In den vergangenen Wochen haben Banken – insbesondere ist hier die Vorreiterstellung der Postbank positiv zu nennen – neue Verfahren zum Schutz ihrer Kunden vor Phishing-Angriffen bereitgestellt. Das Ziel dieser Angriffe ist es, Bankkunden auf vermeintlich echt aussehende Webseiten zu leiten, wo sie zur Preisgabe ihrer Zugangsdaten und vor allem der Transaktionsnummern (TAN) aufgefordert werden. Beim klassischen Phishing werden dem Benutzer täuschend echt aussehende Emails zugesandt, die ihn auf eine gefälschte Webseite weiterleiten. Anschließend werden die erbeuteten TANs missbraucht, um Geldbeträge über Mittelsmänner ins Ausland zu transferieren. A-I3 hat von einzelnen Fällen in der Vergangenheit berichtet.

Zu den neuen Verfahren zählen u. a. das indizierte TAN-Verfahren (iTAN) oder das mobile TAN-Verfahren (mTAN). Im ersten Verfahren sind alle Transaktionsnummern mit einer Indizierung versehen, so dass zur Bestätigung eines Geldgeschäftes eine bestimmte TAN durch die Bank abgefragt werden kann. Beim mTAN-Verfahren wird ein Authentifizierungscode, die mobile TAN, mit einer Zusammenfassung der Transaktionsinformationen per Mobiltelefon an den Kunden gesendet, die dann zum Abschluss der Transaktion eingegeben werden muss.

Die Arbeitsgruppe A-I3 begrüßt die neuen Verfahren der Banken. Es sind einfache, verständliche Maßnahmen, die dem „klassischen“ Phishing viel Spielraum nehmen. Wir beurteilen die Verfahren als positive Reaktion der Banken auf die Problematik des Phishing. Sie helfen dem Nutzer, sich vor den häufigsten Formen des Online-Betrugs zu schützen und leisten einen wichtigen Beitrag, das Vertrauen in das Internetbanking zu stärken.

Technische Bewertung der Verfahren

Die Sicherheit des iTAN-Verfahren hängt von der Anzahl und dem Umgang mit indizierten Transaktionsnummern ab. Die Erfolgswahrscheinlichkeit eines Phishers ist umgekehrt proportional zur Anzahl der unbenutzten iTANs, und proportional zur Anzahl der Fehlversuche, bei denen das Konto gesperrt wird. Bei nur noch 20 unbenutzten Transaktionsnummern und drei Fehlversuchen liegt die Erfolgswahrscheinlichkeit eines Phishers bei 15%, mit einer gestohlenen iTAN Zugang zum Konto zu erhalten. Diese Erfolgswahrscheinlichkeit ist für einige der beobachteten Phishing-Angriffe wesentlich größer, da dort mehr als eine TAN abgefragt wurde.

Beim iTAN-Verfahren der Postbank sind drei Fehlversuche möglich. Die Liste der iTANs kann restlos aufgebraucht werden, oder der Kunde kann zu jeder Zeit kostenlos eine neue iTAN-Liste anfordern und mit einer alten iTAN aktivieren. Wir empfehlen daher, iTAN-Listen zu erneuern, wenn die Hälfte der iTANs verbraucht ist, um die Erfolgswahrscheinlichkeit eines Phishers klein zu halten.

Das iTAN-Verfahren bietet keinen Schutz gegen so genannte Man-in-the-Middle Attacken, bei denen ein Angreifer gleichzeitig mit dem Opfer und der Bank kommuniziert. Er könnte so den Index der geforderten TAN bei der Bank erfragen, und die entsprechende iTAN beim Opfer abfordern.

Das mobile TAN-Verfahren setzt den Besitz eines Mobilfunktelefons voraus, was nicht bei allen Kunden der Fall ist. Da die Zielkontonummer und der Betrag zusammen mit der mTAN als SMS versandt werden, ist ein Phishing-Angriff nahezu unmöglich, solange das Mobilfunktelefon gegen Missbrauch durch Dritte geschützt ist. Der Diebstahl des Mobiltelefons und auch der Befall durch Handy-Viren oder -Trojaner sind Beispiele für weiter existierende, aber relativ gut zu kontrollierende Risiken.

Unser Fazit: Verfahren wie iTAN oder mTAN stellen eine deutliche Verbesserung des traditionellen PIN/TAN-Verfahrens dar. Die bislang beobachteten Phishing-Angriffe können damit effizient abgewehrt werden. Als größte Bedrohung für das iTAN-Verfahren sind potenzielle Man-in-the-Middle-Angriffe anzusehen.

Es ist abzuwarten, in welche Richtung sich der Identitätsdiebstahl im Internetbanking entwickeln wird. Die Banken haben einen wichtigen Zug getan. Nun muss beobachtet werden, ob das Phishing eingedämmt werden kann, oder ob sich neue Varianten des Phishing durchsetzen werden.

Arbeitsgruppe Identitätsmissbrauch im Internet (A-I3)

Bochum, den 7. September 2005