In den letzten Wochen führten mehrere deutsche Banken die sogenannte “TAN-Freiheit” ein. Diese ermöglicht Überweisungen unter 30 Euro ohne Angabe einer Transaktionsnummer (TAN). Einer der Vorreiter ist die Quickborner comdirect Bank AG. Leider benötigen auch Hacker für Transfers im kleineren Umfang von ihrem Opfer nur noch die sechsstellige persönliche Identifikationsnummer (PIN). Öffnet man mit der Umstellung die Büchse der Pandora?
Mitte Oktober schüttete einer der Kunden der comdirect Bank im hauseigenen Forum sein Herz aus. Er sei “gerade etwas erschüttert“, wie er schrieb. Die Bank plane die Einführung von TAN-freie Überweisungen. Die “große Freiheit bei kleinen Beträgen” wurde tatsächlich schon in der Zwischenzeit eingeführt. Privatkunden dürfen seit dem 15.10.2018 Überweisungen auch auf fremde Konten ohne Angabe einer Transaktionsnummer durchführen. Allerdings nur, sofern diese das Limit von 30 Euro pro Transfer nicht überschreiten.
Der User mit Namen rrl122 ergänzt sein Posting bei community.comdirect.de mit den Worten:
“Mich ärgert es schon die ganze Zeit, dass mein Konto bei der comdirect nur mit einer 6 stelligen PIN gesichert ist und jetzt werden auch Überweisungen nicht mehr richtig geschützt. Irgendwie hat man das Gefühl, dass comdirect das Thema Sicherheit im Internet noch nicht richtig verstanden hat. Abschalten kann man die neue Option auch nicht. Ich überlege mir wirklich, ob ich mein Konto nicht auflösen sollte und zu einer Bank wechsle, die vernünftige Standards im Online-Banking hat.”
TAN-Freiheit: mehrere Banken haben nachgezogen
Die norddeutsche comdirect Bank stellt in dieser Hinsicht allerdings keine Ausnahme dar. Mehrere Volks- und Raiffeisenbanken im bayerischen Raum (Feuchtwangen-Dinkelsbühl, Oberland etc.) und beispielsweise die Berliner Volksbank bieten ihren Kunden ebenfalls die neue TAN-Freiheit an. Wir haben die Volksbank Berlin erfolglos um eine Stellungnahme gebeten.
Der Pressesprecher der comdirect Bank schrieb uns, auch die neuen Überweisungen würden den bisherigen “hohen Sicherheitsstandards entsprechen“. Man habe das Verfahren abgesichert, indem dort maximal fünf TAN-freie Überweisungen hintereinander möglich seien. “Spätestens bei jeder sechsten Überweisung ist es wieder notwendig, diese mit einer TAN freizugeben – unabhängig davon, wie hoch der Betrag ist“, teilte uns Geerd Lukaßen von der Unternehmenskommunikation der comdirect Bank mit. Mit zwei ihrer Smartphone Apps sei es schon länger möglich, TAN-frei Beträge bis zu 25 (statt 30) Euro zu überweisen. Bislang verzeichnete man nach eigenen Angaben keinen einzigen Schadensfall. Sofern der Schaden nicht durch Vorsatz (z.B. Weitergabe der PIN an Dritte) entstanden sei, würde die Direktbank für die Ausfälle geradestehen.
Wie gefährlich wird Online Banking dadurch?
Der Kasseler IT-Sicherheitsspezialist und Penetrationstester Benjamin Kunz Mejri beschäftigt sich beruflich mit der Absicherung von E-Payment Zahlungsdiensten. Seine Firma Evolution Security GmbH führt für Geschäftskunden Penetrationstests durch. Kunz Mejri kommentiert die neue Strategie folgendermaßen:
“Das grundsätzliche Model der Online Banking Sicherheit wird mit dieser Funktion untergraben. Grund dafür sind z.B. explizite Wünsche von Verbrauchergruppen, des Endkunden oder der dazwischen gelegenen Service Provider. Der Umsatz soll gesteigert werden mit schnellen Transaktionen, wobei die Sicherheit etwas darunter leidet.
Wenn man z.B. für geringe Überweisungsbeträge keine zusätzliche Authentication per PIN-Abfrage einführt, steigen oft auf Dauer auch die Fälle mit Bezug auf Identitätsdiebstahl im Unternehmen. Dies findet dann zum Nachteil des Kunden statt, der öfters als vorher ungewollte Buchungen rückgängig machen oder Diebstähle wegen Folgestraftaten zur Anzeige bringen muss. Die Bank selber fängt diese Beträge als geringfügig und versichert ab, um mehr Geld zu verdienen, während sich der Kunde mit der Problematik befassen muss, um sein Geld zurück erstattet zu bekommen.
Die meisten Versicherungen fangen Beträge erst ab einer gewissen Summe ab die meistens deutlich über 31 € liegt. Gleichzeitig werden zwar von der Bank selbst Fraud Correlation Systeme zur Identifikation eingesetzt, wenn man aber erst einmal im Besitz einer Bankkarte ist, kann man auch ohne TAN mehrfach Überweisungen an ein Wunschkonto vornehmen. Ob diese Überweisungen dann rechtzeitig entdeckt werden, ist eine andere Sache.” Erklärung: Eine Fraud Correlation Engine überprüft ein System andauernd und automatisiert, ob in einem System irgendwelche verdächtige Aktivitäten auftreten. Wenn dies der Fall ist, schlagen sie an.
Kunz Mejri weiter: “Ich schätze, dass sich die Bank auf diesen Weg vorbereitet hat. Kunden sollten hier auf jeden Fall Fragen stellen, um sicher zu gehen, dass die allgemeine Sicherheit dadurch nicht geschwächt wird. Wenn man sich z.B. die TAN-Liste funktional anschaut, ist diese nur für die Autorisierung der Überweisungstätigung nötig. Der Angreifer müsste an diesem Punkt schon Zugriff auf das Konto haben. Es fehlt also eine Funktion, die Angreifer in letzter Instanz davon abhalten könnte, das Konto komplett zu leeren.” Welche Folgen diese Schwächung des Sicherheitsmechanismus habe, könne man letztlich nur vermuten.
Aufwand für Cyberkriminelle zu hoch?
Wir haben einen Insider gefragt, was er von der neuen Vorgehensweise der Kreditinstitute hält. Einerseits bestätigt er, dass es grundsätzlich bedenklich sei, die Sicherheitsmechanismen zu reduzieren, sofern es um Geld geht. Der Insider stellt zudem infrage, ob eine sechsstellige PIN zur Absicherung der Girokonten ausreichend sei. An dem Punkt wäre es wünschenswert, dass man den Kunden im Anbetracht der TAN-Freiheit deutlich mehr Zeichen für die PIN zur Verfügung stellt.
Bei den kleinen Überweisungen ohne TAN sieht der Cyberkriminelle die Lage deutlich entspannter. Einzelne Überweisungen im Rahmen von maximal 30 Euro seien für Cyberkriminelle wenig zielführend. Denen geht es primär darum, in kurzer Zeit maximale Umsätze zu generieren. Auch wenn es höchst wahrscheinlich möglich wäre, die Sicherheitssysteme der Banken zu überlisten, wäre das vielen seiner Kollegen den Aufwand nicht wert. Bei dem Überweisungs-Limit überwiege schlichtweg der Aufwand. Es gebe da draußen weit interessantere weil lohnenswertere Ziele, die viele Hacker ansteuern. Wegen 5 Mal 30 = 150 EUR würde sich kein Hacker verrückt machen. Wirklich hoch gesteckte Sicherheitsstandards sehen allerdings anders aus, wie er uns gegenüber betont.
Quelle: Tarnkappe
Mitte Oktober schüttete einer der Kunden der comdirect Bank im hauseigenen Forum sein Herz aus. Er sei “gerade etwas erschüttert“, wie er schrieb. Die Bank plane die Einführung von TAN-freie Überweisungen. Die “große Freiheit bei kleinen Beträgen” wurde tatsächlich schon in der Zwischenzeit eingeführt. Privatkunden dürfen seit dem 15.10.2018 Überweisungen auch auf fremde Konten ohne Angabe einer Transaktionsnummer durchführen. Allerdings nur, sofern diese das Limit von 30 Euro pro Transfer nicht überschreiten.
Der User mit Namen rrl122 ergänzt sein Posting bei community.comdirect.de mit den Worten:
“Mich ärgert es schon die ganze Zeit, dass mein Konto bei der comdirect nur mit einer 6 stelligen PIN gesichert ist und jetzt werden auch Überweisungen nicht mehr richtig geschützt. Irgendwie hat man das Gefühl, dass comdirect das Thema Sicherheit im Internet noch nicht richtig verstanden hat. Abschalten kann man die neue Option auch nicht. Ich überlege mir wirklich, ob ich mein Konto nicht auflösen sollte und zu einer Bank wechsle, die vernünftige Standards im Online-Banking hat.”
TAN-Freiheit: mehrere Banken haben nachgezogen
Die norddeutsche comdirect Bank stellt in dieser Hinsicht allerdings keine Ausnahme dar. Mehrere Volks- und Raiffeisenbanken im bayerischen Raum (Feuchtwangen-Dinkelsbühl, Oberland etc.) und beispielsweise die Berliner Volksbank bieten ihren Kunden ebenfalls die neue TAN-Freiheit an. Wir haben die Volksbank Berlin erfolglos um eine Stellungnahme gebeten.
Der Pressesprecher der comdirect Bank schrieb uns, auch die neuen Überweisungen würden den bisherigen “hohen Sicherheitsstandards entsprechen“. Man habe das Verfahren abgesichert, indem dort maximal fünf TAN-freie Überweisungen hintereinander möglich seien. “Spätestens bei jeder sechsten Überweisung ist es wieder notwendig, diese mit einer TAN freizugeben – unabhängig davon, wie hoch der Betrag ist“, teilte uns Geerd Lukaßen von der Unternehmenskommunikation der comdirect Bank mit. Mit zwei ihrer Smartphone Apps sei es schon länger möglich, TAN-frei Beträge bis zu 25 (statt 30) Euro zu überweisen. Bislang verzeichnete man nach eigenen Angaben keinen einzigen Schadensfall. Sofern der Schaden nicht durch Vorsatz (z.B. Weitergabe der PIN an Dritte) entstanden sei, würde die Direktbank für die Ausfälle geradestehen.
Wie gefährlich wird Online Banking dadurch?
Der Kasseler IT-Sicherheitsspezialist und Penetrationstester Benjamin Kunz Mejri beschäftigt sich beruflich mit der Absicherung von E-Payment Zahlungsdiensten. Seine Firma Evolution Security GmbH führt für Geschäftskunden Penetrationstests durch. Kunz Mejri kommentiert die neue Strategie folgendermaßen:
“Das grundsätzliche Model der Online Banking Sicherheit wird mit dieser Funktion untergraben. Grund dafür sind z.B. explizite Wünsche von Verbrauchergruppen, des Endkunden oder der dazwischen gelegenen Service Provider. Der Umsatz soll gesteigert werden mit schnellen Transaktionen, wobei die Sicherheit etwas darunter leidet.
Wenn man z.B. für geringe Überweisungsbeträge keine zusätzliche Authentication per PIN-Abfrage einführt, steigen oft auf Dauer auch die Fälle mit Bezug auf Identitätsdiebstahl im Unternehmen. Dies findet dann zum Nachteil des Kunden statt, der öfters als vorher ungewollte Buchungen rückgängig machen oder Diebstähle wegen Folgestraftaten zur Anzeige bringen muss. Die Bank selber fängt diese Beträge als geringfügig und versichert ab, um mehr Geld zu verdienen, während sich der Kunde mit der Problematik befassen muss, um sein Geld zurück erstattet zu bekommen.
Die meisten Versicherungen fangen Beträge erst ab einer gewissen Summe ab die meistens deutlich über 31 € liegt. Gleichzeitig werden zwar von der Bank selbst Fraud Correlation Systeme zur Identifikation eingesetzt, wenn man aber erst einmal im Besitz einer Bankkarte ist, kann man auch ohne TAN mehrfach Überweisungen an ein Wunschkonto vornehmen. Ob diese Überweisungen dann rechtzeitig entdeckt werden, ist eine andere Sache.” Erklärung: Eine Fraud Correlation Engine überprüft ein System andauernd und automatisiert, ob in einem System irgendwelche verdächtige Aktivitäten auftreten. Wenn dies der Fall ist, schlagen sie an.
Kunz Mejri weiter: “Ich schätze, dass sich die Bank auf diesen Weg vorbereitet hat. Kunden sollten hier auf jeden Fall Fragen stellen, um sicher zu gehen, dass die allgemeine Sicherheit dadurch nicht geschwächt wird. Wenn man sich z.B. die TAN-Liste funktional anschaut, ist diese nur für die Autorisierung der Überweisungstätigung nötig. Der Angreifer müsste an diesem Punkt schon Zugriff auf das Konto haben. Es fehlt also eine Funktion, die Angreifer in letzter Instanz davon abhalten könnte, das Konto komplett zu leeren.” Welche Folgen diese Schwächung des Sicherheitsmechanismus habe, könne man letztlich nur vermuten.
Aufwand für Cyberkriminelle zu hoch?
Wir haben einen Insider gefragt, was er von der neuen Vorgehensweise der Kreditinstitute hält. Einerseits bestätigt er, dass es grundsätzlich bedenklich sei, die Sicherheitsmechanismen zu reduzieren, sofern es um Geld geht. Der Insider stellt zudem infrage, ob eine sechsstellige PIN zur Absicherung der Girokonten ausreichend sei. An dem Punkt wäre es wünschenswert, dass man den Kunden im Anbetracht der TAN-Freiheit deutlich mehr Zeichen für die PIN zur Verfügung stellt.
Bei den kleinen Überweisungen ohne TAN sieht der Cyberkriminelle die Lage deutlich entspannter. Einzelne Überweisungen im Rahmen von maximal 30 Euro seien für Cyberkriminelle wenig zielführend. Denen geht es primär darum, in kurzer Zeit maximale Umsätze zu generieren. Auch wenn es höchst wahrscheinlich möglich wäre, die Sicherheitssysteme der Banken zu überlisten, wäre das vielen seiner Kollegen den Aufwand nicht wert. Bei dem Überweisungs-Limit überwiege schlichtweg der Aufwand. Es gebe da draußen weit interessantere weil lohnenswertere Ziele, die viele Hacker ansteuern. Wegen 5 Mal 30 = 150 EUR würde sich kein Hacker verrückt machen. Wirklich hoch gesteckte Sicherheitsstandards sehen allerdings anders aus, wie er uns gegenüber betont.
Quelle: Tarnkappe
