Viren, Spyware, Datenschutz 11.212 Themen, 94.146 Beiträge

Verfolgung starten Optionen
News: Viren, Spyware, Datenschutz

Erneut gehackt: das pushTan-Verfahren bei der Sparkasse

Olaf19 / 59 Antworten / Flachansicht Nickles

Am Rande der 32C3 in Hamburg hat Vincent Haupert von der Uni Erlangen berichtet, wie es ihm innerhalb weniger Monate zum zweiten Mal gelungen ist, das pushTan-Verfahren der Sparkasse zu hacken – und wie simpel dies laut seiner Schilderung gewesen sein soll.

Natürlich wird die Sparkasse ihrerseits nachlegen und ein Update bringen, um die Sicherheitslücke zu schließen, doch am Ende, so Haupert, wird die Sparkasse das Katz-und-Maus-Spiel immer verlieren: der Fehler liegt im Gesamtkonzept. Online-Banking-App und TAN-Generation auf dem gleichen Gerät, das wird immer anfällig bleiben.

Die Zeit beschäftigt sich mit diesem Thema in einem ausführlichen Artikel.

Quelle: www.zeit.de

Olaf19 meint: Sich per SMS eine TAN aufs Smartphone schicken zu lassen, mag ja noch angehen – eine TAN ist eh nur ein "Wegwerfartikel", der in Sekundenschnelle verbraucht ist und danach nie wieder genutzt werden kann.

Aber das eigentliche Online-Banking auf eben diesem Gerät ausführen? – never ever.

Hinweis: Vielen Dank an Olaf19 für das Verfassen der News. Diese News stammt von einem Nickles.de-Teilnehmer. Die Nickles.de Redaktion übernimmt keine Verantwortung für den Inhalt und die Richtigkeit dieser News.

Bei Nickles.de kann übrigens jeder mitmachen und News schreiben. Dazu wird einfach in einem Forum ein neues Thema begonnen und im Editor die Option "News" gewählt.

"Das sind Leute, die von Tuten und Ahnung keine Blasen haben" (ein Reporter auf die Frage nach der politischen Bildung des typischen Anhangs von Donald Trump)
bei Antwort benachrichtigen
So richtig habe ich das mit den verschiedenen Arten der TAN noch immer nicht kapiert. Ich benutze eben noch eine TAN-Liste. ... jueki
Die benutze ich auch, genau wie von dir beschrieben, immer dann, wenn ich von zuhause eine Überweisung tätige also zu 90 ... Olaf19
Die Größenordnung ist bei mir exakt 100 . Und in diesem Falle - müßte mein PC ja wohl erfolgreich okkupiert worden ... jueki
Nun ja das kommt tagtäglich 1000fach vor... Ein solcher Jongleur ist mit Sicherheit ein attraktiveres Ziel als ... Olaf19
Eigentlich ist die Antwort darauf ganz einfach: Es gibt zu viele unbedarfte User, die auf Phishing-Mails reinfallen und ... shrek3
Dann geschieht es denen recht. Dümmlichkeit wurde schon immer bestraft. Jürgen jueki
Genau DAS ist das grosse Problem bei den TAN-Listen, zum Einen die dümmliche Eingabe der TAN-Listen in den Computer, damit ... Bobby1234
Machen das wirklich manche Leute? Ich meine, das ist doch eine fürchterliche Sisyphos-Arbeit, und fehleranfällig ... Olaf19
Naja, heute werden sie es nicht mehr machen, es gibt ja keine Bank mehr die sowas rausgibt - zumindest keine Bank, die ich ... Bobby1234
Bobby, deine Argumentation ist so überzeugend, dass ich eben nachgeschaut habe, wo ich mich vom Papier-TAN -Verfahren ... Olaf19
fakiauso Olaf19 „Erneut gehackt: das pushTan-Verfahren bei der Sparkasse“
Optionen

Damit nicht jeder das Fidscho zum Artikel aus dem Artikel der Zeit heraussuchen muss, verlinke ich das einfach direkt:

https://media.ccc.de/v/32c3-7360-un_sicherheit_von_app-basierten_tan-verfahren_im_onlinebanking#video

Aber das eigentliche Online-Banking auf eben diesem Gerät ausführen? – never ever.


Was genau das Problem daran ist, denn gerade das Übertragen einer TAN auf ein Mobilgerät dient m.E. in den meisten Fällen dazu, auf genau demselben Ding eine Transaktion durchzuführen, möglichst noch mit derselben App;-)
Das wird von den Banken auch noch als einfach, schnell und sicher bezeichnet.

https://www.sparkasse.de/service/sicherheit-im-internet/tan-verfahren.html

Zitat daraus:

Sie benötigen nur ein Gerät, um auf Ihr Konto zugreifen und Geld überweisen zu können.


Möp - verloren!

Denn welchem anderen Zweck sollte es schliesslich dienen, wenn man von unterwegs auf die Schnelle eine TAN anfordert, als stante pede etwas zu überweisen?
Die Klientel, welche das Verfahren nutzt, dürfte sich wie so oft in solchen Fällen in den wenigsten Fällen eine platte machen, ob und was da schiefgehen kann - Hauptsache es ist einfach.

Das Verfahren TAN ist schon immer 'riskant' gewesen und der Angreifer hat nichts zu verlieren. Entweder seine abgefangene und umgebogene TAN führt das Überweisen auf ein Konto seiner Wahl durch oder eben nicht. Geht es schief, hat er auch nichts eingebüsst, der eigentliche Kunde bei Erfolg aber auf jeden Fall.
Ganz so einfach dürfte es zwar nicht sein, als das Jeder so mir nichts - Dir nichts sich mal danebenstellt und dann im Akkord TAN abfischt und fleissig Geld umschichtet.
Für Online-Geschäfte sollte man möglichst immer eine separate Software verbunden mit HBCI nutzen. Smartphone ist da so ziemlich das dämlichste aller Mittel, weil ausser der Doppel-App auch noch andere Apps mit Vollzugriff auf dem Teil vorhanden sein könnten und Google plus Anhang sowieso mitliest.
Die juckt zwar die TAN, die Bank und das Verfahren weniger, dafür mehr die Summen und Wege der Kohle - also mehr so auf Meta-Ebene, noch dazu wenn vom gleichen Smartphone vielleicht zufällig in einem Internetshop gerade ein Kauf getätigt wurde oder so, also so irgendwie jedenfalls oder so...

"Anyone who believes exponential growth can go on forever in a finite world is either a madman or an idiot (or an economist)" - Hellsongs
bei Antwort benachrichtigen
Kann ich für mich nicht bestätigen ich habe die mTANs ausschließlich dazu benutzt, wenn ich unterwegs Online-Banking ... Olaf19
Da kannst Du auch ein uraltes Nur-Handy für die SMS nehmen und den Smartföhn für die Banking-App. Damit hast Du die ... fakiauso
Würde gehen, aber dann müsste ich für die paar Fälle im Jahr, wo ich nicht von zuhause aus überweise, immer auf ... Olaf19
Da gültet der Unsicherheitsfaktor Mensch, der die Liste plus Zugangsdaten an s schwarze Brett nagelt - aber die kann auch ... fakiauso
Ich arbeite jetzt schon seit vielen Jahren nur noch mit HBCI plus Kartenleser, da ist keine Tan mehr nötig die abgemischt ... soppiy
Ich auch nicht. Mit Tan-Liste oder iTan auf Nur-Handy, ganz normal über online-Banking bei der Bank. Seit knapp 17 Jahren ... gelöscht_323936
Das ist nartürlich richtig, für ein sichers Banking muß auch der PC sicher sein und auch Brain 1.0 nie vergessen nicht ... soppiy
Mache ich ebenfalls mindestens genau so lange wie du. Mir ist dabei noch nie weder seinerzeit ein Pfennig noch nach ... gelöscht_312237
Na, ganz so ist das nicht. Und App mitsamt Tan auf einem Smartphone - mich gruselts. Ich weiß mit dem Smartphone immer ... gelöscht_323936
Schitte bön - Alle Videos findest Du bei Interesse hier:https://streaming.media.ccc.de/32c3/relive/ Jetzt habe ich wieder ... fakiauso
Da bin ich bei. Internetbanking läuft bei mir problemlos mit mTAN. Die TAN kommt auf einem sehr alten Handy an. Das Ding ... gelöscht_305164
@shrek faki, ich mach dann mal hier weiter - Liste plus Zugangsdaten ans schwarze Brett nageln, TAN-Liste bei Einbruch ... Olaf19
Eben - für Dich und andere, die sich mit der Materie schon aus PC-Interesse heraus befassen - Es geht um die ... fakiauso
Das ist der Grund dafür, warum ich bei diesem Thema immer so hartnäckig nachfrage. Insbesondere, da die ... Olaf19
Prosit zurück - an Dich und alle! Für mich ebenfalls. Und ich schmunzel darüber, was da so alles an Gefahren angedroht ... jueki
Tools zu installieren halte ich eh für problematisch, da dies ihrerseits wieder nur Programme sind, die wie jede Software ... Olaf19
Persönlich hatte ich keinerlei Probleme mit der TAN-Liste. Mir war aber klar, dass es nur eine Frage der Zeit sein würde, ... shrek3
Ich komme zwar nur auf 1400 Kunden, aber ich weiß, was du meinst - ...0,01 sind ein Zehntausendstel... Ja, es ist ein ... Olaf19
Die per Post zugestellte und durchnummerierte TAN-Liste haben nur noch sehr wenige Banken. Die Postbank z.B. hat schon vor ... shrek3
Bei der Sparda-Bank habe ich beides, iTAN auf Papierliste zuhause und mTAN für unterwegs was natürlich selten gebraucht ... Olaf19
Aus den Verfahren, welche die Sparda anbietet, empfehle ich das ... fakiauso
Eigentlich sollte ich mein Gyros-Konto bei der Sparda sofort kündigen aus Solidarität mit den gutgläubigen Kunden, die ... Olaf19
Ach i wo - da kommst Du auch nur vom Regen in die Traufe, weil das sicher viele Banken mit anbieten - Von den ... fakiauso
So schaut s aus... Demnach wäre so etwas wie Bankix für dich hinter HBCI samt Lesegerät die 2. Wahl und der Privatmodus ... Olaf19
So in der Art. HBCI umgeht den kritischen Teil Browser ... fakiauso
Diese Reiner-Geräte hatte ich mir vor ca. 1 Jahr einmal auf Amazon angeschaut und war ehrlich gesagt ein wenig abgestoßen ... Olaf19
Bei mir war der Umstieg auf HBCI 2009 und der damals gekaufte Kartenleser hat bis jetzt durchgehalten. Vor zwei Jahren hat ... fakiauso
Sehe gerade, dass es Moneyplex für alle 3 Betriebssysteme gibt, sogar für Mac... das war afair nicht immer so. Nur die ... Olaf19
Ja nje snaju - Die Linuxtauglichkeit war der Grund, es anzuschaffen, es gibt zum Testen noch Alternativen wie Gnucash, ... fakiauso
Hatte ich schon gesehen. Schade, dass die nicht auch auf die anderen Techniken setzen, mehr Flexibilität hätte ich ... Olaf19
Und auf dem Apfel nicht vollwertig im Vergleich zur Windows-Version:https://www.starmoney.de/index.php?id starmoney-mac ... fakiauso
http://www.macwelt.de/produkte/Homebanking-Programm-Test-Star-Money-fuer-Mac-7308492.html scheint gewaltig abgespeckt ... Olaf19
...finde ich in Summe deutlich gravierender als die Vorteile eines Kaspersky-Spezial-Browsers extra für Online-Banking. ... Olaf19
Die DKB gestattet das alte Papier- TAN welches ich ausschließlich nutze , pushTAN oder chipTAN. Oder, wenn gewünscht ... jueki
Am Anfang war es ja noch egal, welche der 100 TANs man verwendete - da hatte der Kunde freie Hand. Einzige Bedingung: Er ... shrek3
Wie steht s denn eigentlich mit dem sicheren Browser , den Kaspersky bei Bankgeschäften zur Verfügung stellt ? hanshh
Ich bin da gespalten und würde eher mit Jein antworten. Für den unbedarften User mag es, insgesamt betrachtet, ein ... shrek3
Genau das würde mich auch stören. Und gefakedte Bankseiten lassen sich leicht vermeiden, indem man die URL direkt ... Olaf19
Funktioniert aber auch nur solange, wie trotz richtigen Eintippens der Browser nicht auf eine falsche Seie umgeleitet ... shrek3
Ja, wenn der Rechner bereits gekapert wurde, kann man am Ende nichts mehr von dem glauben, was man auf dem Bildschirm ... Olaf19
Ja, so war das, als ich AFAIR 2004 mit dem Online-Banking angefangen habe. Wollte ich vorher nicht haben... wenige Jahre ... Olaf19
In den Händen eines umsichtigen Users ist es ja auch sicher - nur nicht vor dem Hintergrund der gesamten Gruppe der ... shrek3
Definitiv! mTAN heißt für sich genommen ja nichts weiter, als dass man die TANs per SMS aufs Handy empfängt muss noch ... Olaf19
Also ich betreibe mein Onlinebanking schon seit BTX Zeiten. Am Anfang mit den per Post zugeschickten TAN Listen. Seit ... RW1
Moin Ralf, ein Prosit 2016 auch an dich! Der Tipp mit Bankix klingt gut. Das läuft auch auf dem Mac: ... Olaf19
Das Problem wird sich bald lösen, wenn es nach bestimmten Leuten ... fakiauso
Tja, so ist das immer mit Dingen im IT-Bereich, die allzu praktisch und komfortabel sind es geht eigentlich immer zu Lasten ... Olaf19
Vollste Zustimmung, sh. mein Beitrag weiter oben Keine Zahlung ist so wichtig, dass ich die SOFORT durchführen muss. ... Bobby1234