Willkommen in meinem Blog!

Auf diesen Seiten werde ich über meine Erfahrungen mit den von mir genutzten Betriebssystemen Debian, Ubuntu, andere Linux-Distributionen, Windows etc. berichten und einige freie Tools vorstellen, die ich nutze. Ich werde hier versuchen Probleme, Lösungen, Tips & Tricks darzustellen.

Samstag, 7. Mai 2011

Homebanking: Chip-TAN statt TAN



Die Banken in Deutschland haben sich wohl vor einiger Zeit von den Chiphändlern zum Umstieg zu den sogenannten Chip-TANs oder SMS-TANs überreden lassen. Es werden Sicherheitsgründe vorgegeben, die einem aber niemand in der Bank so richtig erklären kann. - Sind ja auch Kaufleute...

Wieso eine SMS sicherer sein soll als ein Blatt Papier, das ich an einer unzugänglichen Stelle aufbewahre, ist mir noch immer ein Rätsel. Schließlich hat der Chaos Computer Club bereits vor 4 Jahren vom GSM Hacking und hier berichtet.

Die Chip-TAN sieht schon viel spannender aus. Ich will eine Überweisung starten und fülle am Computer wie immer das Überweisungsformular aus. Dann muß ich die Karte ins Gerät stecken, F drücken und das Maschinchen vor den Bildschirm halten. Dort erscheint nämlich eine animierte Grafik mit flackernden senkrechten Streifen. Diese werden vom Gerät eingelesen und nacheinander werden die Ziel-Konto-Nr, der Betrag und die TAN auf dem Gerät angezeigt. Das Flackerbildchen auf dem Bildschirm scheint eine Flash-Animation zu sein. Daß man das nicht (irgendwann) direkt auf dem Computer (also ohne Karte und Generator) auslesen kann, glaube ich nicht. Möglicherweise wird bei der Erstellung der TAN noch die Kartennummer oder der Betrag und die Ziel-Kto-Nr mit reingerechnet. Aber in jedem Fall befindet sich die TAN ganz sicher auf meinem Computer. Die Grafik wird sie verraten. Ich werde bei der nächsten Überweisung einmal versuchen die Grafik zu speichern. Als ersten Schritt zum Hack sozusagen ;-)

Ein man-in-the-middle-Angriff, also mit einem bösen Virus auf meinem Computer, würde in jedem Fall die Eingabe auf meiner Tastatur abfangen können und eine noch so kompliziert erzeugte TAN sinnlos machen.

In jedem Fall ist für mich die SMS-TAN zu teuer, weil ich ja ab der 5. TAN 10 Cent pro SMS zahlen soll, während die alten Papier-TAN-Listen ja noch kostenlos waren. SMS hat natürlich den Vorteil, daß man nur das Mobiltelefon (natürlich mit Netzempfang) und Internet für eine Überweisung braucht. Beim TAN-Generator braucht man den Generator, funktionierende Knopfzellen, die EC-Karte und Internet. Die Wahrscheinlichkeit einer nicht-Funktion ist noch größer als bei der SMS. Die besten Werte hätte hier sicher die frisch abgeschaffte Liste auf Papier.

Ich entscheide mich aus Kostengründen also zum Kauf eines überteuerten TAN-Generators. Dieses Gerät klingt nach einer großen Maschine mit Kurbel, ist aber kleiner als die EC-Karte und wird sicher von Chinesen zum Cent-Preis hergestellt. Am Telefon will mir der freundliche Bankberater aber erzählen, daß die Sparkasse die Dinger für 10 EUR einkauft und für 5 EUR an die Kunden verkauft. - Klar, denke ich: So hat es die Citibank, die HypoRealEstate und die Commerzbank sicher auch gemacht, um möglichst schnell in die Pleite und an die Staatsknete zu kommen...

Ich habe aber keine Wahl und bin dann doch zu meiner Bank. Beim Verkaufsgespräch zum TAN-Generator weist mich die Dame in der Sparkasse noch darauf hin, daß diese Geräte schon mal kaputt ausgeliefert wurden. Ich soll nicht gleich in Panik geraten, wenn's nicht klappt - da is ja Garantie drauf. Und Virenscanner können ein Online-Banking mit TAN-Generator verhindern. - Sie sagt nicht was ich dagegen tun soll. Etwa Virenscanner abschalten?! - Aber dann fragt sie mich schon direkt, ob ich "einen Kaspersky" auf meinem Computer habe. Ich überlege kurz, was sie meinen könnte und mir fällt ein, daß es ein Virenscanner sein könnte so wie das hier. Was so teuer ist (ab 40 EUR im Jahr) muß doch einfach sicher sein, wird sie sicher gedacht haben als sie den gesehen hat und ist deshalb davon voll überzeugt. Soll ich ihr jetzt etwa erzählen, daß ich Debian oder Ubuntu benutze? Soll ich ihr erzählen, daß Linux kaum Viren kennt? Oder daß es auch kostenlose Virenscanner gibt wie den clamtk? - Nein, ich muß mich in diese Menschen in der Bank hineindenken. Das ist eine Bank und da geht es ums kaufen und verkaufen. Was nix kostet kann auch nix sein, denken diese Menschen. Der Wert einer Sache (und eines Menschen) kann dort immer in EUR ausgewiesen werden. Ein kostenloses Betriebssystem, kostenlose Virenscanner oder Firewalls sind demnach genau wie meine kostenlosen Tips für sie sicher die Vorstufe zum dämonischen Kommunismus in dieser Schalterhalle göttlichen Kapitalismus. Soll sie ruhig weiter die Wirtschaft ankurbeln und weiter teure Betriebssysteme und Sicherheitssoftware kaufen an die sie glauben kann. Das alles geht mir durch den Kopf bis mir endlich auf ihre Frage ein "ja-ja" entgleitet. Schließlich soll sie das überteuerte Ding einfach rausrücken ohne lange Diskussionen... Danach gab es übrigens noch ein kurzes Gespräch über die von ihr angepflanzten Lebensmittel in ihrem Garten. Sie weiß wohl gar nicht wie gut es ihr geht...

Heute habe ich nun endlich auf die sogenannte Chip-TAN umgestellt. Ich kann bestätigen, daß es mit Debian 6.0 und Firefox 3.6.17 und dem Adobe Flashplayer funktioniert.

Dies ist aber nicht die Standard-Software für Debian! Als Standard wird der Iceweasel (das ist im Grunde der Firefox-Browser, aber meist in einer älteren Version) mit dem freien Flashplayer gnash installiert, der bei mir in einigen anderen Anwendungen als Homebanking Probleme gemacht hat.

Wer mit der von Debian vorgegebenen Ausstattung kein Chip-TAN hinbekommt, kann den Firefox hier runterladen, installieren wie ich hier beschrieben habe und meine Anleitung "Den Adobe Flashplayer unter Debian installieren" durchprobieren. - Viel Erfolg!

09.05.11 Nachtrag

Ich hab gerade einmal mit dem Debian live-Bootstick getestet und kann bestätigen, daß die Chip-TAN der Sparkasse auch mit dem Iceweasel beim englischsprachigen Debian funktioniert. Während die youtube-Videos beim booten vom live-Stick ruckeln (kann auch am nicht optimalen Grafiktreiber liegen) läuft das Homebanking perfekt.

Leider ist das Debian-live-Image größer als 700 MB, sodaß es nicht auf eine CD paßt. Wer mit seinem PC vom Stick booten kann, hat aber die Chance ein absolut sauberes System (100% virenfrei) für das Homebanking zu nutzen. Die Ubuntu-Images "Desktop CD" sind übrigens immer live-CDs, die auch immer auf ne CD passen und eignen sich natürlich mit dem Firefox genauso perfekt fürs Homebanking...


Kommentare:

  1. Ich kenne jemanden, bei dem funzte es unter Windows 7 nur mit dem Internet-Explorer, nicht aber mit Firefox.
    Übrigens den Generator für 5 Euro ist ein Schnäppchen. Andere Banken (auch Sparkassen) verlangen mehr.

    AntwortenLöschen
  2. Das auslesen der Daten stört nicht, im Gegenteil es ist durchaus erwünscht und für Online-Banking-Programme, die den Flackercode unterstützen wollen, sogar erforderlich. Das Flackerbildchen ist auch keine Sicherheits- sondern eine reine Komfortfunktion, welche Teile der Überweisungsdaten in den Generator überträgt.
    Diese kann man als Fallback auch von Hand eintippen.

    Aus diesen Daten - etwa Startcode, Kontonummer und Betrag berechnet der Generator dann die Tan.

    Und auch ein Auslesen der Tan beim Eintippen nützt dem Angreifer herzlich wenig, da selbige nur für jeweligen Auftrag gültig ist - in Verbindung mit einem anderen Konto oder Betrag ist sie völlig wertlos.

    AntwortenLöschen

Dein Kommentar wird nicht sofort veröffentlicht, sondern muß zunächst von mir freigeschaltet werden. In der Regel gelingt mir die Freischaltung innerhalb von 24 Stunden. Wenn Du in Deinem Kommentar Fehler findest, schicke einfach einen weiteren korrigierten hinterher und ich lösche den ersten.