Unsichere TANs bei der Citibank

Experte: "Neueste Entwicklungen auf langem Wege knackbar"

Laut einer Analyse einiger TAN-Listen der Citibank http://www.citibank.de durch den Sicherheitsspezialisten Felix "FX" Lindner von SABRE Labs http://www.sabre-labs.com , besteht ein potenzielles Sicherheitsrisiko durch die Bank-interne Systematik der TAN-Erzeugung. Möglichen Angreifern soll es unter bestimmten Voraussetzungen auf Grundlage bereits verwendeter und somit ungültiger TANs möglich sein, die Routine weiterer Transaktionsnummern unter Umständen vorherzusagen. Aufgrund nur geringer, jedoch gehäuft auftretender Differenzwerte der in aufsteigender Folge sortierten TANs, besteht für Phisher eine höhere Wahrscheinlichkeit weitere gültige zu berechnen, sofern diese an eine Serie benutzter TANs gelangen.

Wie aus der genaueren Untersuchung der TAN-Listen durch Lindner in einem Artikel auf heise Security hervorgeht, beginnen die Zahlen einer TAN-Liste der Citibank aus dem Jahre 2005 mit derselben Ziffer und sind aufsteigend geordnet. Das potenzielle Risiko sieht Lindner darin: "Auch ohne höhere mathematische Weihen ist zu erkennen, dass die Werte den möglichen Werteraum nicht ausnutzen." Das heißt, dass eine TAN der Citibank der analysierten Liste aus dem Jahr 2005 zwischen 167 und 1.348 größer war, als die vorige in der gleichen Zeile. Daraus folgert der Sicherheitsexperte, dass "im Vergleich zu Zufallszahlen die Verteilung der Abstände zweier TANs sehr systematisch ist." Darin besteht laut der Studie eine gute Chance für Phisher unter Zuhilfenahme bereits verwendeter und damit ungültiger TANs die Wahrscheinlichkeit eine noch gültige TAN zu erraten.

In einer weiteren Analyse einer zweiten angeforderten TAN-Liste der Citibank sieht sich Lindner in seinen Vermutungen über weiterhin nicht wesentlich veränderte Verfahren und Algorithmen zum Erzeugen der TANs bestätigt. Mittels einer so genannten differenziellen Analyse beider TAN-Listen sowie Referenz-Perl-Zufallszahlen, kann folglich nur bedingt von sicheren Zufallswerten gesprochen werden. Eine Zahlenmenge mit Referenz-Perl-Zufallszahlen weist hingegen eine hohe Entropie auf, die bei den vorliegenden TAN-Listen kaum erreicht wurden.

Eines der Hauptprobleme sieht der Fachmann darin, dass potenzielle Phishing-Opfer ihren bereits verbrauchten TANs keine weitere Bedeutung zumessen, da diese normalerweise auch nicht mehr vertraulich sind. Daher lassen sich Bankkunden generell auch leichter zur Weitergabe durch gefälschte E-Mails und Webseiten zwecks gefälschter Vorgaben in Sachen "Ermittlungen von Online-Banking-Betrügereien" bewegen. Resümierend hält Lindner fest, dass sich trotz der aufgezeigten Mängel ein "Rückschluss auf den von der Citibank verwendeten Algorithmus zum Erzeugen der TANs aus den gewonnenen Daten nicht ziehen lässt." Wenngleich nicht vom "Dammbruch der Sicherheit des Homebankings der Citibank" gesprochen werden kann, empfiehlt der Experte eine Überarbeitung des Verfahrens zur Erstellung der TAN-Listen. Die Unabhängigkeit der TANs voneinander sowie gängige Pseudo-Zufallszahlengeneratorfunktionen trägen zu mehr Sicherheit bei. Lindner rät Citibank-Kunden dazu, die Sicherheitsmängel durch die zufällige und nicht der Reihe nach stehende TAN-Nutzung selbst auszugleichen. Dies erscheint auch notwendig, da die Citibank weder das als sicher geltende HBCI (Homebanking Computer Interface) oder verbesserte TAN-Verfahren, wie etwa iTAN, mTAN oder eTAN, anbietet.

Robert Krickl, Bereichsleiter E-Business der BAWAG, weist gegenüber pressetext darauf hin, dass vollkommene Sicherheit im Bereich des Online-Banking heutzutage eine Wunschvorstellung bleibt. Neben einer empfohlenen Umstellung herkömmlicher TAN-Verfahren auf iTAN oder wie bei der BAWAG langfristig anvisierten Digitalen Signatur, die noch außerhalb des Internet-Browsers eine Datenverschlüsselung vornimmt, hält Krickl selbst neueste Entwicklungen, wie etwa iTAN oder mTAN, "von Profis auf langem Wege hinaus für knackbar." Seiner Ansicht nach geben momentane Sicherheitsstandards wie mTAN den Banken jedoch Luft, so dass er auch der Citibank diese Umstellung nahe legt.

(Quelle: pte