Citibank würfelt nicht
Die Sicherheit des PIN/TAN-Verfahrens hängt davon ab, ob sich eine gültige TAN erraten lässt. Die Citibank macht es Betrüger dabei möglicherweise einfacher als nötig
- Felix "FX" Lindner
Online Banking ist in Deutschland sehr beliebt. Nach Angaben des Zentralen Kreditausschusses (ZKA) wurden im Jahr 2004 33,2 Millionen Konten über das Internet geführt. Zum Schutz und zur Authentifizierung von Transaktionen verwenden deutsche Banken eine Kombination aus Übertragungssicherheit und dem so genannten PIN/TAN Verfahren.
Die Übertragungssicherheit, also das Verschlüsseln der Daten und Authentifizieren des Bankenservers, gewährleistet der Secure Socket Layer (SSL) im Rahmen des HTTPS-Protokolls. Die PIN wird zusammen mit der Kontonummer verwendet, um den Kunden gegenüber der Bank zu authentifizieren. Eine sechsstellige TAN (Transaktionsnummer) dient dabei als Ersatz für eine einmalige Unterschrift. Jede Transaktion erfordert eine neue TAN, die nur einmalig verwendet werden kann und danach wertlos ist. In der Regel stellen Banken ihren Kunden eine Liste mit mehreren TANs per Post zu. Der Kunde streicht eine TAN von der Liste sobald sie verwendet wurde.
Banken weisen immer wieder darauf hin, dass sowohl die PIN als auch die TAN-Liste vom Kunden unbedingt sicher zu verwahren sei. Solange sich der Kunde daran hält sei das System sicher. Kommt es doch einmal zu einer nicht gewollten Überweisung, muss der Kunde für eine Erstattung des gestohlenen Betrages nachweisen, dass er tatsächlich seine TAN-Liste ausreichend geschützt hat. Diesen Nachweis zu erbringen gelingt in den seltensten Fällen, insbesondere bei den mittlerweile epidemischen Ausmaßen von Phishing-Attacken im Internet.
Ein Aspekt der Sicherheit des PIN/TAN Verfahrens ist, wie schwer eine gültige TAN vorherzusagen ist. Ein Betrüger hat bei einer sechsstelligen TAN von 000000 bis 999999 eine theoretische Wahrscheinlichkeit von 1 zu 1000000 eine gültige TAN zu erraten. Ist die Wahrscheinlichkeit eine TAN zu raten deutlich höher, so steigt das Risiko eines erfolgreichen Angriffs auf das Konto eines Kunden.
Beim Betrachten einer TAN-Liste der Citibank aus dem Jahre 2005 fiel auf, dass die Zahlen alle mit der selben Ziffer begannen und aufsteigend geordnet waren. Eine TAN war zwischen 167 und 1348 größer als die vorherige in der gleichen Zeile. Der durchschnittlichen Abstand betrug 263. Bildet man die Differenzen zweier benachbarter TANs und trägt diese in ein Diagramm ein, so ergibt sich das folgende Bild:
Zum Vergleich der Verteilung wurde eine Liste von 200 zufälligen Werten mit einem Perl-Script (Listing 1) erzeugt und die Differenz benachbarter Werte in ein Diagram eingetragen. In unserer vorhandenen Liste fanden sich beispielsweise neun TAN-Pärchen mit dem Abstand 172. Für einen Bankkunden bedeutet dies, dass ein Betrüger mit Hilfe bereits verwendeter und ungültiger TANs, eine gute Chance hat, eine noch gültige TAN zu erraten. Ein Betrüger könnte einem Opfer beispielsweise über eine Phishing-Seite mehrere verwendete TANs entlocken:
Absender: Ihre Bank Empfänger: Max Mustermann Betreff: Missbrauch Ihres Kontos
Sehr geehrter Herr Mustermann,
wir ermitteln gerade in einem Fall von Online-Banking-Betrug. Ihr Konto war möglicherweise in den Fall verwickelt. Bitte nennen Sie uns auf unserer Webseite nach der Anmeldung ihre letzten 10 benutzten TANs. Stellen Sie bitte absolut sicher, dass Sie keine noch gültigen TAN an uns senden.
Mit freundlichen Grüßen Ihre Bank
Da ungültige TANs normalerweise nicht mehr vertraulich sind, gäbe es für das Opfer keinen Grund, einem solchen Wunsch nicht nachzukommen.
