![\"Schritt](\"https:\/\/launix.de\/launix\/wp-content\/uploads\/2016\/05\/sepa1.png\")
<\/a>Dem Nutzer werden die Posten noch einmal aufgelistet, um sicherzugehen, dass die Daten korrekt sind. Schlie\u00dflich generiert man noch die TAN, um die \u00dcberweisungen abzunicken. Auf den ersten Blick sieht alles super aus: Man l\u00e4dt die Daten hoch, \u00fcberpr\u00fcft sie noch einmal und nickt sie dann ab. Doch der Teufel steckt im Detail.<\/p>\n Doch zuerst ein bisschen Vorgeschichte: Das ChipTAN-Verfahren wurde eingef\u00fchrt, da Handy-TANs einige grundlegende Probleme haben: Die TANs werden zum einen \u00fcber das unverschl\u00fcsselte GSM-Netz geschickt (Anmerkung: GSM ist zwar verschl\u00fcsselt, aber innerhalb von Sekunden knackbar), zum anderen reicht die Kenntnis einer TAN aus, eine beliebige \u00dcberweisung zu t\u00e4tigen.<\/p>\n ChipTAN sollte das \u00e4ndern. Mit einem privaten Schl\u00fcssel auf der Karte soll mittels eines Nicht-Kompromittierten Ger\u00e4tes (ChipTAN-Leseger\u00e4t) die Eckdaten der \u00dcberweisung, Betrag und Kontonummer des Empf\u00e4ngers, eingeben. Durch die Verrechnung der Daten in der TAN soll sichergegangen werden, dass \u00c4nderungen zwischendrin erkannt werden und User somit darauf aufmerksam gemacht werden, wenn sie beispielsweise einen Virus im System haben.<\/p>\n Problematisch bei der Sammel\u00fcberweisung ist nun die Menge der eingegebenen Daten. Die Sparkasse fragt mich lediglich nach der Summe aller \u00dcberweisungen, sowie der Anzahl Posten. F\u00fcr einen Betr\u00fcger ist es aber fast egal, wie viele Posten und welche Summe \u00fcberwiesen wird. Es sieht sogar plausibler aus, wenn eine gef\u00e4lschte \u00dcberweisung genau denselben Betrag \u00fcberweist wie das Original. Der Betr\u00fcger will die Empf\u00e4nger-IBANs gegen eigene Konten austauschen. Das Geld muss danach zwar noch gewaschen werden (w\u00e4re doof, wenn das Konto auf seinen Namen liefe), aber das ist momentan nicht unser Problem.<\/p>\n Dem Angreifer muss es gelingen, die SEPA-Datei so auszutauschen, dass Betrag und Anzahl der Posten gleich bleiben, aber der Betr\u00fcger seine eigenen Empf\u00e4nger-IBANs eintr\u00e4gt. Im oben gezeigten Bild “Schritt 1” findet bereits der Upload statt. Ist die Datei einmal bei der Bank hochgeladen, ist es f\u00fcr den Betr\u00fcger zu sp\u00e4t. Er muss also die Datei vor dem Upload abgreifen und ab\u00e4ndern.<\/p>\n Im “Schritt 2” sieht der Nutzer noch einmal die Buchungen aufgelistet. Da der Betr\u00fcger schon die abge\u00e4nderten Dateien hat hochladen lassen, muss dem Anwender jetzt die Richtigkeit der Daten weiterhin vorgegaukelt werden. Das geschieht, indem der Betr\u00fcger die ausgetauschten Originaldaten jetzt per Plugin im Web-Interface einsetzt. Dem User wird also vorgegaukelt, er w\u00fcrde an die richtigen Personen \u00fcberweisen.<\/p>\n Im Schritt 3 der Anleitung hat der Betr\u00fcger keine M\u00fche mehr, da Betrag und Anzahl Posten des Sammelauftrags ja gleich bleiben.<\/p>\n Zusammengefasst muss der Betr\u00fcger einen Virus entwickeln, der ein Browser-Plugin ins System einschleust, das den Upload abf\u00e4ngt und auswechselt, sowie die angezeigten Kontrolldaten noch einmal durch die alten Daten ersetzt. Den Virus in ein Firmennetzwerk einzubringen d\u00fcrfte keine gro\u00dfe H\u00fcrde sein und beispielsweise mit Social Engineering gemacht werden k\u00f6nnen. Der technisch unversierten BWL-Aushilfskraft wird eine E-Mail untergeschoben, in der beispielsweise eine Mahnung oder eine Rechnung steht. Da sie die Anweisung hat, Rechnungen zu verbuchen, ist es recht wahrscheinlich, dass sie den Anhang \u00f6ffnen wird.<\/p>\n Der Knackpunkt bei Sammel\u00fcberweisungen ist die Integrit\u00e4t der SEPA-Datei. Anstatt den Betrag und die Anzahl der Posten bei der ChipTAN-Eingabe abzufragen, sollte stattdessen eine Pr\u00fcfsumme eingegeben werden, die best\u00e4tigt, dass die SEPA-Datei nicht ver\u00e4ndert wurde. Diese Pr\u00fcfsumme muss der Nutzer selbst berechnen. Das klingt nicht gerade User-freundlich. Geht man aber davon aus, dass die Anwender von SEPA-Dateien eher Unternehmensberatungen und Steuerb\u00fcros sind und die SEPA-Dateien automatisch generiert werden, kann die Software, die die SEPA-Datei generiert, die Pr\u00fcfsumme gleich mit ausspucken.<\/p>\n Als Empfehlung f\u00fcr ein Pr\u00fcfsummenverfahren w\u00fcrde ich hier SHA-256 anbringen. Allein durch die Verwendung in Bitcoin und \u00e4hnlichen Blockchains sind tausende Goldgr\u00e4ber damit vertraut, zu versuchen, SHA-256 zu knacken. Dass es niemanden gibt, der massenhaft Bitcoin-Bl\u00f6cke absahnt, beweist, dass SHA-256 extrem sicher ist.<\/p>\n Was mich an der Sache st\u00f6rt ist, dass die Sparkasse bei Einzel\u00fcberweisungen so sehr acht gibt und Betrag und Kontonummer pr\u00fcft, selbst bei den kleinsten Betr\u00e4gen. Wenn es hingegen um Millionenbetr\u00e4ge geht bei Gehalts\u00fcberweisungen, ist die Sicherheit auf einmal nicht mehr gegeben.<\/p>\n Zudem gibt es in vielen Firmen eine katastrophale Sicherheitslage, die Betr\u00fcger nur so einl\u00e4dt, das Netzwerk zu kompromittieren. \u00dcberall, wo mehrere Personen als Einfallstor dienen, wird dadurch die Sicherheit geschw\u00e4cht.<\/p>\n Inwieweit die Sparkasse darauf reagieren wird, wei\u00df ich nicht. Die Sache zuerst der Sparkasse zu melden war f\u00fcr mich von Anfang an keine Option. Am Schalter h\u00e4tte man mich komisch angeschaut und ein direkter Kontakt in die Sicherheits- und IT-Abteilung war mir zu viel Rechercheaufwand. Zudem gab es in der Vergangenheit zu viele Sicherheitsforscher, die nach ihrer diskreten Meldung entweder ignoriert wurden, mit 25 \u20ac-Gutscheinen abgespeist wurden oder gar rechtliche Probleme bekommen haben, weil ihnen die Forderung nach einer Belohnung f\u00fcrs Finden der L\u00fccke als Erpressung ausgelegt wurde.<\/p>\n Zudem gehe ich davon aus, dass bei der Sparkassen-IT keine Idioten arbeiten. Ich denke eher, dass diese Sicherheitsl\u00fccken f\u00fcr mehr User-Komfort in Kauf genommen wurden. Die Entscheidung kommt schlie\u00dflich von Oben und nicht von den Fachexperten. Die Frage ist nur, ab welcher Verlustsumme es sich f\u00fcr die Sparkasse lohnt, in mehr Sicherheit zu investieren. Jedoch k\u00f6nnte man die verf\u00e4lschten SEPA-Dateien auch den Firmen zuschreiben, womit die Verluste eher bei den Kunden der Sparkasse l\u00e4gen – also null Handlungsbedarf.<\/p>\n Angenommen, der Rechner w\u00e4re kompromittiert und ich generiere meine SEPA-Datei aus einem Programm, das auf dem kompromittierten Rechner l\u00e4uft – dann ist doch die komplette Sicherheit der Bank unn\u00fctz.<\/p>\n Hier gibt es mehrere Arten, wie die SEPA-Datei entstehen kann. Zum einen kann eine externe Partei, wie z.B. der Steuerberater die SEPA-Datei erstellen und mir die SHA256-Summe auf sicherem Wege zukommen lassen. Es m\u00fcssten schon beide Parteien infiziert sein und der Virus zus\u00e4tzlich auf die Software des Steuerberaters spezialisiert sein, um den Angriff durchf\u00fchren zu k\u00f6nnen.<\/p>\n Doch selbst, wenn die SHA-256-Summe auf meinem kompromittierten Rechner erstellt wurde, kann man speziell die Wirtschaftlichkeit einer Viren-Entwicklung betrachten: Es gibt 3-4 verbreitete Browser, aber hunderte Buchhaltungsprogramme, sowie tausende Individuall\u00f6sungen, die SEPA-Dateien erstellen. Wenn die Banken also ihre Pflicht tun w\u00fcrden, w\u00e4re schon einmal ein Risikofaktor ausgeschalten.<\/p>\n Es gibt zwar noch einige andere Dinge, die mich am ChipTAN-Verfahren st\u00f6ren, aber ich gehe mal davon aus, dass die Bedrohungslage recht \u00fcberschaubar ist und dass die Sparkasse f\u00fcr ihre fehlende Sicherheit sch\u00f6n selbst haften wird (um keinen Skandal zu provozieren – rechtlich m\u00fcsste sie nicht, da sich in vielen F\u00e4llen von verseuchten Computern gar nicht nachweisen l\u00e4sst, ob nun der Nutzer oder der Virus die Aktion get\u00e4tigt hat).<\/p>\n Einzel\u00fcberweisung sind so ein Stein des Ansto\u00dfes: Es wird der Betrag und die Kontonummer abgefragt, nicht aber die Bankleitzahl (bzw. der Anfang der IBAN). \u00dcberrede ich nun eine Bank, ein Konto zu er\u00f6ffnen, das dieselbe Kontonummer hat wie ein Zahlungsempf\u00e4nger meines Opfers, kann ich leicht per Browser-Plugin die Bankleitzahl der \u00dcberweisung austauschen und erhalte das Geld selbst. Das Opfer wird zuerst nichts merken, da Kontonummer ja stimmt und der Betrag auch – nur der Empf\u00e4nger wird sein Geld nicht sehen.<\/p>\n Eine weitere Design-L\u00fccke, die wesentlich tiefer liegt, ist die Schl\u00fcsselerzeugung. Ich bekomme meine EC-Karte von der Bank zugeschickt. Der private Schl\u00fcssel auf dem Chip wird nicht von mir generiert. Demzufolge w\u00e4re bei einer best\u00e4tigten \u00dcberweisung nachweisbar entweder ich oder meine Bank der Urheber. Eine TAN ist also nicht der eindeutige Beweis, dass eine \u00dcberweisung von mir autorisiert wird, da sie die Bank als signierenden Part nicht ausschlie\u00dfen kann. Das w\u00e4re erst m\u00f6glich, wenn ich den Schl\u00fcssel selbst generieren d\u00fcrfte und in den Chip einbrennen darf. Dass das aus Usability-Gr\u00fcnden nicht geht und die Chip-Schreibger\u00e4te ebenfalls kompromittiert sein k\u00f6nnten, lassen wir mal au\u00dfen vor.<\/p>\n Dieser Artikel soll keine R\u00fcge gegen die Sparkasse allein sein. Ich kann mir vorstellen, dass andere Banken dieselben Fehler machen oder dass die Banken gar nur Standards umsetzen (die sie nat\u00fcrlich selbst mit beeinflusst haben).<\/p>\n Ich hoffe, dass ich nie einen Virus haben werde, der sich auf die Verf\u00e4lschung von SEPA-Dateien spezialisiert. Ansonsten w\u00e4ren die finanziellen Folgen heftig. Ich hoffe, dass, bis die Sparkasse den Fehler behoben hat, Linux noch nicht so verbreitet ist, dass es Drive-By-Viren gibt, die auf meinem System Unheil anrichten k\u00f6nnen. Sollte es doch dazu kommen, muss ich wohl Sammel\u00fcberweisungen sein lassen und alle Posten einzeln einhacken.<\/p>\n","protected":false},"excerpt":{"rendered":" Eine bequeme Art der \u00dcberweisung sind SEPA-Dateien. Eine SEPA-Datei enth\u00e4lt alle \u00dcberweisungs-Posten gesammelt. Bequem, schnell und automatisch Da die SEPA-Datei maschinenlesbar ist, k\u00f6nnen beispielsweise Buchhaltungsprogramme Gehalts\u00fcberweisungen geb\u00fcndelt ausspucken. Ein Mitarbeiter muss diese nur noch im Online-Banking hochladen und schon sind die Geh\u00e4lter \u00fcberweisen. Dem Nutzer werden die Posten noch einmal aufgelistet, um sicherzugehen, dass die…<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_editorskit_title_hidden":false,"_editorskit_reading_time":0,"_editorskit_is_block_options_detached":false,"_editorskit_block_options_position":"{}","_uag_custom_page_level_css":"","footnotes":""},"categories":[1],"tags":[80,73],"class_list":["post-841","post","type-post","status-publish","format-standard","hentry","category-allgemein","tag-blockchain","tag-sicherheit","single-item"],"featured_image_urls_v2":{"full":"","thumbnail":"","medium":"","medium_large":"","large":"","1536x1536":"","2048x2048":"","trp-custom-language-flag":"","xs-thumb":"","appku-shop-single":""},"post_excerpt_stackable_v2":" Eine bequeme Art der \u00dcberweisung sind SEPA-Dateien. Eine SEPA-Datei enth\u00e4lt alle \u00dcberweisungs-Posten gesammelt. Bequem, schnell und automatisch Da die SEPA-Datei maschinenlesbar ist, k\u00f6nnen beispielsweise Buchhaltungsprogramme Gehalts\u00fcberweisungen geb\u00fcndelt ausspucken. Ein Mitarbeiter muss diese nur noch im Online-Banking hochladen und schon sind die Geh\u00e4lter \u00fcberweisen. Schritt 1: Datei hochladen Dem Nutzer werden die Posten noch einmal aufgelistet, um sicherzugehen, dass die Daten korrekt sind. Schritt 2: Daten \u00fcberpr\u00fcfen Schlie\u00dflich generiert man noch die TAN, um die \u00dcberweisungen abzunicken. Schritt 3: TAN mit ChipTAN-Verfahren erzeugen Ist das Verfahren nun sicher? Auf den ersten Blick sieht alles super aus: Man l\u00e4dt die Daten hoch,…<\/p>\n","category_list_v2":"Allgemein<\/a>","author_info_v2":{"name":"Carl-Philip H\u00e4nsch","url":"https:\/\/launix.de\/launix\/author\/carli\/"},"comments_num_v2":"0 comments","uagb_featured_image_src":{"full":false,"thumbnail":false,"medium":false,"medium_large":false,"large":false,"1536x1536":false,"2048x2048":false,"trp-custom-language-flag":false,"xs-thumb":false,"appku-shop-single":false},"uagb_author_info":{"display_name":"Carl-Philip H\u00e4nsch","author_link":"https:\/\/launix.de\/launix\/author\/carli\/"},"uagb_comment_info":0,"uagb_excerpt":"Eine bequeme Art der \u00dcberweisung sind SEPA-Dateien. Eine SEPA-Datei enth\u00e4lt alle \u00dcberweisungs-Posten gesammelt. Bequem, schnell und automatisch Da die SEPA-Datei maschinenlesbar ist, k\u00f6nnen beispielsweise Buchhaltungsprogramme Gehalts\u00fcberweisungen geb\u00fcndelt ausspucken. Ein Mitarbeiter muss diese nur noch im Online-Banking hochladen und schon sind die Geh\u00e4lter \u00fcberweisen. Dem Nutzer werden die Posten noch einmal aufgelistet, um sicherzugehen, dass die...","_links":{"self":[{"href":"https:\/\/launix.de\/launix\/wp-json\/wp\/v2\/posts\/841","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/launix.de\/launix\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/launix.de\/launix\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/launix.de\/launix\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/launix.de\/launix\/wp-json\/wp\/v2\/comments?post=841"}],"version-history":[{"count":8,"href":"https:\/\/launix.de\/launix\/wp-json\/wp\/v2\/posts\/841\/revisions"}],"predecessor-version":[{"id":853,"href":"https:\/\/launix.de\/launix\/wp-json\/wp\/v2\/posts\/841\/revisions\/853"}],"wp:attachment":[{"href":"https:\/\/launix.de\/launix\/wp-json\/wp\/v2\/media?parent=841"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/launix.de\/launix\/wp-json\/wp\/v2\/categories?post=841"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/launix.de\/launix\/wp-json\/wp\/v2\/tags?post=841"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
\n<\/a>
\n<\/a>Ist das Verfahren nun sicher?<\/h2>\n
<\/a><\/p>\nWie sieht nun der Angriff aus?<\/h2>\n
Wie m\u00fcsste man das System der Sparkasse anpassen?<\/h2>\n
Warum ist der Fail fatal?<\/h2>\n
Das Problem sitzt noch tiefer<\/h2>\n
Weitere Design-Schw\u00e4chen des ChipTAN-Verfahrens<\/h2>\n
Fazit<\/h2>\n