Archiv der Kategorie: Nachrichten

Die neue DKB App, PushTAN und die Haftung

Hintergrund: Ich besitze einen Master in der Informatik, bin interessiert an IT Sicherheit und schreibe diesen Post für Pishing Opfer denen die DKB eine grob fahrlässige Verletzung der Pflichten vorwirft.

Übersicht der TAN Verfahren vom BSI

PushTAN/AppTAN: App auf dem Smartphone

Das PushTan Verfahren firmiert bei den verschiedenen Banken unter verschiedenen Namen. Zur Nutzung dieses Verfahrens sind ein Smartphone oder Tablet und die entsprechende pushTAN-App notwendig. Nach Anmeldung des Verfahrens bei der Bank erhalten Kunden den Zugangscode für die App. Nach Eingabe der Transaktionsdaten, im Browser oder der Banking-App, werden die eingegebenen Daten zur Kontrolle noch einmal in der pushTAN-App angezeigt. Nachdem der Kunde diese bestätigt, wird die TAN generiert. Diese muss dann im Browser oder der BankingApp eingegeben werden. Manche Apps übernehmen diese auch automatisch. Die Sicherheit des TAN-Verfahrens kann erhöht werden, wenn zwei unterschiedliche Geräte für Banking und TAN-Generierung eingesetzt werden. Auch hier sollte immer die aktuellste Version der App installiert sein.

eTAN/ChipTAN: TAN-Generator mit girocard

Beim ChipTAN-Verfahren kommen zwei voneinander unabhängige Geräte zum Einsatz. Erst einmal wird aus den Transaktionsdaten ein graphischer Code erstellt, der dann mit dem ChipTAN-Generator ausgelesen werden muss. Dieser Generator wird vorher mit der entsprechenden Bankkarte aktiviert und erstellt aus der Grafik eine Transaktionsnummer. Da der Generator selbst nicht mit dem Internet verbunden ist, kann er aus der Ferne nicht angegriffen werden. Sollten die generierten TANs Unbefugten in die Hände fallen, können damit jedoch keine anderen Transaktionen ausgeführt werden, weil sie dynamisch an die jeweilige Überweisung gebunden sind.

PhotoTAN/QR-TAN: Grafik am PC, dazu ein Lesegerät oder eine Smartphone App

Bei diesem TAN-Verfahren kommen zwei voneinander getrennte Geräte zum Einsatz. Nach Eingabe der Transaktionsdaten erscheint auf dem Bildschirm eine Grafik, die mit der entsprechenden App für die photoTAN ausgelesen wird. Der in der Grafik enthaltende Code wird in eine TAN gewandelt, mit der die Transaktion frei gegeben wird. Die grafische Datenverschlüsselung bietet Hackern keine große Angriffsfläche. Zusätzlich wird die App mit einem Passwort gesichert. Eine Sicherheitslücke könnte das Smartphone des Kunden sein, wenn es nicht regelmäßig mit den Aktualisierungen der Apps versorgt wird.

[…]

Jedoch bleibt der Einsatz eines externen TAN-Generator am sichersten, da dieser vom Internet getrennt ist und ausschließlich für das Onlinebanking benutzt wird

https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Online-Banking-Online-Shopping-und-mobil-bezahlen/Online-Banking/smsTAN/sms-tan_node.html

Das neue Banking der DKB sieht nur noch die Smartphone App als TAN Verfahren vor.

Dies ist problematisch, da die App prinzipbedingt weniger sicher ist als ein getrenntes Gerät (ChipTAN).

  1. Weder App noch Nutzer können sicherstellen, dass auf dem Smartphone keine Schadsoftware läuft. Es findet zwar eine Überprüfung auf „root“ statt, was aber allenfalls ein Indikator einer Infektion ist – und sich einfach austricksen lässt.
  2. Die Nutzung eines alten Smartphones nur zum Banking ist unsicher, da alte Smartphones kaum mit Sicherheitsupdas versorgt werden.
  3. Das Smartphone braucht zwingend einen Zugang zum Internet, was ein potentielles Infektionsrisiko darstellt.
  4. Die App ist gleichzeitig der einfache Zugang zum Finanzstatus.

Die allermeisten Nutzer werden also ihr alltags Smartphone zum Banking benutzen.

Die Banken sind sich dieses Risikos bewusst und geben Tipps das installieren von Schadsoftware zu verhindern. Siehe: https://www.vrbank-hg.de/onlinefiliale/sicherheit/phishing-warnungen/phishing-android-app.html

Nur ganz verhindern lässt sich das nicht, es bleibt immer ein Restrisiko – vor allem unter dem Aspekt, dass gerade Nutzer günstiger Smartphones oft spärlich mit Updates versorgt werden: https://de.statista.com/statistik/daten/studie/180113/umfrage/anteil-der-verschiedenen-android-versionen-auf-geraeten-mit-android-os/

Die DKB hat sich nun entschlossen alle Nutzer auf ihre neue App umzustellen und im gleichen Zug auch das deutlich sicherere ChipTAN ausgehebelt, denn selbst mit den ChipTAN spezifischen Anmeldedaten (an der aktuellen Website) wird das nur noch die App als TAN Verfahren benutzt.

Damit ist meiner Einschätzung nach technisch keine starke Kundenauthentifizierung mehr gegeben und es dürfte unmöglich sein dem Kunden eine grobe Fahrlässigkeit nachzuweisen. Und damit ist die DKB voll in der Haftung. Siehe https://www.stader.legal/missbrauch-im-onlinebanking.html

Aussagen der DKB

meine Anfrage

Laut der FAQ ist chipTAN im neuen Banking nicht mehr vorgesehen, sondern alles benutzt nur noch Push-Tan.

TAN2go und chipTAN benötigst du nur für die Funktionen, bei denen du ins bisherige Banking geleitet wirst.

https://www.dkb.de/fragen-antworten/welche-tan-verfahren-bietet-die-dkb-an

Dieses Verfahren ist inherent weniger sicher und wurde von mir explizit nicht freigegeben.
Nur noch das alte Banking zu nutzen ist auch keine Lösung, da ein potentieller Angreifer ja einfach das neue Banking nutzen kann.

Wie kann ich weiter chip-TAN (echte 2 factor) benutzen?

Die Antwort der DKB liest sich wie eine vorbereitete Pressemitteilung, ich muss also Vermuten, dass sie sich des Risikos voll bewusst sind.

Meine etwas zynische Zusammenfassung der Antwort: Bequemlichkeit ist uns wichtiger als Sicherheit. Hier die Antwort im Wortlaut.

Das neue Banking ist mit der neuen App verknüpft und kann nur

gemeinsam genutzt werden.

Als Direktbank legen wir Wert auf bequeme und sichere Bankgeschäfte.

Unsere Lösungen sind optimal auf mobile Endgeräte abgestimmt.. Die

Mehrzahl unserer Kund*innen schätzt und erwartet bequeme, sichere

Technologien für ihre Bankgeschäfte. Diesem Wunsch fühlen wir uns

verpflichtet und entwickeln auch künftig Lösungen, die mit mobilen

Endgeräten sehr gut vereinbar sind.

Wir bitten Sie daher zu berücksichtigen, dass Smartphones und Tablets

als auch digitale Authentifizierungsverfahren, Vertragsabschlüsse sowie

Vermögensverwaltung künftig unsere und damit Ihre Begleiter im Banking

sein werden.

Als chipTAN-Nutzer*in können Sie bis auf Weiteres das bisherige Banking

wie gewohnt nutzen.

Update: Laut FAQ wird an einer hardware Lösung gearbeitet, wie sie aussieht, wann sie kommt – und warum man nicht einfach weiter ChipTAN unterstützt erschließt sich mir nicht.

Update 2: Die Gerichte scheinen PushTAN auch für unsicher zu halten https://www.golem.de/news/onlinebanking-gericht-haelt-push-tan-verfahren-fuer-unsicher-2310-178689.html.

Browserentleerung

Die öffentlich Rechtlichen und das Internet, eine Analyse mit
Lösungsvorschlägen und ein wenig Rant

http://dirk-baranek.de/internet/dem-offentlich-rechtlichen-informationsauftrag-in-echtzeit-nachkommen/

Hachja, der Verfassungsschutzbericht in den Medien – Bis sich die Balken
strecken – ähm Biegen…

http://www.bildblog.de/31601/bis-sich-die-balken-strecken

passend: Spiegel über die "pöhse" Gefahr aus dem Internet

http://www.volkersworld.de/2011/07/05/spiegel-titelstory-wie-man-aus-einer-mucke-einen-elefanten-macht/

Rant über den Bundesunfreiwilligendienst, den die CDU btw. für
Harz4-EmpfängerInnen attraktiver machen will

https://janschejbal.wordpress.com/2011/07/01/bundes-un-freiwilligendienst/

Rant zum Thema – die Politik ist auf dem rechten Auge blind

http://todamax.kicks-ass.net/blog/2011/rechts-zwei-drei-vier/

Scheiß Impfgegener – haltet das Maul, ernsthaft

http://blog.esowatch.com/?p=3635

Überwachung:

G8 Gipfel Heiligendamm – Rasterfahndung at its best

http://www.heise.de/tp/artikel/35/35043/1.html

Rasterfahndung Dresden: http://www.lawblog.de/index.php/archives/2011/07/27/ein-instrument-der-verdachtsgenerierung/

Gib uns deine DNA wenn du unschuldig bist – warum???

http://www.wort-schuetzen.de/wp/?p=4083

HowTo remain Anonymous – http://rz.koepke.net/2011/07/15/paranoia-oder-wie-entziehe-ich-mich-weitgehend-der-uberwachung/

Welche Überwachungsgesetze haben wir eigentlich in Deutschland

http://www.internet-law.de/2011/07/wie-die-ermittlungsbehorden-die-telekommunikation-uberwachen.html

  
Eine übersicht über Verfassungswidrige Gesetze:

http://www.winniewacker.de/bverfg.htm

DDOS strafbar? – Vermutlich schon 🙁

http://www.internet-strafrecht.com/distributed-denial-of-service-ddos-attacken-strafbar-oder-nicht/internet-strafrecht/internetstrafrecht/

Zur Erheiterung:

Downloader gehen öfters ins Kino

http://www.heise.de/tp/blogs/6/150152

Na dann waren immerhin die Raubkopierer sind Verbrecher Spots richtig
platziert 🙂

und geben mehr Geld für Musik aus: http://www.heise.de/tp/blogs/6/150213

Impressumspflicht in Webblogs?

http://www.afs-rechtsanwaelte.de/urteile/impressumspflicht_blogs.php

Kick-Ass

Ist ein hammergeiler Film.

Ich habe heute zufällig und ziemlich kurzfristig eine Kinokarte bekommen
und ich kann nur sagen OMFG!

Da kommt das Beste aus Matrix, Superheromovie, Kill-Bill, Spiderman, How
I met your mother, Der blutige Pfad Gottes (PS: Teil2 kommt bald), usw.
zusammen.

Wer mir nicht glaubt, vertraut dem Trailer und schaut ihn euch im Kino
an (Und ich meine nicht kino.to, sondern so richtig)

Ich werde ihn definitiv nocheinmal anschauen (hoffentlich auch wieder
auf Englisch).

http://www.imdb.com/title/tt1250777/

Rössler und die Pharmakosten

Ich muss ja gestehen, was unser Herr Gesundheitsminister da plant,
klingt wirklich gut.

Zusatznutzen mit Studie bestätigen, Preisverhandlungen mit den
Krankenkassen und Höchstpreise.( bis zum Ende des Jahres)

Meine kleine Frage ist nur, wie will er diese Forderungen eigentlich
durchsetzen oder anderst gefragt mit was sollen die Krankenkassen drohen?

EIn Medikament muss sowieso auf seine Wirksamkeit (und somit seinen
(zusatz)Nutzen) getestet werden, von daher sehe ich in dieser Forderung
nur Blendpolitik. – Traue keiner Studie, die du nicht selbst bezahlt
hast^^

So ähnlich sieht das auch

SPD-Gesundheitsexperte Karl Lauterbach hält die Pläne von
Bundesgesundheitsminister Philip Rösler zur Dämpfung der
Arzneimittelkosten für naiv. Seiner Überzeugung nach sind die
Krankenkassen überhaupt nicht in der Lage, den Pharmafirmen in
Verhandlungen Paroli zu bieten.

http://www.spiegel.de/wirtschaft/soziales/0,1518,682476,00.html

Mehr will ich dazu eigentlich nicht sagen.

Sehr zynisch ist übrigens Fefe zu diesem Thema:
http://blog.fefe.de/?ts=b5690796

Auch der Spiegel hat das ganze mal näher betrachtet
http://www.spiegel.de/wirtschaft/soziales/0,1518,682875,00.html

Weitere Dinge

US-Drohnen in Afghanistan senden ihren Videofeed unverschlüsselt raus.
http://blog.fefe.de/?ts=b5d4e15d

DRM-Chaos verhindert 3D-Vorpremieren von Avatar – Harr Harr
http://www.heise.de/newsticker/meldung/DRM-Chaos-verhindert-3D-Vorpremieren-von-Avatar-888309.html

Wirtschaftskrise stärkt die Wissensökonomie
oder Wie kann
die Krise dazu genutzt werden, dass es uns allen besser geht

http://www.heise.de/tp/r4/artikel/31/31648/1.html