Sind TAN vor Phishing & Pharming geschützt?

phishing-attackeDiese vierteilige Beitragsserie gibt einen Überblick zum Missbrauch des Online-Banking und dessen strafrechtliche und zivilrechtliche Folgen. Im ersten Teil werden die verschiedenen TAN-Verfahren vorgestellt, die das Online-Banking absichern sollen, und woran Kunden einen Phishing-/ Pharming-Angriff bemerken können.

Authentifizierung und Autorisierung

Das Online-Banking, welches häufig für Überweisungen, Kontostandsabfragen oder Einrichtung von Daueraufträgen genutzt wird, besteht aus zwei Schritten: dem Zugang und der Transaktion. Zunächst muss der Kunde sich Zugang zum Online-Banking verschaffen, indem er sich auf der Webseite seiner Bank mit Namen bzw. Kontonummer und Persönlicher Identifikationsnummer = PIN einloggt. Die PIN dient der Authentifizierung des Nutzers. Anschließend kann er einzelne Transaktionen durchführen lassen, wofür er eine Transaktionsnummer = TAN benötigt. Die TAN dient der Autorisierung seiner konkreten Anweisung.

Stand der Technik

Zur Sicherung des Online-Bankings haben die Kreditinstitute das TAN-Verfahren entwickelt und fortlaufend verbessert. Als sicher gelten diejenigen Verfahren, die nach dem Stand der Technik nur mit äußerstem Aufwand zu überwinden sind. Allerdings entwickeln auch Kriminelle ihre Methoden des Phishing und Pharming fort. Auch auf der Gegenseite kann man von einem Stand der Technik sprechen.

iTAN-Liste

TAN-ListeDer Kunde erhält vom Kreditinstitut per Post eine durchnummerierte TAN-Liste. Vor Abschluss seiner Transaktion wird er aufgefordert, eine bestimmte, durch eine Positionsnummer gekennzeichnete indizierte TAN der Liste einzugeben. Immer mehr Banken sehen die iTAN-Liste nur noch als Mindestschutz und empfehlen ihren Kunden sicherere Verfahren.

Angriffsbeispiel
Der Bankkunde loggte sich auf der Webseite der Bank ein, um seinen Kontostand zu überprüfen. Er gelangte jedoch auf eine Eingabemaske, die nicht das erforderliche Sicherheitszertifikat „https“ aufwies. Hier wurde der Kunde zur Eingabe von ca. 40 TAN veranlasst.
(Quelle: LG Berlin, Urteil vom 08.11.2011, Az. 21 O 80/11)

mTAN oder smsTAN

mTANDamit der Kunde seine Online-Transaktion autorisieren kann, sendet die Bank dem Kunden per SMS eine mobile TAN zusammen mit dem Überweisungsauftrag in Kurzform. Dieses Verfahren entspricht heute (noch) dem Stand der Technik. Die mTAN ist nur wenige Minuten lang gültig, bevor sie verfällt, und sie ist nur für den angegebenen Überweisungsauftrag verwendbar.

Außerdem werden zwei verschiedene Geräte verwendet: PC mit Internetverbindung und Handy mit Mobilfunk. Dieser Vorteil entfällt allerdings beim Online-Banking per Smartphone, da in diesen Fällen die mTAN nicht separat sondern auf dem infizierten Gerät eingeht. Der Kunde ist daher vertraglich gegenüber dem Kreditinstitut verpflichtet, nicht dasselbe Mobiltelefon zum Online-Banking und zum Empfang der mTAN zu verwenden.

Angriffsbeispiel
Auf der Webseite der Bank erschien die Meldung, dass die Sicherheitseinstellungen aufgrund der vorübergehenden Sperrung des Kontos mittels eines Tests neu überprüft werden müssen. Der Bankkunde bestätigte die Aufforderung „Sicherheitstest jetzt ausführen“. Es öffnete sich sodann ein neues Fenster zur Eingabe einer TAN. Zeitgleich hierzu wurde dem Geschäftsführer eine TAN auf sein Handy übermittelt.
(Quelle: LG Köln, Urteil vom 26.08.2014, Az. 3 O 390/13)

Die Süddeutsche Zeitung berichtete am 20.10.2015, wie die Täter über eine zweite SIM-Karte oder eine Händlerautorisierung die mTAN mitlesen können.

TAN-Generator bzw. Flicker-TAN

TAN-GeneratorDer Kunde gibt seinen Auftrag am PC ein. Daraufhin sendet die Bank einen Code auf dem PC-Bildschirm. Diesen Flickercode liest der Kunde mit dem TAN-Generator ein, der anschließend den Überweisungsbetrag und das Konto anzeigt. Nach dem Drücken der Bestätigungstaste erhält der Kunde die TAN, die er zur Autorisierung seines Auftrags am PC eingibt.

Dieses Verfahren schützt vor Phishing- bzw. Man-in-the-Middle-Angriffen, sofern die im Display angezeigten Daten vor der Bestätigung auf ihre Richtigkeit geprüft werden. Durch die optische Übertragung müssen keine Auftragsdaten am TAN-Generator eingegeben werden.

Angriffsbeispiel
Die Bankkundin konnte sich erst nach einigen Fehlversuchen beim Online-Banking einloggen. Es öffnete sich eine manipulierte Webseite, die eine Aufforderung zur Sicherheitsprüfung enthielt. Dazu sollte die Bankkundin lange Zahlen in den TAN-Generator eintippen (welche die Kundin nicht als Überweisungsdaten erkannte) und anschließend die generierte TAN am PC eingeben (obwohl sie keine konkrete Transaktion angewiesen hat).
(Quelle: LG Köln, Urteil vom 30.07.2015, Az. 15 O 505/14)

Ausblick

Bemerkt der Kunde den Phishing-/Pharming-Angriff, muss er den Überweisungsvorgang abbrechen. Fährt er fort und gibt seine Daten preis, verstößt er womöglich gegen seine Sorgfaltspflichten gegenüber der Bank. Der zweite Teil der Beitragsserie zeigt, wann der Kunde wegen grober Fahrlässigkeit Schadenersatz zahlen muss.
Haben die Angreifer durch Phishing und Pharming die Daten des Kunden erlangt, werden sie für Überweisungen eingesetzt. Im dritten Teil wird erläutert, wie die Täter Computerbetrug (strafbar gem. § 263a StGB) begehen.
Der vierte Teil zeigt, wer den Schaden eines Computerbetrugs mit gephishten Daten hat. Zunächst führt die Bank die betrügerische Überweisung aus und trägt strafrechtlich den Schaden. Der Kunde muss aber anschließend zivilrechtlichen Schadenersatz (§ 675v Abs. 2 BGB) an die Bank zahlen, wenn er grob fahrlässig auf den Phishing-/Pharming-Angriff reagiert hat.