Schwachstelle im chipTAN comfort-Verfahren
Bei diesem Verfahren stellt einem die Bank ein kleines Gerät zur Verfügung welches auf der Vorderseite über ein Display und Tasten und auf der Rückseite über fünf Lichtsensoren verfügt. Wenn man eine Transaktion startet werden einem am Display fünf Lichtbalken angezeigt. An diese Balken muss man das Gerät halten woraufhin einem die Frage gestellt wird ob man mit der Überweisung der Summe an das Konto einverstanden ist. Diese Daten sind über einen Man-In-The-Middle angriff nicht manipulierbar. Erst nach dem Bestätigen generiert einem das Gerät einen einmaligen TAN welchen man in den PC eingeben muss. Diese Art der Überweisung ist durch Man-In-The-Middle Attacken nicht manipulierbar, da in einem solchen Fall auf dem externen von der Bank zur Verfügung gestellten Gerät die Kontonummer des vom Hacker angegebenen Kontos angezeigt werden würde. Die einzige Methode dieses Verfahren zu hacken bestände darin physikalischen Zugriff auf das von der Bank zur Verfügung gestellte Gerät zu bekommen, was jedoch recht unwahrscheinlich ist.
Allerdings gibt es auch bei diesem Verfahren eine Schwachstelle. Bei Sammeltransaktionen wird auf dem externen Gerät nur die Anzahl der Transaktionen und die Summe des zu verschickenden Geldes zum bestätigen angezeigt. Hierbei könnte ein Hacker durch einen Man-In-The-Middle Angriff die Kontonummern unbemerkt ändern, allerdings die Summen der Transaktion nicht.
Fazit
Im Grunde gilt das TAN Verfahren als unsicher und veraltet und wird in der Regel nicht mehr angeboten.
Das iTAN verfahren hingegen ist noch gängig und bietet, wenn man davon ausgehen kann das es zu keinem Man-In-The-Middle Angriff kommt, auch ausreichend Sicherheit.
Das chipTAN comfort-Verfahren ist durch das Einsetzen eines externen Gerätes welches nicht am Netzwerk hängt und dadurch nicht manipulierbar ist, bis auf die Schwachstelle bei Sammeltransaktionen, als sicherste Methode.
Maßnahmen
Um sich vor Angriffen zu schützen sollte die Endanwender in jedem Fall drauf achten einen Viren- und Trojaner freien Rechner zu benützen. Bei dem chipTAN comfort-Verfahren gilt es auch die Informationen auf dem externen Gerät vor dem bestätigen noch einmal durchzulesen, da im Fall einer Manipulation die Daten hier verfälscht wären und somit die Transaktionen abgebrochen werden könnte.
