Hintertür im iTAN-Procedere der Postbank [Update]

c't berichtet in der Montag, den 28. November, erscheinenden Ausgabe 25/05, dass sich das von der Postbank als besonders sicher angepriesene iTAN-Verfahren noch leichter aushebeln lässt als bisher angenommen. Bei indizierten TANs fragt die Bank statt nach einer beliebigen TAN auf der Liste nach einer bestimmten TAN, die immer an eine bestimmte Transaktion gebunden ist. Bislang ließ sich das Verfahren nur durch Trojaner und Man-in-the-Middle-Attacken unter Laborbedingungen austricksen.

Bei einem Test von heise Security gelang es jedoch, Überweisungen mit jeder beliebigen TAN einer Liste durchzuführen – obwohl das iTAN-Verfahren aktiviert war. Der Trick: Die Postbank bietet als Alternative zum Webzugang das Homebanking Computer Interface (HBCI) mit dem unsicheren PIN/TAN-Verfahren an – auch HBCI+ genannt –, das nach wie vor beliebige TANs akzeptiert. Möglich ist dies auch deshalb, weil die Postbank nach der Abschaltung des BTX-Zugangs sämtliche Konten für HBCI+ freigeschaltet hat. Den meisten Kunden dürfte allerdings nicht klar sein, dass ihr Konto auch über diese Hintertür angreifbar ist.

Durch die Schwachstelle bei der Postbank muss ein Phisher, der PIN und eine TAN ergattert hat, lediglich eine Finanzsoftware installieren und Kontakt mit dem HBCI-Server aufbauen, um damit das Konto leerzuräumen.

Die Postbank bestätigte das Problem gegenüber heise Security: "Für eine Übergangszeit werden indizierte TAN und mobile TAN noch nicht über die HBCI-Schnittstelle geprüft. Dies liegt im bankeneinheitlichen Standard HBCI 2.2 begründet, der diese Neuerungen noch nicht vorsehen konnte. Im Interesse der Kunden kam für die Postbank eine Abschaltung der HBCI-Schnittstelle nach Einführung der iTAN für die Übergangszeit nicht in Frage", erklärte der Pressesprecher der Postbank Jürgen Ebert.

Man sei bereits dabei, den HBCI-Nachfolgestandard FinTS 3.0 zu implementieren, der auch iTAN und mTAN unterstütze, im kommenden Frühjahr soll es soweit sein. Kunden, die den HBCI-Zugang nicht nutzen, sollten bis dahin über den Webzugang das HBCI-Überweisunglimit auf 0 Euro setzen. Im Dezember will die Bank dies automatisch für derartige Konten nachholen.

[Update:]
Die Konten anderer Banken sind unter Umständen ebenfalls über HBCI mit PIN/TAN zugänglich, ohne dass der Kunde davon weiß. So schaltet etwa die Netbank automatisch den Zugang per HBCI frei, um Bankingsoftware zu unterstützen. Auch hier wird die iTAN nur für den Webzugang unterstützt, für Transaktionen mit der Finanzsoftware genügt eine beliebige TAN. Kunden sollten sich im Zweifel bei ihrer Bank erkundigen, ob ihr Konto schon für HBCI freigeschaltet wurde und gegebenenfalls ein Limit setzen. Solange Kunden ihre PIN und TAN nicht auf gefälschten Bank-Seiten eingeben besteht allerdings auch keine Möglichkeit, das Konto über HBCI+ leerzuräumen.

Siehe dazu auch:

• Hintertür im iTAN-Verfahren der Postbank, c't 25/05, S. 64 (ab Montag, den 28. 11., im Handel)
• Mit den verschiedenen TAN-Verfahren und der sicheren Alternative HBCI mit Chipkarte beschäftigt sich auch der Artikel Nepper, Schlepper, Bauernfänger in c't 22/05. S. 148

. (dab)