Sind gebrauchte TAN-Generatoren sicher?

Ich habe mir kürzlich einen gebrauchten Photo-TAN Generator (für QR-Codes) auf Ebay gekauft. Dieser stammt aus Polen und hat inkl. Versand nur 19,- EUR gekostet (Neupreis ~40,- EUR), was um einiges günstiger als deutsche gebrauchte Angebote ist.

Jetzt ist der TAN-Generator angekommen und er funktioniert auch, doch habe ich mich gefragt ob Sicherheitslücken bei gebrauchten TAN-Generatoren existieren könnten?

Von Haus aus würde solch ein Generator keine Gefahr darstellen, doch wie weit würde man kommen, wenn man das Gerät umbaut und z.B. eine SIM-Karte einbaut, um dem Gerät Internet zu gewähren? Könnten dann die generierte TAN und Daten von der Bankkarte, die man einsteckt abgelesen und versandt werden? Wie weit würde man damit kommen? Kann man damit einen Schaden anrichten?

Ich kam nur auf die Idee, weil die Photo-Generatoren recht dick sind und Microcomputer mittlerweile sehr klein sind und rein theoretisch solch eine Manipulation heutzutage umsetzbar sein könnte.

Gibt es noch andere Wege, wo bei gebrauchten TAN-Generatoren Sicherheitslücken entstehen könnten?

So sieht der Photo-TAN-Generator aus:

tan_generator1200×1600 132 KB

Also grundsätzlich hat der TAN-Generator keine Netzwerkschnittstellen - etwaige Sicherheitslücken in der Software dürften also i.d.R. ziemlich unerheblich sein.

Aber zu deiner Frage: Nein, eine Manipulation an der Hardware ist grundsätzlich nicht auszuschließen - und für einen Laien im Regelfall auch nicht zu erkennen. Ich persönlich würde keine gebrauchten TAN-Generatoren verwenden - das leicht ungute Gefühl wäre mir persönlich (!) die paar Euro Ersparnis nicht wert. In der Praxis ist eine Manipulation der Hardware aber absolut nicht trivial, sondern erfordert einiges an krimineller Energie und technischem Verständnis, auch über den technischen Aufbau des TAN-Generators im konkreten (also letztlich Herstellerwissen). Und auch die tatsächlich Ausnutzung ist absolut nicht trivial: Du kannst ja nur in dem Moment Daten abziehen, in dem die Karte im Generator eingesteckt ist. Und wenn ich nur die konkrete TAN auslesen und versenden will, muss ich die dann auch sofort einsetzen. Ganz ehrlich: Da gibt es deutlich einfachere Wege.

Ich habe bei meiner Volksbank vor drei Jahren übrigens für einen dem Anschein nach baugleichen TAN-Generator des selben Herstellers gerade mal 15 € bezahlt. Mag aber sein, dass meine VB das entsprechend subventioniert.

Anmerkung: bei den Sparkassen gibt’s die Dinger neu für ca 20 €

Vermutlich erstmal nicht weit:

Theoretisch ja

Nein. Dafür besitzen diese Karten einen Mikrochip, die können nicht ausgelesen werden. Das wäre eine riesige Sicherheitslücke, dann könnte ja jeder gespikte Bezahlterminals aufstellen.

Naja, die sind ja nicht ohne Grund so dick. Ich habe auch so einen und da ist die Hälfte des Volumens schonmal das Batteriefach, ein weiteres Viertel ist der Karteneinschub (leer/Plastikführung) → ergo bleibt da nicht viel für die eigentliche Technik.

Ein Airtag würde da nicht reinpassen, und eine SIM-Karte mit Mobilfunkchip + passender Spannungsversorgung wäre wohl noch schwerer da unter zu bringen.

Vielleicht mit einer speziell dafür designten Platine, aber da spricht folgendes dagegen:

Warum sollte das jemand machen?

Selbst wenn es überhaupt umsetzbar und wenig Aufwand sein sollte, dann hat man jetzt TANs für Überweisungen, die für den Angreifer wertlos sind.
Interessant wäre höchstens den Generator so zu manipulieren, dass man aus der Ferne andere Überweisungen „einschleusen“ könnte, so dass TANs für Überweisungen generiert würden, die du nicht beauftragt hast.

ABER:
Dass wäre schon eine sehr fortschrittliche Manipulation und man bräuchte ja noch Zugang zu deinem Online-Banking und es ist sehr unwahrscheinlich, dass der Betrüger die auch hat (gerade wenn eine zufällige Person mein manipuliertes Gerät auf eBay kauft…). Außerdem würde es dir auch sofort auffallen, dass unmittelbar nach Benutzung des Generators eine weitere, von dir nicht autorisierte Überweisung stattgefunden hat (du bist ja gerade im Online-Banking).

Dafür bräuchte es einen sehr gezielten Angriff speziell auf deine Person und dazu wäre der Manipulationsaufwand (Hardware und vielleicht noch mehr: Software) vermutlich größer als die zu holende Beute (ich nehme mal an, du bist kein Multimilliardär ).

Es ist einfach ein total unlogischer Angriffsvektor, da der Aufwand in keinem Verhältnis steht. Phishingmails sind garantiert lohnenswerter.

Aber nichtsdestotrotz:
Wenn du da ein ungutes Gefühl hast:
Guck doch einfach rein.

Durch den Karteneinschub kann man schon gut reinsehen und ansonsten besteht das Ding wohl aus zwei (farblich unterschiedlichen) Plastikteilen. Hebel den Deckel ab und guck rein.

Wenn du nix findest bist du beruhigt und hast Geld gespart, wenn er Kaputt geht sinds nur 19€ und wenn du was findest kommst du garantiert in die Nachrichten und bekommst vom Hersteller im Austausch mit Sicherheit auch einen Neuen

Edit: Habe nachgesehen: im Batteriefach sind noch 4 Schrauben, die müssen vor dem Öffnen gelöst werden.

Plus 7€ Porto macht ca. 30€, was Normalpreis ist.
So ein Gerät umzubauen daß es irgendwie senden könnte wäre immenser Aufwand.
Dann müsste das Geräte auch einen Fehler melden um die erschlichene Tan nutzen zu können. Das wäre auffällig. Genauso wie ein irgendwo herumstehender Geldautomat der mir nach einschieben der Karte und eintippen der Pin sagt Abheben nicht möglich.

Für misstrauische Leute wie uns. Aber mal ehrlich: Wie viele „normale“ Menschen würden da misstrauisch werden? Menschen, die seit Beginn ihrer PC- und Smartphone-Karriere darauf trainiert wurden, (unverständliche) Fehlermeldungen blind wegzuklicken - oft schneller, als sie sie überhaupt lesen können.

Für praxisnah halte ich einen solchen Angriff aber ebenfalls nicht (s.o.).

Sehe ich auch so. Man beobachte nur einmal, wie viele „normale“ Menschen einfach jeden USB-Anschluss zum laden von Smartphones etc. nutzen, wo das nicht unerhebliche Risiko besteht, dass Schadsoftware auf das Smartphone geladen wird. Dabei wird auch leider niemand misstrauisch; wahrscheinlich aber auch vor allem, weil es an Wissen fehlt. An Wissen, was so alles möglich ist. Und hierbei sollte man lieber einen Ticken vorsichtiger sein als sich einer möglichen Gefahr auszusetzen.

Um zum ursprünglichen Thema zurückzukehren: Gerade beim Online-Banking würde ich mir nie ein gebrauchtes TAN-Gerät zulegen, auch wenn die Gefahr sehr übersichtlich oder kaum vorhanden ist. Wie schon oben geschrieben wurde, hätte ich auch ein mulmiges Gefühl. Und da die Dinger doch recht günstig sind und man durch einen Kauf von gebrauchter Ware kaum was spart, würde ich immer zu einem neuen Gerät tendieren.

Also auf jeden fall erkennt der Generator den Chip der Karte und arbeitet nur dann. Hab es eben ausprobiert, sobald ich eine andere einstecke oder die Bankkarte auch nur umdrehe kommt eine Fehlermeldung. Also irgendwas muss doch ausgelesen werden.

Dass er ne Fehlermeldung wirft wenn man die Karte umdreht ist klar, weil ohne Kontakt zu selbigem kein Chip gefunden werden kann.
In meinen 0815 ReinerSCT (derselbe wie oben im Bild), der nicht von einer Bank erworben wurde, kann ich beliebige Bankkarten reinschieben, die das unterstützen.

Vorsicht mit dieser Schlussfolgerung!

Die Sicherheit einer Smartcard liegt grundsätzlich im Chip, in seiner Hardware, in seiner Software und in seiner Datenstruktur incl. Zugriffskontrolle. Sie liegt nie im Lesegerät. Wenn das so wäre, würde ich das als Designfehler bezeichnen.

Im Gegensatz zu einer Magnetstreifenkarte, die sich nicht gegen Auslesen wehren kann, verhindert die Smartcard das auf allen Ebenen (Hardware, Software, Datenattribute). Du kannst nur Kommandos an die Karte senden, die sie nach Prüfung (z.B. wenn sie dich authentisiert hat) ausführt. Z.B. eine übergebene Zufallszahl mit einem auf der Karte gespeicherten Private Key zu verschlüsseln.
Für einen solchen Dialog muss sie allerdings richtig rum eingesteckt sein.

Die Sicherheit der SmartCard wohl nicht, aber bei Nutzung ist die Art des Lesens und derbNutzerinteraktion doch wieder fundamentaler Sicherheitsbestandteil, sonst würde um Lesegerāte und deren Tastaturen nicht so ein Aufwand betrieben, ohne Nutzung bedarf es wiederum des Chips nicht.

Ja stimmt. Für eine sichere PIN-Eingabe. Die braucht man aber afaIk beim TAN-Generator nicht.
Was bliebe dann noch als potenzielle Sicherheitslücke im Leser? Der Lesevorgang der Transaktionsdaten vom Bildschirm oder die manuelle Eingabe der Transaktionsdaten. Ob das für einen Angriff taugt, kann ich jetzt gerade nicht überblicken.

Solange der Tangenerator nichts senden kann wüsste ich nicht wie ein Sicherheitsproblem entstehen könnte.

Wieso? Der Generator muss doch nach dem einstecken überprüfen ob der Chip da ist bzw ob die eingesteckte Karte überhaupt unterstützt wird. Und das geht ohne etwas vom Chip auszulesen nicht.

Laut meiner Bank ist ja so ein TAN-Generator alleine sowieso wertlos. Weil sich das TAN-verfahren meiner Bank geändert hat (Optisch auf Qr) musste ich mir einen neuen Generator kaufen. Auf meine Frage ob die meinen alten entsorgen oder ich den vorher zerstören muss und ihn dann einfach in den E-Schrott gebe, meinte die Mitarbeiterin das ich ihn nicht zerstören brauche da ja nichts drauf ist.

Du musst ihn nicht zerstören, da ohne deine Karte nichts passiert.

Natürlich bekommt das Gerät Daten von der Karte, aber die wird nicht „ausgelesen“, sondern das Gerät kommuniziert mit dem Chip in der Karte.

Da ist ein richtiger Mikrochip drin, der kann Rechenoperationen ausführen und da läuft eine kleine Firmware drauf, das ist kein reiner Speicherbaustein. Deshalb meldet der Generator auch einen Fehler, wenn du z.B. eine eGK einsteckst: die versteht die Anfragen des Generators nicht und kann nicht entsprechend Antworten.

Eine Kreditkarte (zumindest die meisten) dagegen geht, damit werden auch TANs generiert, die sind aber wertlos, weil die Karte ja nirgends als Faktor dient.

Stell es dir so vor:
Du (Generator/Lesegerät) kannst einer Person (Karte) beliebig viele Fragen stellen, aber sie wird dir nur Antworten, was sie dir auch verraten will. (Und auch nur, wenn ihr auch dieselbe Sprache sprecht.)

Das eigentliche Erzeugen der TAN übernimmt auch der Chip in der Karte, der Generator dient nur als Interface zwischen Bildschirm<->Chip<->Dir.

Während es hier ziemlich offtopic wurde, habe ich mir selbst die Frage beantwortet.

Ich habe das Gerät aufgeschraubt und nachgesehen, ob es unschöne Lötstellen oder sogar noch weitere Geräte gibt.

Die Antwort ist nein, auch wenn ein Photo-TAN-Gerät Platz dafür hätte.

Und meine Theorie bleibt bestehen, dass man die Karte hätte kopieren und die PIN abfangen können (es gibt Geräte die nach der PIN der Karte fragen) und diese per mobilem Internet an die Gauner schicken könnte.

Mein Fazit ist also, dass wenn man günstigere/gebrauchte Geräte kauft, einfach mal rein schaut ob daran rumgebastelt wurde.