Viren, Spyware, Datenschutz 11.212 Themen, 94.154 Beiträge

News: Viren, Spyware, Datenschutz

Erneut gehackt: das pushTan-Verfahren bei der Sparkasse

Olaf19 / 59 Antworten / Flachansicht Nickles

Am Rande der 32C3 in Hamburg hat Vincent Haupert von der Uni Erlangen berichtet, wie es ihm innerhalb weniger Monate zum zweiten Mal gelungen ist, das pushTan-Verfahren der Sparkasse zu hacken – und wie simpel dies laut seiner Schilderung gewesen sein soll.

Natürlich wird die Sparkasse ihrerseits nachlegen und ein Update bringen, um die Sicherheitslücke zu schließen, doch am Ende, so Haupert, wird die Sparkasse das Katz-und-Maus-Spiel immer verlieren: der Fehler liegt im Gesamtkonzept. Online-Banking-App und TAN-Generation auf dem gleichen Gerät, das wird immer anfällig bleiben.

Die Zeit beschäftigt sich mit diesem Thema in einem ausführlichen Artikel.

Quelle: www.zeit.de

Olaf19 meint: Sich per SMS eine TAN aufs Smartphone schicken zu lassen, mag ja noch angehen – eine TAN ist eh nur ein "Wegwerfartikel", der in Sekundenschnelle verbraucht ist und danach nie wieder genutzt werden kann.

Aber das eigentliche Online-Banking auf eben diesem Gerät ausführen? – never ever.

Hinweis: Vielen Dank an Olaf19 für das Verfassen der News. Diese News stammt von einem Nickles.de-Teilnehmer. Die Nickles.de Redaktion übernimmt keine Verantwortung für den Inhalt und die Richtigkeit dieser News.

Bei Nickles.de kann übrigens jeder mitmachen und News schreiben. Dazu wird einfach in einem Forum ein neues Thema begonnen und im Editor die Option "News" gewählt.

"Das sind Leute, die von Tuten und Ahnung keine Blasen haben" (ein Reporter auf die Frage nach der politischen Bildung des typischen Anhangs von Donald Trump)
bei Antwort benachrichtigen
Bobby1234 shrek3 „Eigentlich ist die Antwort darauf ganz einfach: Es gibt zu viele unbedarfte User, die auf Phishing-Mails reinfallen und ...“
Optionen

Genau DAS ist das grosse Problem bei den TAN-Listen, zum Einen die dümmliche Eingabe der TAN-Listen in den Computer, damit man ja nicht suchen muss (Faulheit)  und das andere Problem ist die Unsicherheit, denn die TAN-Listen werden zwar zentral gefertigt (nicht bei der jeweiligen Bank) aber wer kennt schon, welche Schlawiner als IT's in diesen Zentralen arbeiten - die Banken weisen das natürlich weit von sich -, aber wenn Daten von Steuersündern gegen Geld aus den Datenbänken zu Steuerbehörden finden, warum sollten nicht TAN-Listen gegen Geld an Ganoven verhökert werden.

Also vorgefertigte TAN-Listen heute noch zu verwenden ist NO GO. Ich schwöre auf  den TAN-Generator oder auf TAN auf Handy, aber dann ohne Bankgeschäfte über Handy.

Wobei ich mich frage, was es für Gründe gibt, Bankgeschäfte überhaupt am Handy/Smarphon etc. zu tätigen. Keine Zahlung ist so eilig, dass sie nicht bis zur nächsten Sitzung am heimischen PC Zeit hat. Wobei ich selbst hier nur mit bankeigenen Bankprogramm arbeite, dies auf einen Stick einschl. der Daten gespeichert habe und der Stick sofort nach Beendigung der Bankgeschäfte entfernt wird. Selbst wenn einer meinen Computer hackt, findet er weder Bankadressen noch Bankdaten, wenn er nicht zufällig in dem Zeitraum rankomt, wo der Stick aktiv ist.

Ich weiss, wovon ich rede, ich bin aus der Finanzbranche.

bei Antwort benachrichtigen