autorisierung einer Transaktion notwendige TAN generiert.

Um nun eine Überweisung zu tätigen, meldet ihr euch wie gewohnt im Online-Banking an und bereitet eure Überweisung vor. Sendet ihr den Auftrag ab, erscheint eine kleine Grafik auf dem Bildschirm. Nun steckt ihr eure EC-Karte in den TAN-Generator und haltet diesen vor die kleine Grafik. Die Transaktionsdaten werden nun vom TAN-Generator eingelesen und auf diesem nochmals angezeigt. Stimmen alle Daten mit denen auf dem PC überein, könnt ihr eine TAN für diesen Auftrag generieren und die Überweisung autorisieren.

Die Medien, welche zur Auftragsausführung benötigt werden, teilen sich hierbei auf Computer/Tablet, TAN-Generator und EC-Karte auf. Da die TAN beim Kunden generiert wird und nicht erst zu diesem transportiert werden muss, kann sie auch nicht per Phishing oder Trojaner abgefangen werden.9

Es ist nicht ausgeschlossen, dass Kriminelle auch Angriffe gegen dieses TAN-Verfahren entwickeln und in Zukunft damit erfolgreich sein könnten. Doch stellt es zum aktuellen Zeitpunkt in meinen Augen das sicherste TAN-Verfahren dar. Ich werde mein TAN-Verfahren gleich zum Beginn kommender Woche auf chipTAN umstellen. Und falls ihr es nicht bereits nutzt, solltet ihr zumindest darüber nachdenken, ob ihr euer TAN-Verfahren nicht auch umstellen solltet.

12 Gedanken zu „smsTAN vs. pushTAN vs. chipTAN

  1. MAD

    Wie ist deine Meinung zu photoTAN? Ich arbeite auf einer Bank, die das einführen will und es anpreist als DIE Lösung. Da das Management ja IMMER NUR die Wahrheit sagt, wollte ich mal jemand unabhängiges befragen…

    sry für diese E-Mail-Adresse. Besitze lediglich 2 und die andere ist nur für mir persönlich bekannte Personen bestimmt.

    Antworten
  2. JohnDoe Beitragsautor

    Hallo MAD,

    die E-Mail Adresse ist kein Problem. Dein Kommentar hat es ins System geschafft und ich Antworte eh hier im Blog. ;-)

    Ich denke die Sicherheit von photoTAN ist vergleichbar mit der des chipTAN Verfahrens. Bei beiden Verfahren wird die eigentliche Transaktionsnummer nicht übertragen, sondern auf dem Endgerät des Endanwenders generiert. Im Fall von chipTAN passiert dies mit Hilfe eines TAN-Generators und im Fall von photoTAN eben mit einer Smartphone App.

    Für den Kunden besteht ein Mehrwert darin, dass kein separater TAN-Generator mehr benötigt wird, sondern ein meist bereits vorhandenes Smaprtphone oder Tablet genutzt werden kann.

    Ich persönlich rate dringend davon ab, für das Onlinebanking und die TAN-Generierung ein und dasselbe Gerät zu verwenden. Die Verwendung von PC, Notebook oder Tablet für das Onlinebanking und die Verwendung des Smartphones zur Generierung der TAN mittels photoTAN stellt kein besonders Sicherheitsrisiko dar. Denn ein möglicher Angreifer müsste beide Geräte in einem engen Zeitkorridor erfolgreich angreifen und kontrollieren, um die Transaktion manipulieren zu können. Das sieht anders aus, wenn man ausschließlich das Smartphone verwendet. Unabhängig von möglicherweise vorhandenen Schutzmechanismen in den Apps, ist es jetzt nur noch ein Gerät, dass ein möglicher Angreifer unter seine Kontrolle bringen muss. Hier sind mehrere Angriffsszenarien denkbar. Hier gilt für mich das gleiche, was ich im Artikel unter dem Thema pushTAN geschrieben habe.

    photoTAN bzw. QR-TAN gehören denke ich zu den sichersten aktuell verfügbaren Verfahren. Immer vorausgesetzt für das Onlinebanking und die TAN-Generierung werden zwei verschiedene Geräte verwendet.

    Ich hoffe ich konnte dir damit weiterhelfen.

    Quelle: Wikipedia: Abschnitt photoTAN/QR-TAN

    Antworten
  3. Tronde Beitragsautor

    Wie heiseSecurity heute berichtet, verteidigt die Sparkasse ihr PushTAN-Verfahren. Dadurch ändert sich an dem eigentlichen Design-Problem jedoch nichts.

    Ein Angreifer muss auch weiterhin nur eine Schwachstelle auf einem mobilen Gerät ausnutzen, um das Gerät unter Kontrolle zu bringen und das PushTAN-Verfahren angreifen zu können. Die Zusammenführung von Authentifizierung und Autorisierung auf einem Gerät bleibt ein hohes Sicherheitsrisiko.

    Den ganzen Bericht findet ihr unter der URL: http://www.heise.de/newsticker/meldung/Unsichere-App-TAN-Sparkasse-verteidigt-ihr-pushTAN-Banking-2854722.html

    Viele Grüße
    Tronde

    Antworten
  4. Henning Gajek

    Hallo,

    ich lasse mir die mTAN per SMS auf ein separates Handy mit einer völlig anderen Rufnummer, die kaum jemand kennt, zuschicken. Das verwendete Handy ist ein Supereinfach Handy, was außer SMS und Telefonie nix kann, als gar kein Internet, kein MMS, auch kein WAP oder sowas. Würde jemand dessen SIM- Karte „austauschen“ (durch Neubestellung auf „seine“ Adresse), wäre ja meine Karte dekativiert, sprich das Netz wäre weg und damit würde ich das ja relativ schnell merken.

    Nachteil, ich muss halt bei Bedarf ein zweites Handy mit mir herumschleppen.

    Antworten
  5. Alfred Grün

    Das sehe ich genauso, das mTAN/SMS-TAN Verfahren ist das beste was es gibt.
    Man muß nur darauf achten, ein normales Handy zu verwenden (also kein Smartphone wo ein Trojaner sich einnisten kann)
    Außerdem sollte man auf dem Handy immer die Kontoverbindung und den Betrag prüfen wohin man das Geld überweisen möchte. Wie soll dann noch etwas schiefgehen?

    Chip Tan finde ich unsicher. Ja die Tan wird auf einem externen Gerät generiert, jedoch wird das externe Gerät mit Daten vom PC/Smartphone gefüttert. Wenn man den Generierungsalgorithums kennt, sollte es möglich sein dies zu manipulieren.

    Antworten
    1. Jörg Kastning Beitragsautor

      Zum Thema chipTAN habe ich gerade einen interessanten Artikel auf heiseSecurity gefunden. Er beschreibt, wie unaufmerksame Nutzer beim „chipTAN comfort“-Verfahren angegriffen werden können.

      Antworten
    2. Thaniell

      @Alfred Grün: Wenn dir der Tan-Generator anzeigt wofür er gerade eine TAN erzeugt hilft es einem Angreifer auch nicht, wenn er die Daten die an den Generator gehen manipulieren kann. Einziger Angriffspunkt in dieser Hinsicht wäre es, wenn es einen Clash gäbe, also eine andere Überweisung mit genau der gleichen TAN autorisiert werden könnte und der Angreifer so eine Kombination berechnen kann. Das Problem besteht dann aber generell mit allen Verfahren.

      @Henning Gajek: Mit etwas Aufwand lassen sich SMS meines Wissens auch auf dem Weg zu dir abfangen, hat allerdings den Nachteil für den Angreifer dass er physisch in deine Nähe muss.

      Antworten
  6. Simon Krause

    Sorry, aber unbedarfte Nutzer können IMMER angegriffen werden, da können noch 1 Million „sichere“ Verfahren erfunden werden.

    Wenn Oma Henna nicht checkt, dass in der SMS/App/Chip-Generator nicht steht „100€ an Enkel Simon aus Köln“ sonder „2000€ an Dimitri aus Weißrussland“, hilft ihr auch das sicherste TAN Verfahren nicht weiter.
    Solchen Leuten empfehle ich einfach, weiterhin ihre Überweisungen beim Bankberater in der Filiale zu tätigen.

    Außerdem ist es erwähnenswert, dass das Gros an Sicherheitslücken nur Android und nicht iOS oder Windows Phone Geräte (und schon gar nicht „Dumbphones“) betrifft. Natürlich bedeutet auch das keine 100%ige Sicherheit für iPhone, Lumia oder Nokia 6210-Nutzer), aber die unterschiedliche Konzipierung der Betriebssysteme lässt deutliche statistische Rückschlüsse auf die (auch prozentuale) Zahl der Angriffe zu.

    Antworten
    1. Jörg Kastning Beitragsautor

      Hallo Petra,
      der Artikel ist mittlerweile zwar etwas älter, hat an seiner Aktualität jedoch nichts verloren. Grundsätzlich gilt für alle heute verfügbaren TAN-Verfahren folgendes zu beachten.

      Transaktion (z. B. Anlegen und Ausführen einer Überweisung) und TAN-Erzeugung sollten niemals mit dem gleichen Gerät ausgeführt werden. Andernfalls muss ein Angreifer nur ein Gerät erfolgreich kompromittieren, um eine Transaktion fälschen zu können. Daher empfehle ich für die Komponenten „Online-Banking“ und „TAN-Erzeugung“ niemals auf dem gleichen Smartphone, Tablet oder sonstigem Gerät durchzuführen.

      Verwendet man für Transaktion und TAN-Erzeugung unterschiedliche Geräte sind chipTAN, QR-TAN und photoTAN als äquivalent zu betrachten. Sie gelten unter diesen Bedingungen als gleichermaßen sicher.

      Gegen smsTAN/mTAN wurden aufgrund der großen Verbreitung verschiedene mögliche Angriffe entwickelt. All diese Angriffe sind nicht trivial, doch wurden sie teilweise schon erfolgreich durchgeführt. Aus diesem Grund sehe ich persönlich von der Verwendung dieser Verfahren ab und empfehle auch niemanden mehr diese zu nutzen.

      Um deine Frage abschießend zu beantworten: Ich sehe aktuell die chipTAN weiterhin als das beste TAN-Verfahren an. Verwendet man für Transaktion und TAN-Erzeugung unterschiedliche Geräte gilt diese Aussage auch für QR-TAN und photo-TAN.

      Ich hoffe deine Frage damit ausreichen beantworten zu können.

      Viele Grüße
      Jörg

      Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.