Unsichere TAN-Listen bei der Citibank

Die Sicherheit des PIN/TAN-Verfahrens hängt davon ab, dass sich TANs nicht erraten lassen. Eine Analyse ergab, dass es die Citibank Betrügern dabei einfacher macht als nötig.

In Pocket speichern vorlesen Druckansicht 392 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Daniel Bachfeld

Die Sicherheit des PIN/TAN-Verfahrens hängt davon ab, dass sich TANs nicht erraten lassen. Die Citibank macht es Betrügern dabei möglicherweise einfacher als nötig. So ergab eine Analyse einiger TAN-Listen durch den Sicherheitsspezialisten Felix Lindner von Sabre Labs, dass die TANs der Citibank eine Systematik aufweisen, die es Angreifer unter Umständen erleichtert, anhand benutzter, ungültiger TANs weitere TANs vorauszusagen. Die Transaktionsnummern sind in aufsteigender Folge sortiert, wobei die Differenzen aufeinander folgender TANs nicht besonders groß sind und sich zudem häufen. Gelangt etwa ein Phisher an eine Serie benutzter TANs, so könnte er mit einer sehr viel höheren Wahrscheinlichkeit als durch reines Raten eine gültige TAN für eine Überweisung berechnen. Die genauere Analyse der TAN-Listen beschreibt der Artikel "Citibank würfelt nicht" auf heise Security.

Die Citibank hält ihr Verfahren indes für sicher. Es sei ausgeschlossen, dass sich eine TAN aus einer anderen TAN errechnen lässt, erklärte Rüdiger Stahlschmidt, Pressesprecher der Citibank gegenüber heise Security. Die aufsteigende Folge würde sich daduch erklären, dass als Zufallskomponenten die Zeit in den Prozess der Generierung von TANs eingehe. Schließlich nehme die Zeit als Zufallsgröße während des Prozesses der Generierung zu. Dabei würde jede TAN unabhängig von den vorigen ermittelt. "Da hierbei fortlaufend sich ändernde Zeitpunkte einfließen, ist die Generierung der TANs letzten Endes zufällig.", erklärte Stahlschmidt. Gleichwohl schreibt er:"Die statistischen Häufungen von gleichen Differenzen zwischen einzelnen TANs sind zufällig und somit je nach TAN-Liste verschieden. Etwaige gewonnene Erkenntnisse über Abstände zwischen einzelnen TANs aus einer TAN-Liste lassen sich somit nicht auf eine andere TAN-Liste übertragen. Insofern ist das von Citibank angewandte Zufallskomponenten-Verfahren sicher."

Das sieht selbst das Bundesamt für Sicherheit in der Informationstechnik (BSI) anders. "Eine TAN-Liste, die eine Systematik bei aufeinanderfolgenden TANs aufweist, und die den theoretischen Wertebereich nicht vollständig ausnutzt, schwächt die Sicherheit des PIN/TAN-Verfahrens.", erkärt Matthias Gärtner, Pressesprecher des BSI, auf Nachfrage von heise Security. Die Sicherheit eines PIN/TAN-Verfahrens basiere insbesondere darauf, dass die Wahrscheinlichkeit für eine erfolgreiche Vorhersage gültiger TANs möglichst klein ist. (dab)