Test: chipTAN bei Onlinebanking, TAN Generator
Beitrag von Frank myTechBase am 2. Mai 2011 in der Kategorie HardwareViele Banken bieten nun seit einiger Zeit das chipTAN Verfahren an bei Onlineüberweisungen an. Dabei ist es wichtig, grundlegende Funktionen zu kennen und deren Gefahren.
Der grundlegende Unterschied zum normalen TAN Verfahren ist, dass man nun keine TAN Liste mehr benötigt, sondern ein kleines Gerät, das die TANs generiert.
Das Gerät
Die Sparkasse bietet zur Zeit 4 dieser Geräte an. Sie unterscheiden sich nur minimal im Funktionsumfang, wobei das teuerste Gerät für 53,43 € eine Sprachausgabe bietet. Wenn man das nicht benötigt, reicht das Gerät für 10,59€. Ich habe mich für das Gerät “tanJack optic SR rot” entschieden, da es im Vergleich zu den anderen Versionen austauschbare Batterien besitzt und zudem relativ klein ist.
Dieses Gerät hat einen Einschub für die EC- Karte, 5 optische Sensoren,ein Display, ein Nummernfeld von 0-9 und 5 zusätzliche Tasten wie “OK”, “F”, oder “TAN”.
Bilder tanJack optic SR rot
Funktionsweise
Als erstes muss man das TAN Verfahren der Bank umstellen. Bei der Sparkasse kann man das direkt online im Onlinebankingcenter umstellen (bei anderen Banken müsste das auch online gehen). Dazu muss man den TAN Generator synchronisieren. Dabei muss man beachten, dass die richtige EC Karte in das Gerät eingesetzt ist. Das kann man mit der Nummer auf der Karte mit der Anzeige in der synchronisier Seite der Bank kontrollieren. Dann nimmt man den Generator und setzt ihn schräg an den Bildschirm, wo 5 Streifen schnell aufblinken. Das Gerät hat oben 2 Pfeile, diese muss man mit den Pfeilen am Bildschirm anpassen. Falls die Pfeile nicht übereinstimmen, kann man mit den Lupentasten die Ansicht anpassen.
Das Bild, das als Beispiel angezeigt wird, ist falsch. Dort sieht es so aus, als ob man das Gerät in einem 45 Grad Winkel zum Bildschirm hinheben muss, allerdings schauen dann die optischen Sensoren des Gerätes nach unten. Man muss es ziemlich bündig hinhalten, so dass die Sensoren die blinkenden Balken erfassen können. Dann kann man nach Anleitung der Bank vorgehen (siehe Bild).
Überweisung
Man startet eine Überweisung wie gewohnt, indem man Kontoinhaber, Bankleitzahl, Betrag und Verwendungszweck einträgt. Dann nimmt man den TAN Generator und steckt seine EC Karte rein. Diesen Generator hält man dann an die animierte Grafik mit den 5 Balken und drückt die Taste “F”. “Übertragung aktiviert” zeigt nun das Display. Nun werden die Kontonummer und der Betrag auf dem Display des Gerätes angezeit, die man jeweils mit der Taste “OK” bestätigen muss. Dann erscheint die berechnetet TAN, die man im Onlinebanking eingeben muss.
Gefahren
Das RedTeam Pentesting hat Möglichkeiten herausgefunden, die es erlaubt, Überweisungen zu manipulieren.
Wenn Sammelüberweiungen mit dem chipTAN Verfahren durchgeführt werden, können Kontonummern und Beträge entsprechend geändert werden, so dass der Benutzer das nicht mitbekommt. Auf dem Display des Gerätes wird nur die Summe der Bertäge und die Menge der Sammelüberweisungen angezeit. So kann der Man-in-the-Middle-Angriff unbemerkt durchgeführt werden.
Bei Einzelüberweisungen kann dieser Angriff nicht unbemerkt durchgeführt werden, da die Zielkontonummer auf den TAN Generator bestätigt werden muss. Falls dort eine andere Nummer drinsteht fällt das auf. Allerdings kann der Angreifer daraus eine Sammelüberweisung mit dem selben Betrag erstellen, so dass das für unerfahrene Benutzer nicht auffällt. Da aber bei einer Sammelüberweiung die Anzahl der Posten auf dem Dispaly des Gerätes angezeit wird, sollte man stutzig werden, denn man hat ja eine Einzelüberweisung in Auftrag gegeben.
Quelle:redteam-pentesting
Fazit
Im großen und ganzem ein praktisches Gerät, das die TAN Liste ersetzt. Es ist zudem sicherer als die übliche TAN Liste, da Angriffe besser erkannt werden können. Leider sieht man keine Zusammenfassung mehr über die eingetragenen Daten, nachdem man eine Überweisung zum überprüfen abgeschickt hat. Der Verwendungszweck wird dort gar nicht mehr angezeigt, nur die Zielbank. Die Kontonummer und der Betrag zeigt der TAN Generator.
Der TAN Generator kann natürlich auch für mehrere Personen verwendet werden mit unterschiedlichen EC-Karten / Banken.
| Vorteile | Nachteile |
|---|---|
| Kleines Gerät, passt problemlos in Taschen | Man benötigt zusätzlich die EC Karte |
| Papierlisten werden nicht mehr benötigt | Kosten des Gerätes müssen selbst bezahlt werden |
| Bei Einzelüberweisungen relativ sicher, wenn man die Gefahren kennt | Für Sammelüberweisungen nicht sicher |
| Einfache Nutzung | Einige Banken nennen das Verfahren als sicher, (Man-in-the-Middle Attacke) obwohl es nicht zu 100% sicher ist. |
| Sicherer als die Papier TAN Liste | Wenn das Gerät defekt ist, kann man keine Überweisung mehr tätigen |
Tiny URL zu diesen Beitrag: http://tinyurl.com/68bgslw
ich habe ein gerät von Kobel TAN touch, wie kann man die Batterie wechseln?
Bei dem Kobil opTAN Touch muss man auf der Rückseite mit einem spitzen Gegenstand das Loch unten in der Mitte reindrücken und dann den Deckel nach unten schieben. Es erscheinen 2 CR2016 Knopfzellen.
habe einen TAN-Generator von der Sparkasse (erzwungenermassen) erworben zu 10 Euro, da diese Bank keine Alternative anbietet.
Es ist derselbe Generator, wie oben abgebildet. Vorweg: ich bin massiv enttäuscht. Das Display ist schwer lesbar (Kontrast lässt sich nicht verändern) und abhängig vom Blickwinkel. Das Zeitfenster für die Eingabe der Daten ist deutlich kürzer, als die angegebenen 30 sec. Gemessen habe ich im Schnitt zw. 10 und 15 sec. Anmerkung: das oben beschriebene Ablesen der Daten über den Bildschirm funktioniert bei mir gar nicht, da ich noch mit Win2000 arbeite. Die Daten müssen dann manuell eingegeben werden.
Fazit: was nützt die beste Sicherheit, wenn der Mensch zur Fehlerquelle wird, wg. unausgereifter Technik!
Wenn dein Display schwer lesbar ist, dann hat es eventuell einen Defekt oder ist die Batterie zu schwach? Bei meinem Modell kann ich das Display gut ablesen. An Windows 2000 kann es nicht liegen, denn das Gerät liest nur den Flackercode. Hast du die Größe des Flackercodes richtig angepasst? Manchmal kann es auch sein, dass das Licht im Raum irgendwie spiegelt, dann kann er es auch nicht lesen. Das war bei mir auch schon.
@Frank my TechBase:
wollte meinen tanJack in der Sparkasse umtauschen, aber die anderen Geräte sind gleich schlecht. Habe in der Volksbank nachgefragt. Die haben “TAN optimus comfort” von Kobil. Das Gerät ist deutlich besser (grösseres Display, besserer Kontrast). … Flackercode: gibt es an meinem Monitor nicht. Das entspr. Feld bleibt schwarz : -( …. tippe alles manuell ein.
Interessant. Ich wollte mir gerade genau den bestellen. Weil er auch schick aussieht.
Ist er nicht praktisch? Zerstörte Karten wären nicht gut. Sollte man lieber einen billigeren/ anderen nutzen?
Ich denk mal, wenn die Banken das durchsetzen wollen, dass man ChipTAN Generatoren verwendet und die EC Karten dadurch kaputt gehen, sollen sie auch von der Bank ersetzt werden. Einige Banken bieten auch kostenlose Generatoren an, einfach mal nachfragen.
Hallo,
ich habe ein Chiptan Gerät der Firma Kobil (opTAN touch). Nach einigen Überweisungen zerstört das Teil aber den goldenen Chip auf der Oberseite der EC-Karte. Ich muss also alles manuell eingeben. Ich finde das lästig und ärgerlich.
Gibt es ähnliche Erfahrungen? Welches Gerät funktioniert auf Dauer gut??