Deutsche Bank Opfer von Sicherheitslücken bei iTAN
Als vor Jahren bekannt wurde, dass das einfache PIN/TAN Verfahren zur Legitimation von Zahlungsaufträgen im Online Banking sicherheitsanfällig ist und Täter das Abgreifen der Daten und das Leerräumen der Konten gelang, wechselten sehr viele Banken auf das etwas verbesserte indizierte PIN/TAN-Verfahren (iTAN). Dieses Verfahren geht einen Schritt weiter als das einfache PIN/TAN-Verfahren. Der Kunde kann hier seinen Auftrag nicht mehr mit einer beliebigen TAN aus seiner Liste legitimieren, sondern wird von der Bank aufgefordert, eine bestimmte, durch eine Positionsnummer (Index) gekennzeichnete TAN aus seiner zu diesem Zweck nun durchnummerierten Liste einzugeben. Die TAN-Aufforderung muss zudem innerhalb weniger Minuten erfolgen. Außerdem wird die angeforderte TAN auf jeden Fall verbraucht. Doch auch dieses Verfahren kann schon seit geraumer Zeit von Hackern auf zwei verschiedene Weisen angegriffen werden. Ilex Rechtsanwälte warnt deshalb seit Jahren vor den Gefahren der Nutzung von iTAN und hält es für erforderlich, dass veraltete System durch ein sichereres System zu ersetzen. Nunmehr wurde ilex Rechtsanwälte mit der Prüfung eines Falles beauftragt, bei denen im Juni 2010 eine nichtautorisierte Zahlung von einem Konto vorgenommen wurde, das bei der Deutschen Bank Privat- und Geschäftskunden AG geführt wird.
Übersicht
Wie funktioniert das Abgreifen der Daten bei den iTAN?
Es gibt prinzipiell zwei Methoden, wie die Täter das iTAN-Verfahren aushebeln können. Bei einem Man-in-the-middle-Angriff schaltet sich ein auf dem Rechner des Bankkunden installierter Virus (ein sogenanntes „trojanisches Pferd“) automatisch ein, sobald der Online-Kunde eine Überweisung tätigen will. Der Virus tauscht im Hintergrund die Überweisungsdaten aus. Mit der angeforderten TAN bestätigt der Online-Banking-Kunde die betrügerische Überweisung des Hackers. Auf seinem eigenen PC-Bildschirm sieht er allerdings immer noch die von ihm veranlasste Original-Überweisung. Selbst die Umsatzanzeige und der Kontosaldo kann durch einen solchen Virus manipuliert und somit perfekt vorgetäuscht werden, dass alles in Ordnung sei. In Wirklichkeit wurde das Konto des Bankkunden längst leergeräumt.
Ein anderer Angriff funktioniert so, dass dem Bankkunden während der Online-Bank-Sitzung durch den Virus ein Formular innerhalb des Online-Banking-Systems zur Eingabe einer oder mehrerer indizierten TANs eingespielt wird. Beispielsweise wird dem Bankkunden täuschend echt vorgespielt, er habe sich beim Login vertippt und müssen den Zugang nun mit einer indizierten TAN freigeben. Das ist allerdings dann genau die TAN, die die Bank für die Legitimation einer zuvor angefragten nichtautorisierten Überweisung von den Straftätern abgefragt hatte.
Warum ist das iTAN-Verfahren heute unsicher?
Immer mehr Banken sehen das iTAN-Verfahren deshalb als nicht mehr sicher an und stellen ihre Systeme auf neuere Verfahren um. Ein weiterer Nachteil des iTAN-Verfahrens ist es, dass für Überweisungen von unterwegs (z. B. aus dem Urlaub) immer die komplette iTAN-Liste mitgeführt werden muss. Eine iTAN-Liste ist jedoch schwerer zu tarnen und einem Dieb fällt stets die komplette Liste in die Hände.
Anfang 2007 tauchten erstmals Phishing-Kits auf, die in der Lage waren, über die bereits genannte Man-in-the-middle-Attacke iTANs in Echtzeit für eigene Transaktionen zu benutzen. Das Bundeskriminalamt in Wiesbaden hatte daraufhin im Jahr 2008 rund 1.800 erfolgreiche Phishing-Angriffe registriert, die in aller Regel durch die Einschleusung von trojanischen Pferden auf den Computern der Bankkunden erfolgten. Im Mai 2009 gab das BKA dann bekannt, dass Phishing-Angriffe durch iTAN zwar etwas schwieriger, „aber keineswegs unmöglich“ seien.