Wenn Zwei-Faktor-Anmeldung schiefgeht: Die Deutsche Bank sperrt ihre Kunden aus
Am Donnerstag konnten Kunden der Deutschen Bank mehrere Stunden lang nicht auf ihr Konto zugreifen und unter Umständen nicht online bezahlen. Schuld war die kommende Umstellung auf strengere Zahlungsrichtlinien in der EU sowie mehrere technische Pannen.
Am 14. September treten innerhalb der Europäischen Union neue Regeln fürs Online-Banking und das Online-Bezahlen mit Kreditkarten in Kraft – die sogenannte zweite Zahlungsdiensterichtlinie der EU (Payment Services Directive 2 oder auch PSD2). Das führt zu weitreichenden Änderungen beim Online-Banking, die sich allerdings auf eine besonders wichtige neue Regel zusammenfassen lassen: Zwei-Faktor-Anmeldung soll sicherer werden und wird auch zwingend auf das Online-Shopping ausgedehnt. TAN-Nummern müssen ab sofort immer dynamisch generiert werden – somit ist die gedruckte TAN-Listen nicht mehr erlaubt.
Die böse, böse TAN-Liste
Ob das sinnvoll ist, bezweifeln Sicherheitsexperten. Beim richtigen Umgang mit einer TAN-Liste ist die, aller Erfahrung nach, eine der sichersten Authentifizierungs-Techniken die es gibt. Immerhin kann sie keinen Sicherheitslücken in einem Computer oder Smartphone zum Opfer fallen. Mobil-TANs hingegen können auf mehreren Wegen abgefangen werden. Und die Apps, auf die sich viele Banken nun versteifen, sind den grundsätzlichen Unsicherheiten von iOS und Android unterworfen; und diese Sicherheitsmängel sind sehr gut dokumentiert.
Klar ist, dass eine gut gemachte Zwei-Faktor-Anmeldung die Sicherheit der Kunden um ein Vielfaches erhöht. Allerdings kann Zwei-Faktor-Authentifizierung auch dazu führen, dass sich der Kunde aus seinem Konto ausschließt. Besonders ärgerlich ist es, wenn die Bank dank einer (oder gleich mehrerer) technischen Pannen schuld ist, dass ihre Kunden nicht mehr an ihr Geld kommen. Wie schnell so etwas gehen kann, hat die Deutsche Bank diese am gestrigen Donnerstag eindrucksvoll bewiesen.
Unsicherheit aufs Handy verlagert
Weil die TAN-Liste ja ab Mitte des Monats nicht mehr erlaubt ist, drängt die Deutsche Bank ihre Kunden seit Monaten zum Umstieg vom iTAN-Verfahren (so nennt man hier die TAN-Listen) auf mobileTAN oder photoTAN. Beim mobileTAN-Vefahren handelt es sich um eine klassische SMS-TAN, die an das Smartphone des Kunden geschickt wird und die dieser dann in seinem Online-Banking eintippen muss. Bei photoTAN handelt es sich um ein proprietäres Verfahren, das von einer Firma namens Cronto entwickelt wurde, die mittlerweile zum Sicherheitskonzern OneSpan gehört. Dabei scannt der Kunde mit dem Smartphone ein Muster auf der Online-Banking-Webseite ein und die App der Deutschen Bank überprüft dieses und löst wiederum die Transaktion aus.
Das Online-Banking der Deutschen Bank am 5. September: photoTAN heute nicht möglich.
Beide Verfahren werden von Sicherheitsforschern generell als weniger sicher angesehen als Hardware-TAN-Generatoren, wie sie zum Beispiel bei britischen Banken schon seit fast zwei Jahrzehnten im Einsatz sind. Diese unterliegen durch eigenständige Hardware nicht den Sicherheitslücken im Smartphone oder in der Webseite der Bank, sind deswegen aber auch teurer, da jeder Kunde mit einem eigenständigen Gerät ausgestattet werden muss und nicht einfach sein Smartphone nutzen kann.
PSD2-Umstellung verbockt
Kunden der Deutschen Bank, die auf mobilTAN umgestellt haben, hatten diese Woche Glück: So lange sie Handy-Empfang hatten, konnten sie Online über ihr Geld verfügen. Kunden, die hingegen das photoTAN-Verfahren nutzen – welches die Deutsche Bank anscheinend viel aggressiver bewirbt als die klassische mobilTAN – schauten in die Röhre. Denn auf Grund eines nicht weiter benannten technischen Defektes funktionierte die Anmeldung per photoTAN auf einmal nicht mehr. Das hieß kein Online-Banking und im Zweifel kein Online-Shopping für mehrere Stunden.
Nun kann ein Kunde der Deutsche Bank, der die Smartphone-App des Finanzhauses installiert hat, diese als Alternative zum Online-Login im Browser benutzen. Nach einer einmaligen Freischaltung per TAN fungiert dann das Telefon mit seinen eingebauten Sicherheitsmaßnahmen (PIN, Fingerabdruck oder Passwort) als zweiter Faktor und der Kunde kann dann ohne weitere TAN-Abfragen sein Banking direkt vom Smartphone erledigen. Kunden, welche die App bereits freigeschaltet hatten, hätten also einfach ihre Bankgeschäfte mit der Deutschen-Bank-App erledigen können.
Außer, sie haben ihr Google-Telefon auf die neuste und damit vermutlich auch sicherste Version von Android aktualisiert. Denn auf Grund einer weiteren technischen Panne funktionierte die Deutsche-Bank-App parallel zum photoTAN-Ausfall plötzlich nicht mehr mit Android 10. Kunden bekamen eine kryptische Meldung zu Gesicht, die ihnen mitteilte, dass ihr Gerät “die Sicherheitsvorschriften der Deutschen Bank” nicht erfülle. Offensichtlich ein Fehler auf Seiten der App-Entwickler. Das Ganze zeigt eindrucksvoll, wie man es schaffen kann, Kunden per komplizierter Zwei-Faktor-Technik auszusperren, wenn Dinge mal schief laufen.
“Kurzzeitige Einschränkungen”
Mittlerweile hat die Deutsche Bank ihr photoTAN-Verfahren wieder in Betrieb genommen. Und auch die App der Bank funktioniert nun wieder unter Android 10. Bei der App-Fehlfunktion muss es sich um ein serverseitiges Problem gehandelt haben, da die Bank die Änderung ohne ein App-Update durchführen konnte. Ganz perfekt scheint es allerdings immer noch nicht zu funktionieren, denn einige Deutsche-Bank-Kunden berichten davon, dass die App auf Android-10-Smartphones nun eine Warnung ausspuckt, dass das Gerät, auf dem sie gestartet wurde, gerootet sei – auch wenn dies gar nicht der Fall ist. Anscheinend kommt die App der Bank nicht ganz mit Googles Pixel-Geräten klar. Immerhin kommen die betroffenen Kunden nun aber wieder an ihr Geld und können Online-Einkäufe tätigen.
Auf eine Anfrage zu dem Vorfall antwortete mir ein Sprecher der Deutschen Bank: “Wir haben heute morgen ein Update durchgeführt. Dadurch kam es kurzzeitig leider zu Einschränkungen bei der photoTAN. Diese Einschränkungen waren bis 10:30 Uhr alle behoben. Transaktionen mit iTAN und mTAN waren jederzeit möglich.” Nur dass Transaktionen mit dem iTAN-Verfahren ab dem 14. September grundsätzlich nicht mehr möglich sind. Warum hat die EU noch mal die TAN-Liste verboten?
Aufmacherbild: Holger Link
→ Kommentar-Thread zu diesem Artikel im Fediverse
Ich schreibe zeitnahe aber trotzdem fundiert recherchierte News-Meldungen wie diese als Auftragsarbeit für Publikationen aller Art. Bei Interesse findet ihr hier Kontaktdaten und weitere Arbeitsproben.