Am Rande der 32C3 in Hamburg hat Vincent Haupert von der Uni Erlangen berichtet, wie es ihm innerhalb weniger Monate zum zweiten Mal gelungen ist, das pushTan-Verfahren der Sparkasse zu hacken – und wie simpel dies laut seiner Schilderung gewesen sein soll.
Natürlich wird die Sparkasse ihrerseits nachlegen und ein Update bringen, um die Sicherheitslücke zu schließen, doch am Ende, so Haupert, wird die Sparkasse das Katz-und-Maus-Spiel immer verlieren: der Fehler liegt im Gesamtkonzept. Online-Banking-App und TAN-Generation auf dem gleichen Gerät, das wird immer anfällig bleiben.
Die Zeit beschäftigt sich mit diesem Thema in einem ausführlichen Artikel.
Olaf19 meint: Sich per SMS eine TAN aufs Smartphone schicken zu lassen, mag ja noch angehen – eine TAN ist eh nur ein "Wegwerfartikel", der in Sekundenschnelle verbraucht ist und danach nie wieder genutzt werden kann.
Aber das eigentliche Online-Banking auf eben diesem Gerät ausführen? – never ever.
Hinweis: Vielen Dank an Olaf19 für das Verfassen der News. Diese News stammt von einem Nickles.de-Teilnehmer. Die Nickles.de Redaktion übernimmt keine Verantwortung für den Inhalt und die Richtigkeit dieser News.
Bei Nickles.de kann übrigens jeder mitmachen und News schreiben. Dazu wird einfach in einem Forum ein neues Thema begonnen und im Editor die Option "News" gewählt.
So richtig habe ich das mit den verschiedenen Arten der TAN noch immer nicht kapiert.
Ich benutze eben noch eine TAN-Liste.
Also:
Mache ich eine Überweisung, muß ich diese mit einer TAN aus meiner Liste bestätigen.
"Geben Sie TAN Nr. xxx ein!"
Also hole ich meine TAN- Liste aus dem Regal, schau nach, wie die TAN heißt und tippe sie ein.
Erledigt.
Begehe ich dabei einen Fehler, wird die TAN ungültig und ich muß eine weitere eingeben.
Nach dreimaliger Fehleingabe wird die gesamte Liste gesperrt und ich muß mich mit meiner Bank in Verbindung setzen.
Was zum Teufel ist daran unsicher?
Es muß ja letztlich einen Grund haben, weshalb man TAN- Generatoren einsetzt uder diese TAN aufs Handy sendet usw.
Die benutze ich auch, genau wie von dir beschrieben, immer dann, wenn ich von zuhause eine Überweisung tätige (also zu 90%+x).
Was zum Teufel ist daran unsicher?
Ganz klar ist mir das auch nicht, da schließe ich mich deiner Fragestellung gern an.
Es gibt wohl sog. Man-in-the-middle-Angriffe, bei denen die TAN unterwegs abgefangen und für eine andere Transaktion benutzt wird. AFAIK ist das aber nur möglich, wenn ich statt der Website meiner Bank eine täuschend echt nachgemachte Phishing-Seite aufrufe, dort die Transaktion durchführe, die TAN eingebe, das Geld dann aber auf einem ganz anderen als dem von mir vorgesehenen Konto landet. Oder so ähnlich...
Die Größenordnung ist bei mir exakt 100%.
Und in diesem Falle
wenn ich statt der Website meiner Bank eine täuschend echt nachgemachte Phishing-Seite aufrufe
- müßte mein PC ja wohl erfolgreich okkupiert worden sein?
Denn die Adresse meiner Bank tippe ich immer per Hand ein.
Und kontrolliere grundsätzlich immer am Tag darauf, ob die Buchung in Summe und Ziel korrekt ist.
Deshalb ist es mir recht unklar, was da schieflaufen könnte.
Möglicherweise gibt es da ja auch Unterschiede zwischen meinem einfachen, eigentlich auf eine einzige Bank beschränktem Online- Banking und dem der Jongleure, die den ganzen Tag irgendwelche Summen hin und her schieben...
- müßte mein PC ja wohl erfolgreich okkupiert worden sein?
Nun ja – das kommt tagtäglich 1000fach vor...
Möglicherweise gibt es da ja auch Unterschiede zwischen meinem einfachen, eigentlich auf eine einzige Bank beschränktem Online- Banking und dem der Jongleure, die den ganzen Tag irgendwelche Summen hin und her schieben...
Ein solcher Jongleur ist mit Sicherheit ein attraktiveres Ziel als ausgerechnet wir beide.
Wie gesagt, so richtig klar ist mir die Kritik am TAN-Verfahren auch nicht.
Ganz klar ist mir das auch nicht, da schließe ich mich deiner Fragestellung gern an.
Eigentlich ist die Antwort darauf ganz einfach: Es gibt zu viele unbedarfte User, die auf Phishing-Mails reinfallen und ihre komplette TAN-Liste auf einer dubiosen Webseite brav eintippen.
Damit hat der Kriminelle seine TAN-Auflistung (idealerweise auch noch schön durchnummeriert) und kann in aller Seelenruhe Überweisungen auf sein eigenes Konto veranlassen, denn Kontonummer, BLZ und die 5stellige Bankingnummer kann er ja mit Hilfe eines Schädlings rausbekommen. ;-)
Genau DAS ist das grosse Problem bei den TAN-Listen, zum Einen die dümmliche Eingabe der TAN-Listen in den Computer, damit man ja nicht suchen muss (Faulheit) und das andere Problem ist die Unsicherheit, denn die TAN-Listen werden zwar zentral gefertigt (nicht bei der jeweiligen Bank) aber wer kennt schon, welche Schlawiner als IT's in diesen Zentralen arbeiten - die Banken weisen das natürlich weit von sich -, aber wenn Daten von Steuersündern gegen Geld aus den Datenbänken zu Steuerbehörden finden, warum sollten nicht TAN-Listen gegen Geld an Ganoven verhökert werden.
Also vorgefertigte TAN-Listen heute noch zu verwenden ist NO GO. Ich schwöre auf den TAN-Generator oder auf TAN auf Handy, aber dann ohne Bankgeschäfte über Handy.
Wobei ich mich frage, was es für Gründe gibt, Bankgeschäfte überhaupt am Handy/Smarphon etc. zu tätigen. Keine Zahlung ist so eilig, dass sie nicht bis zur nächsten Sitzung am heimischen PC Zeit hat. Wobei ich selbst hier nur mit bankeigenen Bankprogramm arbeite, dies auf einen Stick einschl. der Daten gespeichert habe und der Stick sofort nach Beendigung der Bankgeschäfte entfernt wird. Selbst wenn einer meinen Computer hackt, findet er weder Bankadressen noch Bankdaten, wenn er nicht zufällig in dem Zeitraum rankomt, wo der Stick aktiv ist.
Ich weiss, wovon ich rede, ich bin aus der Finanzbranche.
die dümmliche Eingabe der TAN-Listen in den Computer, damit man ja nicht suchen muss
Machen das wirklich manche Leute? Ich meine, das ist doch eine fürchterliche Sisyphos-Arbeit, und fehleranfällig obendrein. In der Zeit, wo ich das alles abgetippt habe, und dann auch noch korrekt, habe ich ca. 1000x die iTAN-Liste aus ihrem Schatzkästchen hervorgeholt und wieder zurückgelegt...
wenn Daten von Steuersündern gegen Geld aus den Datenbänken zu Steuerbehörden finden, warum sollten nicht TAN-Listen gegen Geld an Ganoven verhökert werden.
Wobei dann aber die Online-Zugangsdaten sämtlicher betroffenen Anwender gleich mit verhökert werden müssten. Eine TAN-Liste für sich genommen ist ja erst einmal wertlos.
Trotzdem hast du natürlich insofern recht, als dass so etwas bei mTAN auf SMS nicht passieren kann, weil die "spontan" erstellt wird und nicht übervorgefertigte Listen läuft.
Keine Zahlung ist so eilig, dass sie nicht bis zur nächsten Sitzung am heimischen PC Zeit hat.
Bei mir ist das immer so: wenn ich online etwas kaufe, will ich es sofort bezahlen. Das ist am einfachsten, auch für den Händler, der dann auch gleich die Ware versandfertig machen kann. Insofern ist für mich jede Zahlung super-eilig ;-)
Aber, und da treffen wir uns wieder: Kein Kauf ist so eilig, dass er nicht warten kann, bis ich wieder in meinem Wohnzimmer am Rechner sitze.
Naja, heute werden sie es nicht mehr machen, es gibt ja (keine) Bank mehr die sowas rausgibt - zumindest keine Bank, die ich kenne und ich arbeite geschäftlich mit 28 Banken zusammen. Aber diese Papier-TAN-Listen gab es auch auf Chip (damals ein Reisenchip mit 32 MB damals so 3 x 4 cm gross, damit die Faulpelze im Büro nicht mehr die Listen abstreichen mussten sondern die Nummer nach Verwendung automatisch aus der Tabele verschwanden.
Was habe ich mir den Zorn unserer Buchhalterinnen zugezogen, als ich nach den ersten Meldungen über Datenklau und Hacking diese EDV-TAN-Listen löschen lies und eine zuverlässige Kraft benannte, die nur noch Nummern aus der Papierliste vergeben durfte und diese im Tresor-Sonderfach verwahrte.
Angst habe ich von TAN-Listen, die bei Bankzentralen generiert werden. Ich traue den Bank-IT-Mitarbeitern genausowenig wie den gleichen MA's, die Bankdaten gegen Geld an STeurbehörden verkaufen. Daher mein Plädoyer für ChipTAN (TAN-Generator) oder Handy-TAN ohne Möglichkeit, auf diesem auch Finanztransaktionen durchzführen.
Bobby, deine Argumentation ist so überzeugend, dass ich eben nachgeschaut habe, wo ich mich vom "Papier-TAN"-Verfahren abmelden kann. Witzigerweise ist das Online gar nicht vorgesehen – ich kann mich nur zum Chip-TAN verfahren anmelden, meine mTAN-Handynummer ändern oder löschen sowie mir diese berüchtigte "SecureApp" bestellen.
Naja. Ich wundere mich eh, dass die Liste nach der langen Zeit nicht längst verbraucht ist. Werde bei der Sparda nachfragen, welche Möglichkeit es gibt, sich aus dem Verfahren auszuklinken. Danke.
Was habe ich mir den Zorn unserer Buchhalterinnen zugezogen, als ich nach den ersten Meldungen über Datenklau und Hacking diese EDV-TAN-Listen löschen lies und eine zuverlässige Kraft benannte, die nur noch Nummern aus der Papierliste vergeben durfte und diese im Tresor-Sonderfach verwahrte.
Denke, das hast du gut gemacht. Eine solche Aktion ist nicht nur aus fachlichen Gründen gut und richtig, sondern auch, weil die Bedeutung der Datensicherheit gerade bei heiklen Dingen wie Geldangelegenheit dadurch den Leuten ins Bewusstsein gerufen wird.
Aber das eigentliche Online-Banking auf eben diesem Gerät ausführen? – never ever.
Was genau das Problem daran ist, denn gerade das Übertragen einer TAN auf ein Mobilgerät dient m.E. in den meisten Fällen dazu, auf genau demselben Ding eine Transaktion durchzuführen, möglichst noch mit derselben App;-)
Das wird von den Banken auch noch als einfach, schnell und sicher bezeichnet.
Sie benötigen nur ein Gerät, um auf Ihr Konto zugreifen und Geld überweisen zu können.
Möp - verloren!
Denn welchem anderen Zweck sollte es schliesslich dienen, wenn man von unterwegs auf die Schnelle eine TAN anfordert, als stante pede etwas zu überweisen?
Die Klientel, welche das Verfahren nutzt, dürfte sich wie so oft in solchen Fällen in den wenigsten Fällen eine platte machen, ob und was da schiefgehen kann - Hauptsache es ist einfach.
Das Verfahren TAN ist schon immer 'riskant' gewesen und der Angreifer hat nichts zu verlieren. Entweder seine abgefangene und umgebogene TAN führt das Überweisen auf ein Konto seiner Wahl durch oder eben nicht. Geht es schief, hat er auch nichts eingebüsst, der eigentliche Kunde bei Erfolg aber auf jeden Fall.
Ganz so einfach dürfte es zwar nicht sein, als das Jeder so mir nichts - Dir nichts sich mal danebenstellt und dann im Akkord TAN abfischt und fleissig Geld umschichtet.
Für Online-Geschäfte sollte man möglichst immer eine separate Software verbunden mit HBCI nutzen. Smartphone ist da so ziemlich das dämlichste aller Mittel, weil ausser der Doppel-App auch noch andere Apps mit Vollzugriff auf dem Teil vorhanden sein könnten und Google plus Anhang sowieso mitliest.
Die juckt zwar die TAN, die Bank und das Verfahren weniger, dafür mehr die Summen und Wege der Kohle - also mehr so auf Meta-Ebene, noch dazu wenn vom gleichen Smartphone vielleicht zufällig in einem Internetshop gerade ein Kauf getätigt wurde oder so, also so irgendwie jedenfalls oder so...
Was genau das Problem daran ist, denn gerade das Übertragen einer TAN auf ein Mobilgerät dient m.E. in den meisten Fällen dazu, auf genau demselben Ding eine Transaktion durchzuführen, möglichst noch mit derselben App;-)
Kann ich für mich nicht bestätigen; ich habe die mTANs ausschließlich dazu benutzt, wenn ich "unterwegs" Online-Banking gemacht habe, also an einem Ort, an dem meine Papier-TAN-Liste nicht hinterlegt ist. Also eher selten!
Im Allgemeinen dürfte deine Vermutung natürlich zutreffen.
Smartphone ist da so ziemlich das dämlichste aller Mittel, weil ausser der Doppel-App auch noch andere Apps mit Vollzugriff auf dem Teil vorhanden sein könnten und Google plus Anhang sowieso mitliest.
Für Online-Banking im Allgemeinen und insgesamt: defintiv ja, aus den von dir genannten Gründen. Da ich mir auf dem Smartphone nur die TAN per SMS schicken lasse und sonst nichts, kann keine der mitschnüffelnden Apps nachvollziehen, von wo nach wo ich Geld überweise, welche Beträge und für welchen Zweck. Diese Trennung ist mir schon wichtig.
Da ich mir auf dem Smartphone nur die TAN per SMS schicken lasse und sonst nichts, kann keine der mitschnüffelnden Apps nachvollziehen, von wo nach wo ich Geld überweise, welche Beträge und für welchen Zweck.
Da kannst Du auch ein uraltes Nur-Handy für die SMS nehmen und den Smartföhn für die Banking-App. Damit hast Du die Zweiwege-Authentifizierung und eine eher geringe Wahrscheinlichkeit, das zeitgleich die SMS z.B. per IMSI-Catcher abgegriffen wird und parallel dazu per manipulierter App auf dem Deinereinigen digitalen Streichelzoo dazu dient, einen modifizierten Geldbetrag auf ein fremdes Konto umzubiegen.
Die ganzen TAN-Geschichten sind m.E. alle zu manipulieren. Lediglich der Aufwand ist unterschiedlich und man muss natürlich auch ein Ziel sein. Daher ist aus meiner Sicht selbst vom heimischen PC aus Homebanking per Browser und TAN tabu. Wenn, dann läuft das über HBCI und eigene Software, für ganz Paranoide ggf. noch mittels Live-Medium wie das c´t-Bankix.
Mir erschliesst sich auch nicht, welche Überweisung so zwingend ist, dass sie von unterwegs getätigt werden muss. Selbst die Fälle längerer Reisen sind da nicht so prickelnd, denn ein Läppi hat faktisch jeder dabei und dort mit o.g. Methode plus HBCI-Kartenleser ist immer noch besser als das Gefrickel mit dem Smartphone. Landet eine Rechnung bei längerer Abwesenheit im Briefkasten, ist das auch nicht anders.
Das sind auch schon mehr Einzelfälle. Im Vortrag geht es m.E. darum, dass im Gegensatz zu den Vorschriften der BaFIN alles auf einem Endgerät stattfindet und die Apps sich gegenseitig ergänzen. Daher auch die süffisante Bemerkung, warum man das nicht gleich in eine App legt;-)
Da kannst Du auch ein uraltes Nur-Handy für die SMS nehmen und den Smartföhn für die Banking-App.
Würde gehen, aber dann müsste ich für die paar Fälle im Jahr, wo ich nicht von zuhause aus überweise, immer "auf Verdacht" zwei Geräte mit mir herumschleppen ;-)
Mir erschliesst sich auch nicht, welche Überweisung so zwingend ist, dass sie von unterwegs getätigt werden muss.
Zwingend vielleicht nicht, aber der Mensch ist ungeduldig... im Gegenzug erschließt sich mir nicht, was an einer auf Papier gedruckten TAN ein Sicherheitsrisiko darstellen sollte. Da ist dann überhaupt kein Smartphone-Streichelzoo mehr im Spiel.
im Gegenzug erschließt sich mir nicht, was an einer auf Papier gedruckten TAN ein Sicherheitsrisiko darstellen sollte.
Da gültet der Unsicherheitsfaktor Mensch, der die Liste plus Zugangsdaten an´s schwarze Brett nagelt - aber die kann auch bei einem Einbruch 'gefunden' werden. Wie gesagt, das sind sicher erstmal konstruierte Einzelfälle, mit einem Ziel und genügend Energie aber nie auszuschliessen, auch wenn die tatsächliche Trefferquote im Promillebereich liegen mag.
Das ist ein Sinn solcher Veranstaltungen wie dem CCC-Kongress, um eben Schwachstellen aufzuzeigen, die betreffenden Firmen damit auch zum Handeln zu bringen und auch dem Einzelnen Schwächen zu zeigen und das Umdenken von dieser Seite anzuregen.
Ich arbeite jetzt schon seit vielen Jahren nur noch mit HBCI plus Kartenleser, da ist keine Tan mehr nötig die abgemischt werden könnte. Habe noch nie Probleme damit gehabt und kann es da her nur empfehlen, und das am besten mit Starmoney.
Das ist nartürlich richtig, für ein sichers Banking muß auch der PC sicher sein und auch Brain 1.0 nie vergessen nicht alles anklicken was blinkt dier unbekannte E-Mails öffnen dann geht es auch mit Tan recht sicher.
Mit Tan-Liste oder iTan auf Nur-Handy, ganz normal über online-Banking bei der Bank.
Mache ich ebenfalls mindestens genau so lange wie du. Mir ist dabei noch nie weder seinerzeit ein Pfennig noch nach Einführung des Euro auch nur ein Cent abhanden gekommen.
Dass diese Diskussion hier schon mehr oder weniger ein "Running-Gag" ist, welche mindestens einmal im Monat "aufflammt", ist euch aber irgendwie klar. Sollte man wissen, wenn man hier noch nicht so lange aktiv ist. Man fühlt sich dabei irgendwie immer an den Film "Und täglich grüßt das Murmeltier" erinnert....
Internetbanking läuft bei mir problemlos mit mTAN. Die TAN kommt auf einem sehr alten Handy an. Das Ding ist so blöd, da kann man nur mit telefonieren + SMS senden sowie empfangen.
Auf gar keinen Fall werden derartige Transaktionen mit dem Schmartie abgewickelt. So wichtig kann eine Überweisung nicht sein.
Wenn ich mal länger unterwegs sein sollte, schleppe ich das Teil mit, wiegt ja nicht soviel wie ein Schwein.
Wichtige Überweisungen laufen automatisch, für irgendwelche Ausnahmen werde ich mir kein ominöses Proggi auf mein HTC laden.
Liste plus Zugangsdaten ans schwarze Brett nageln,
TAN-Liste bei Einbruch gefunden,
TAN-Liste ins Internet eingegeben (Phishing-Reaktion)
Ganz ehrlich: wenn das die einzigen Sicherheitsrisiken beim Online-Banking mit TAN-Verfahren sind, dann ist mir nicht bange. Punkt 1 und 3 ist gröbstens fahrlässig und somit leicht zu vermeiden.
Nach einem Einbruch stellt sich die Frage, wie lange brauchen die Einbrecher, bis sie mit meiner Liste etwas Sinnvolles anfangen können, sprich: meine Zugangsdaten ermittelt haben – und wie lange brauche ich nach dem Einbruch, bis ich den Verlust bemerkt und die TAN-Liste bei meiner Bank gesperrt habe.
Für mich klingt das alles eher nach: entspannt zurücklehnen...
Für mich klingt das alles eher nach: entspannt zurücklehnen...
Eben - für Dich und andere, die sich mit der Materie schon aus PC-Interesse heraus befassen;-)
Es geht um die theoretischen Möglichkeiten und hier speziell um das pushTAN-Verfahren. Die Krux ist dabei das von der BaFIN vorgeschriebene Nutzen zweier Kanäle/Endgeräte, welches durch die Reklame der Bank und das vorgeführte Szenario ad absurdum geführt wird.
-----------------
Was abgefischte TAN usw. betrifft: Nimm Dir mal das typische Beispiel von Oma Krawuttke, deren letzte Bankfiliale auf dem Dorfe geschlossen wird, die aber rein zufällig einen PC, Smartphone und/oder Internet besitzt. Der liebe Bankberater verklickert der Dame dann, dass so ein Online-Konto sogar noch den Vorteil hat, dass Überweisungen nichts mehr kosten uswusf. Wie der generelle Umgang mit Smartphones im Verbund mit Datenschutz oft stattfindet, muss ich Dir auch nicht verklickern - in dem fall zwar eher weniger durch Oma Krawuttke...
...ganz so abwegig ist das also nicht und ich würde mir auch nie die Aussage anmassen, dass mir so etwas nicht passieren kann. Die Methoden sind raffiniert und werden besser. Im Zusammenhang mit dem Ausnutzen des Überraschungsmoments geht das oft schief und der Gedanke, die berühmte Nacht darüber zu schlafen, die Ansicht eines Dritten einzuholen oder bei der vorgegebenen Behörde direkt nachzufragen, kommt dann zu spät oder kostet etwas überwundenes Schamgefühl, siehe BKA-Trojaner und angeblicher Porno-Konsum und das ist meist der Ansatz.
ich würde mir auch nie die Aussage anmassen, dass mir so etwas nicht passieren kann.
Das ist der Grund dafür, warum ich bei diesem Thema immer so hartnäckig nachfrage. Insbesondere, da die Bedrohungsszenarien sich im Laufe der Zeit verändern, sprich: verschärfen können.
Das einzige, was ich beruhigend finde, ist die Kurzlebigkeit der TANs – einmal benutzen und weg ist sie. Sollte ein Software-Bug bei der Bank allerdings bewirken, dass eine einmal angeforderte und von der Bank ausgegebene TAN beliebig oft verwendet werden kann, wird es wieder unangenehm...
pushTAN-Verfahren. Die Krux ist dabei das von der BaFIN vorgeschriebene Nutzen zweier Kanäle/Endgeräte, welches durch die Reklame der Bank [...] ad absurdum geführt wird.
Erstaunlich, dass die Banken damit durchkommen und deswegen nicht schon längst abgemahnt worden sind.
Für mich klingt das alles eher nach: entspannt zurücklehnen...
Für mich ebenfalls. Und ich schmunzel darüber, was da so alles an Gefahren angedroht und an Tools installiert wird, um diese Gefahren abzuwehren.
Und gäbe es einen Einbruch - na, ehe der Einbrecher meinen Wust an Papier durchwühlt und die nichtssagende Liste mit den TANs gefunden und auch noch angewendet hätte - bis dahin wären bereits alle Zugänge gesperrt.
Nein, ich habe in diesem Zusammenhang nicht einmal die Andeutung einer Befürchtung.
Eher schon, das meine Ersparnisse um Arbeitsplätze (natürlich) zu erhalten und um internationale Solidarität (natürlich) zu üben, ganz ohne Trojaner und Internet sukzessive immer weniger wert sind...
was da so alles an Gefahren angedroht und an Tools installiert wird, um diese Gefahren abzuwehren.
Tools zu installieren halte ich eh für problematisch, da dies ihrerseits wieder nur Programme sind, die wie jede Software fehlerbehaftet ist. Wieder ein paar Applikationen mehr, wo man ständig irgendwelchen Sicherheitslücken hinterher stopfen lassen muss.
ehe der Einbrecher meinen Wust an Papier durchwühlt und die nichts sagende Liste mit den TANs gefunden und auch noch angewendet hätte - bis dahin wären bereits alle Zugänge gesperrt.
Denke ich auch, siehe meine letzte Antwort an fakiauso. Gerade einmal nachgeschaut: meine Kontonummer wird auf der TAN-Liste derart maskiert dargestellt, dass man sie nur dann wiedererkennt, wenn sie einem bereits vertraut ist. Auch steht da nicht, zu welchem Geldinstitut sie gehört.
Ansonsten müssten die Einbrecher schon meine sämtlichen anderen Unterlagen durchwühlen, in der Hoffnung, dort eine Bankverbindung zu finden, die zu dem Zeichensalat auf der TAN-Liste passt. Aber so viel Zeit haben Einbrecher nicht...
Ja, und dann hätten sie außerdem immer noch nicht meinen Online-Zugang...
Persönlich hatte ich keinerlei Probleme mit der TAN-Liste. Mir war aber klar, dass es nur eine Frage der Zeit sein würde, bis dieses Verfahren zugunsten einer anderen Vorgehensweise abgeschafft werden würde.
Wenn auch nur 0,01% aller Bankkunden auf eine Phishingmail hereinfallen, bedeutet das schließlich bei 14 Millionen Kunden (Anzahl der Postbankkunden), dass 14.000 auf diese Masche reinfallen, was in Kombination mit infizierten Rechnern eine nicht zu unterschätzende Gefahr darstellt und nicht nur zu Problemen beim Kunden, sondern auch für die Banken ein nicht abstellbares Ärgernis darstellt.
Dass Banken aus dieser Schusslinie herauskommen möchten statt immer wieder im Mittelpunkt von Diskussionen um die Sicherheit ihres Onlineverfahrens zu sein, ist da sicherlich mehr als nachvollziehbar.
Für denjenigen, der nicht anfällig für Phishingmails ist, ist es natürlich bedeutungslos, ob er das TAN-Verfahren nutzt oder nicht.
Das schwächste Glied in der Kette war es, welches die meisten Banken zu einer Änderung ihres Onlinebanking-Verfahrens veranlasste - und das waren offensichtlich zu viele.
Wenn auch nur 0,01% aller Bankkunden auf eine Phishingmail hereinfallen, bedeutet das schließlich bei 14 Millionen Kunden (Anzahl der Postbankkunden), dass 14.000 auf diese Masche reinfallen
Ich komme zwar nur auf 1400 Kunden, aber ich weiß, was du meinst ;-) ...0,01% sind ein Zehntausendstel...
Ja, es ist ein Ärgernis für die Banken, vor allem ein Dilemma: es kann nicht angehen, dass sie fürs Eigenverschulden ihrer Kunden Schadenersatz leisten sollen, andrerseits wenn sie sich dem verweigern, stehen sie wieder in der Buhmannrolle da und bekommen schlechte Presse ("Wäre es nicht vielmehr im Verantwortungsbereich der Geldinstitute gewesen, im Sinne ihrer Kunden dafür zu sorgen, dass... etc. pp.).
...klar, dass es nur eine Frage der Zeit sein würde, bis dieses Verfahren zugunsten einer anderen Vorgehensweise abgeschafft werden würde.
Haben denn die meisten Banken inzwischen kein TAN-Verfahren mehr? Ich kannte die Methode mit HBCI bislang immer nur als kostenpflichtige Zusatzoption.
Haben denn die meisten Banken inzwischen kein TAN-Verfahren mehr?
Die per Post zugestellte (und durchnummerierte) TAN-Liste haben nur noch sehr wenige Banken.
Die Postbank z.B. hat schon vor ein paar Jahren auf mTAN (TAN per SMS) umgestellt und verzichtet somit darauf, dem Kunden überhaupt TAN-Listen schriftlich zuzustellen. Da kann der Kunde noch so viele Phishingmails bekommen und darauf reinfallen- er hat schlicht und ergreifend keine TAN-Nummern, die er dort eingeben könnte.
Stattdessen erhält er für jede einzelne Überweisung eine von der Bank soeben erst generierte SMS auf sein Handy.
Bei der Sparda-Bank habe ich beides, iTAN auf Papierliste zuhause und mTAN für unterwegs (was natürlich selten gebraucht wird, zumal der Rechner vertrauenswürdig sein muss). Allerdings ist die iTAN-Liste schon einige Jahre alt und dürfte bald aufgebraucht sein. Könnte mir vorstellen, dass es dann keine neue Liste mehr gibt...
Hier musste ich gerade etwas schmunzeln: https://www.sparda-bank-hamburg.de/konto_und_depot/itan – Quintessenz: das neue(!) iTAN-Verfahren ist jetzt noch sicherer, weil alle TANs durchnummeriert sind und nur die jeweils aufgerufene Nummer genutzt werden kann...
Nun gut, ich hatte deinen vorigen Beitrag so verstanden, dass das TAN-Verfahren generell ein Auslaufmodell ist, also mit TAN als Sammelbegriff für iTAN, mTAN etc.
Da gibt es gleich gar keine TAN, sondern Du brauchst ein Passwort und kannst das alles auf demselben Endgerät durchziehen. Das ist bestimmt ganz sicher;-)
PS. Am besten aktiviert man noch die kurzzeitige Anzeige der Zeichen bei der Eingabe, falls man sich mal vertippt...
Eigentlich sollte ich mein Gyros-Konto bei der Sparda sofort kündigen – aus Solidarität mit den gutgläubigen Kunden, die auf den Mist reinfallen... jetzt fehlt nur noch:
"NEU!! ab sofort brauchen Sie nicht einmal mehr ein Passwort – wir haben es für Sie also gaaanz einfach gemacht..."
Man hält es im Kopf nicht aus. Ganz schlimme Nummer, das.
Eigentlich sollte ich mein Gyros-Konto bei der Sparda sofort kündigen
Ach i wo - da kommst Du auch nur vom Regen in die Traufe, weil das sicher viele Banken mit anbieten;-)
Von den aufgegriffenen Fällen abgesehen fährt man am besten mit dem Verfahren von RW1, so wie ich es auch tue. HBCI mit separater Software statt des Bankings über den Browser.
@hanshh
Wenn beim normalen Onlinebanking ein Live-Medium genutzt wird oder wenigstens der private Modus des Browsers, welcher auch Cookies, Passwörter usw. hinterher löscht, braucht man auch keinen speziellen Browser von Kaspersky. Der macht am Ende auch nichts Anderes und ggf. nutzt man noch einen separaten Account, der keinen halben Zentner Autostarts mitbringt, die alle gleich in´s Netz klingeln, sondern nur dem Banking dient.
Was ich in meinem Browser verdreht habe, weiss ich in aller Regel. Was Kaspersky eingestellt hat, kannst Du nicht so leicht nachvollziehen und gibst damit schon wieder etwas an Dritte ab.
Nutzen kann das auch nur der Anwneder von Kaspersky IS:
da kommst Du auch nur vom Regen in die Traufe, weil das sicher viele Banken mit anbieten;-)
So schaut's aus...
Wenn beim normalen Onlinebanking ein Live-Medium genutzt wird oder wenigstens der private Modus des Browsers, welcher auch Cookies, Passwörter usw. hinterher löscht, braucht man auch keinen speziellen Browser von Kaspersky.
Demnach wäre so etwas wie Bankix für dich hinter HBCI samt Lesegerät die 2. Wahl und der Privatmodus im Browser die dritte?
Gute Erklärung übrigens von dir, warum das Kaspersky-Teil nicht optimal ist. Mein erster Gedanke dazu war nur: warum will man sich mit noch mehr Software überfrachten...
c´t-bankix kann Beides (HBCI und Onlinebanking per Browser) und dient in erster Linie als schreibgeschützte und damit definierte saubere Quelle.
Privatmodus im Browser ist beim Homebanking so oder so Pflicht, alleine wegen der Addons und dem Verlauf.
Das Patent Kaspersky will ich jetzt auch nicht per se verunglimpfen, wer KIS hat und das nutzt - in Ordnung und besser als auf´s Blaue drauflos. Das Problem Systembremse, an völlig unerwarteter Stelle nichtfunktionierender Kram auf dem PC, false positives und damit verbunden die Grenzen des kommerziellen Schlangenöls sollte man dabei aber trotzdem auf dem Schirm haben.
Diese Reiner-Geräte hatte ich mir vor ca. 1 Jahr einmal auf Amazon angeschaut und war ehrlich gesagt ein wenig abgestoßen von den Negativ-Rezensionen. Die scheinen ziemlich unzuverlässig zu sein, nicht im sicherheitsrelevanten Sinne, sondern in Bezug auf Reparaturanfälligkeit...
Diese Reiner-Geräte hatte ich mir vor ca. 1 Jahr einmal auf Amazon angeschaut und war ehrlich gesagt ein wenig abgestoßen von den Negativ-Rezensionen. Die scheinen ziemlich unzuverlässig zu sein, nicht im sicherheitsrelevanten Sinne, sondern in Bezug auf Reparaturanfälligkeit...
Bei mir war der Umstieg auf HBCI 2009 und der damals gekaufte Kartenleser hat bis jetzt durchgehalten. Vor zwei Jahren hat das Ding zwar mal rumgemotzt, dass angeblich die Karte nicht eingelegt sei, weil die Kontaktfeder am unteren Ende ermüdet war und daher nicht mehr kontaktierte. Das lies sich aber mit einem vorsichtigen Zurückbiegen beheben, seitdem ziehe ich lediglich die Karte nach dem Abstecken wieder soweit heraus, dass die Feder nicht ständig angespannt ist. Das dabei mechanisch ebenso wie an den Kontaktstellen durch das ständige Ein- und Ausschieben Verschleiss auftritt, wird sich jedoch nie vermeiden lassen.
Sonst bin ich sowohl mit dem Ding als auch mit dem dabei erworbenen und durchaktualisierten moneyplex hochzufrieden. Vor allem der Support von Matrica ist schlicht einmalig.
Sehe gerade, dass es Moneyplex für alle 3 Betriebssysteme gibt, sogar für Mac... das war afair nicht immer so. Nur die Liste der unterstützten Banken sieht derzeit noch etwas überschaubar aus: http://www.matrica.de/produkte/mpbanken.html
Vor zwei Jahren hat das Ding zwar mal rumgemotzt, dass angeblich die Karte nicht eingelegt sei, weil die Kontaktfeder am unteren Ende ermüdet war und daher nicht mehr kontaktierte. Das lies sich aber mit einem vorsichtigen Zurückbiegen beheben, seitdem ziehe ich lediglich die Karte nach dem Abstecken wieder soweit heraus, dass die Feder nicht ständig angespannt ist.
Das klingt ganz vernünftig. Man weiß bei den Negativ-Rezensenten natürlich auch nie, wie geschickt oder wie pfleglich sie mit ihrem Gerät umgegangen sind...
Sehe gerade, dass es Moneyplex für alle 3 Betriebssysteme gibt, sogar für Mac... das war afair nicht immer so.
Ja nje snaju;-)
Die Linuxtauglichkeit war der Grund, es anzuschaffen, es gibt zum Testen noch Alternativen wie Gnucash, Hibiscus usw. Hibiscus scheint auch nicht schlecht zu sein und gibt es auch für den Apfel:
Die Sparda-Banken nutzen m.E. durchgehend HBCI mit PIN/TAN:
Hatte ich schon gesehen. Schade, dass die nicht auch auf die anderen Techniken setzen, mehr Flexibilität hätte ich besser gefunden.
An GNUcash kann ich mich dunkel erinnern, schon davon gehört zu haben, aber Hibiscus sagt mir gar nichts. Was mir daran nicht gefällt: es ist eine Art "Huckepack"-Software, man muss sich erst einmal die Jameica-Software installieren, dann Hibiscus als Plugin dazu. Das finde ich konzeptionell erst einmal nicht so schön.
Spontan hätte ich zu Moneyplex das meiste Vertrauen. StarMoney ist wohl der größte Anbieter, über den wird allerdings auch öfter mal gemeckert. Ist evtl. eher was für Fortgeschrittene...
Das Problem Systembremse, an völlig unerwarteter Stelle nichtfunktionierender Kram auf dem PC, false positives und damit verbunden die Grenzen des kommerziellen Schlangenöls
...finde ich in Summe deutlich gravierender als die Vorteile eines Kaspersky-Spezial-Browsers extra für Online-Banking. Zumal es, wie besprochen, gute Alternativen gibt, und es es nur ein "Privates Fenster" im bevorzugten Browser.
Die DKB gestattet das alte "Papier- TAN" (welches ich ausschließlich nutze), pushTAN oder chipTAN.
Oder, wenn gewünscht mehrere dieser Verfahren zugleich.
Ich bleibe bei meiner Liste.
Quintessenz: das neue(!) iTAN-Verfahren ist jetzt noch sicherer, weil alle TANs durchnummeriert sind und nur die jeweils aufgerufene Nummer genutzt werden kann
Am Anfang war es ja noch egal, welche der 100 TANs man verwendete - da hatte der Kunde freie Hand. Einzige Bedingung: Er konnte eine bereits verwendete TAN nicht nochmals nutzen.
Dann ging man zu einer Nummerierung der 100 TANs über und die Bank teilte bei einer Online-Überweisung mit, welche Nummer jetzt verwendet werden sollte. War zwar etwas sicherer, löste das Problem aber nicht grundsätzlich.
Da ist die Sparda-Bank wohl noch auf den alten Stand von Anno dazumal, wenn sie auch jetzt noch solche Aussagen macht. ;-)
Nun gut, ich hatte deinen vorigen Beitrag so verstanden, dass das TAN-Verfahren generell ein Auslaufmodell ist, also mit TAN als Sammelbegriff für iTAN, mTAN etc.
Nein, so ist das nicht. Das mTAN-Verfahren ist schon DAU-sicherer.
Knacken lässt sich das zwar auch, wenn z.B. ein Krimineller die Logindaten zum SIM-Kartenanbieter hat und dort eine neue SIM-Karte unter der selben Mobilfunknummer anfordert, weil das alte Handy entweder verloren gegangen oder die SIM-Karte unbrauchbar geworden sei.
Aber auch das geht nur, wenn er eine andere Versandadresse für die Zustellung der Ersatz-SIM-Karte angeben kann.
Wie steht's denn eigentlich mit dem "sicheren Browser", den Kaspersky bei Bankgeschäften zur Verfügung stellt ?
Ich bin da gespalten und würde eher mit "Jein" antworten.
Für den unbedarften User mag es, insgesamt betrachtet, ein zusätzlicher Sicherheitsgewinn sein, weil Kaspersky vor gefakten Bankingseiten warnen würde.
Für mich wäre es nichts, weil ich zusätzliche Software im Browser hätte, die irgendwann im Zusammenspiel mit anderen Addons problematisch werden könnte. Das könnte z.B. durch eine Aktualisierung meines Browsers geschehen.
Für mich wäre es nichts, weil ich zusätzliche Software im Browser hätte, die irgendwann im Zusammenspiel mit anderen Addons problematisch werden könnte.
Genau das würde mich auch stören. Und gefakedte Bankseiten lassen sich leicht vermeiden, indem man die URL direkt abtippt und sich nicht auf irgendwelche windigen Links verlässt.
Am Anfang war es ja noch egal, welche der 100 TANs man verwendete - da hatte der Kunde freie Hand. Einzige Bedingung: Er konnte eine bereits verwendete TAN nicht nochmals nutzen.
Ja, so war das, als ich AFAIR 2004 mit dem Online-Banking angefangen habe. Wollte ich vorher nicht haben... wenige Jahre später bekam ich eine neue TAN-Liste zugesandt, eben wegen der Einführung von iTAN mit den durchnummerierten TANs.
Diese Neuerung fand ich schon sinnvoll, denke aber, dass es die Sicherheit eher marginal verbessert hat.
Das mTAN-Verfahren ist schon DAU-sicherer.
Witzig, das hatte ich genau umgekehrt erwartet. Meine primitive Rechnung war: iTAN = Liste auf Papier = offline, unvernetzt = sicher. Dagegen: mTAN = Smartphone = Datenspioniergerät mit digitalem Streichelzoo [(c)2015-16 by fakiauso] = unsicher.
z.B. ein Krimineller die Logindaten zum SIM-Kartenanbieter hat und dort eine neue SIM-Karte unter der selben Mobilfunknummer anfordert
Aber auch das geht nur, wenn er eine andere Versandadresse für die Zustellung der Ersatz-SIM-Karte angeben kann.
Gruselige Vorstellung, nicht nur wegen Online-Bankings, dass Vodafone & Konsorten einem wildfremden Menschen eine neue SIM auf meinen Namen plus Rufnummer einfach mal so zusenden – und ich erfahre davon noch nicht einmal etwas...
Meine primitive Rechnung war: iTAN = Liste auf Papier = offline, unvernetzt = sicher.
In den Händen eines umsichtigen Users ist es ja auch sicher - nur nicht vor dem Hintergrund der gesamten Gruppe der Online-Banking-Kunden. Da gibt es einfach zu viele Ausreißer.
Deshalb schrieb ich ja auch: DAU-sicherer. ;-)
Dagegen: mTAN = Smartphone = Datenspioniergerät mit digitalem Streichelzoo [(c)2015-16 by fakiauso] = unsicher.
Ich glaube, da muss man zwischen dem reinen Online-Banking vom Smartphone aus und dem lediglichen Empfang der TAN-SMS differenzieren.
Im letzteren Fall müssten schon beide Geräte (Smartphone und Rechner) befallen sein, um eine Onlimne-Überweisung abzufangen und auf ein anderes Konto umzuleiten.
Hinzu kommt, dass eine Bank es natürlich merkt, ob von zwei verschiedenen Rechnern und von zwei verschiedenen Standorten(!) auf ein und dasselbe Konto zugegriffen wird.
Ein ausspioniertes Smartphone weiß ja erst ab dem Moment von einer SMS-TAN, sobald diese SMS eingeht. Das jedoch kann nur erfolgen, wenn bereits ein anderer Rechner bei dieser Bank eingeloggt ist...
Ich glaube, da muss man zwischen dem reinen Online-Banking vom Smartphone aus und dem lediglichen Empfang der TAN-SMS differenzieren.
Definitiv! mTAN heißt für sich genommen ja nichts weiter, als dass man die TANs per SMS aufs Handy empfängt (muss noch nicht einmal ein Smart-Schnüffler sein). Wenn dann auch noch eine Banking-App mobil genutzt wird, noch dazu auf demselben Gerät, kann die arme mTAN ja nichts dafür ;-)
Hinzu kommt, dass eine Bank es natürlich merkt, ob von zwei verschiedenen Rechnern und von zwei verschiedenen Standorten(!) auf ein und dasselbe Konto zugegriffen wird.
Bei ebay habe ich es schon erlebt, dass die "gemeckert" haben, wenn ich mich von einem anderen Rechner am anderen Standort aus eingeloggt hatte.
Die Sparda stört sowas anscheinend nicht...
Ein ausspioniertes Smartphone weiß ja erst ab dem Moment von einer SMS-TAN, sobald diese SMS eingeht. Das jedoch kann nur erfolgen, wenn bereits ein anderer Rechner bei dieser Bank eingeloggt ist...
So hatte ich mir das ursprünglich auch vorgestellt. Da wir so oder so nicht in einer perfekten Welt leben, wird es eine "absolute" Sicherheit natürlich nie geben.
Also ich betreibe mein Onlinebanking schon seit BTX Zeiten. Am Anfang mit den per Post zugeschickten TAN Listen. Seit vielen Jahren jedoch mit einem eigenen Banking-Programm und einer HBCI-Karte mit Kartenleser mit eingebauter Tastatur.
Das kann ich auch nur jedem anraten, der oft Überweisungen und Bankgeschäfte Online durchführt. Alternativ das Bankix von der ct
Zum Thema Sicherheit: Alle auf dem "normalen" PC im "normalen" Browser laufenden Anwendungen sind m.E. per se unsicher und angreifbar. Erst Recht auf dem Mobiltelefon oder Tablet. Deshalb würde ich auch nur in seltenen Fällen TANs im Browser verwenden. Aber neimals mit dem gleichen Gerät arbeiten, auf dem ich auch die Tans bekomme oder die sogar in einer Liste abspeichere.
Mal davon ab, dass ein Providerwechsel auch mit normaler SIM funktioniert, wenn dann der Chip verreckt - oder man mag es sich nicht vorstellen, gar vorsätzlich abgeschaltet wird - kannst Du das ganze Telefon als Ansichtsexemplar in die Vitrine stellen und nicht nur die SIM-Karte zerschnippeln.
Bei vorsätzlich Abschalten klingelt bei mir noch ganz woanders ein zartes Glöckchen; ein solcherart 'getötetes' Spielzeug lässt sich nicht mal eben per Kartenwechsel wiederbeleben...
Tja, so ist das immer mit Dingen im IT-Bereich, die allzu praktisch und komfortabel sind – es geht eigentlich immer zu Lasten der Sicherheit.
kannst Du das ganze Telefon als Ansichtsexemplar in die Vitrine stellen und nicht nur die SIM-Karte zerschnippeln.
Ganz so schlimm wird es wahrscheinlich nicht kommen. Wenn man die eSIM von außen programmieren und auch abschalten kann, müsste es da auch eine Art Reparaturfunktion geben. Hoffentlich... ;-)
Keine Zahlung ist so wichtig, dass ich die SOFORT durchführen muss. Heimischer PC mit Bankprogramm über HBCI, SMS-TAN oder TAN-Generator und sonst nix. Alles andere ist was für Wichtigtuer oder Leute, die ihre Bestellungen nicht planen können