Friday, September 5, 2014 - 21:53

Wie sicher ist Smart bzw. ChipTAN?

Ein Urteil des Landgericht Darmstadt sieht die Haftung in einem verhandelten Fall auf Seiten des geschädigten Kunden, da dieser SmartTAN eingesetzt hatte. Der Kunde hatte - vermutlich durch einen Trojaner - einen Schaden von über 18.000 Euro erlitten.

Wie sicher ist dieses Verfahren jetzt wirklich im Vergleich zu Verfahren, wo man u.U. mehr Glück vor Gericht hat, sein Geld zurück zu bekommen?

Zum einen sollte man hier festhalten, dass ein Trojaner niemals das Verschulden der Bank ist. Im Einzelfall - idR. häufig - bekommt man vor Gericht Recht. Aber nicht zwingend garantiert und das ist auch durchaus berechtigt.

Bei ChipTAN scheint es wohl darauf hinaus zu laufen, dass man der Bank eine Schuld nachweisen muss. Und das macht aktuell auch Sinn, denn ChipTAN ist durchaus sehr sicher. Im direkten Vergleich mit den üblichen restlichen Kandidaten ist es deutlich sicherer.

Was viele bei dem etwas sperrigen Verfahren nicht verstehen ist der Punkt wo hier überhaupt die zentrale Sicherheit zu suchen ist. Und das ist genau der Punkt, den viele ignorieren. Die Kontrolle der Daten.

Das Verfahren läuft einfach erklärt in etwa so

Die eingegebenen Daten werden an die Bank übermittelt, die generiert auf ihrer Seite eine Transaktion und übermittelt die Daten dann zurück an das Lesegerät. Dieses zeigt die Daten zur Kontrolle an und generiert dann mit Hilfe der Karte eine TAN, die auf Seiten der Bank die Transaktion bestätigt.

Was hier wichtig zu verstehen ist. Wenn ein Trojaner die Datenübermittlung zur Bank stört bekommt die Bank falsche Daten. Z.B. eine falsche Kontonummer und einen falschen Betrag. Die von der Bank generierte Transaktion bezieht sich aber in jedem Fall auf diese Daten.

Und genau deshalb ist es so wichtig diese Daten wirklich zu kontrollieren. Denn genau die stehen im Display des Gerätes. Im Falle einer Störung also die falschen.

Es ist zwar grundsätzlich möglich im Gerät wieder die richtigen Daten anzuzeigen.  Nur nützt einem Angreifer das nicht viel, denn für diese Daten wird die TAN generiert, die dann nicht zur Transaktion passen würde. Damit kann man einen Kunden zwar zur Weißglut bringen, nicht aber um sein Geld.

ChipTAN ist sicher und stellt auch unter dieser juristischen Betrachtung kein größeres Problem dar, wenn man die Sicherheit nicht schleifen lässt. Und das absolut Wichtigste bei diesem Verfahren ist die Kontrolle der übermittelten Daten. Stimmt die Kontonummer und stimmt der Betrag?

Und zwar mit denen die man beabsichtigt hatte und nicht mit solchen, die irgendwo im Browser angezeigt werden. Diese können durchaus auch manipuliert sein.

Damit ist man aber nicht zwingend auch vor Trojanern geschützt. Eine Angriffsmöglichkeit wäre es z.B. die gespeicherten Kontonummern vorher zu ändern. Kontrolliert der Kunde die dann nicht wäre auch hier eine Überweisung an den falschen möglich, da einem vor der Überweisung eine falsche Kontonummer untergejubelt wurde. Aber das ist eine Variante dessen, was im Absatz drüber erklärt wurde. Man muss den Empfänger überprüfen.

Add new comment

This form is protected by Google Recaptcha. By clicking here you agree to include Google Recaptcha for this session. The page will reload and the form will become avaiable.