Viren, Spyware, Datenschutz 11.214 Themen, 94.187 Beiträge

News: Viren, Spyware, Datenschutz

Erneut gehackt: das pushTan-Verfahren bei der Sparkasse

Olaf19 / 59 Antworten / Flachansicht Nickles

Am Rande der 32C3 in Hamburg hat Vincent Haupert von der Uni Erlangen berichtet, wie es ihm innerhalb weniger Monate zum zweiten Mal gelungen ist, das pushTan-Verfahren der Sparkasse zu hacken – und wie simpel dies laut seiner Schilderung gewesen sein soll.

Natürlich wird die Sparkasse ihrerseits nachlegen und ein Update bringen, um die Sicherheitslücke zu schließen, doch am Ende, so Haupert, wird die Sparkasse das Katz-und-Maus-Spiel immer verlieren: der Fehler liegt im Gesamtkonzept. Online-Banking-App und TAN-Generation auf dem gleichen Gerät, das wird immer anfällig bleiben.

Die Zeit beschäftigt sich mit diesem Thema in einem ausführlichen Artikel.

Quelle: www.zeit.de

Olaf19 meint: Sich per SMS eine TAN aufs Smartphone schicken zu lassen, mag ja noch angehen – eine TAN ist eh nur ein "Wegwerfartikel", der in Sekundenschnelle verbraucht ist und danach nie wieder genutzt werden kann.

Aber das eigentliche Online-Banking auf eben diesem Gerät ausführen? – never ever.

Hinweis: Vielen Dank an Olaf19 für das Verfassen der News. Diese News stammt von einem Nickles.de-Teilnehmer. Die Nickles.de Redaktion übernimmt keine Verantwortung für den Inhalt und die Richtigkeit dieser News.

Bei Nickles.de kann übrigens jeder mitmachen und News schreiben. Dazu wird einfach in einem Forum ein neues Thema begonnen und im Editor die Option "News" gewählt.

"Das sind Leute, die von Tuten und Ahnung keine Blasen haben" (ein Reporter auf die Frage nach der politischen Bildung des typischen Anhangs von Donald Trump)
bei Antwort benachrichtigen
Olaf19 Bobby1234 „Naja, heute werden sie es nicht mehr machen, es gibt ja keine Bank mehr die sowas rausgibt - zumindest keine Bank, die ich ...“
Optionen

Bobby, deine Argumentation ist so überzeugend, dass ich eben nachgeschaut habe, wo ich mich vom "Papier-TAN"-Verfahren abmelden kann. Witzigerweise ist das Online gar nicht vorgesehen – ich kann mich nur zum Chip-TAN verfahren anmelden, meine mTAN-Handynummer ändern oder löschen sowie mir diese berüchtigte "SecureApp" bestellen.

Naja. Ich wundere mich eh, dass die Liste nach der langen Zeit nicht längst verbraucht ist. Werde bei der Sparda nachfragen, welche Möglichkeit es gibt, sich aus dem Verfahren auszuklinken. Danke.

Was habe ich mir den Zorn unserer Buchhalterinnen zugezogen, als ich nach den ersten Meldungen über Datenklau und Hacking diese EDV-TAN-Listen löschen lies und eine zuverlässige Kraft benannte, die nur noch Nummern aus der Papierliste vergeben durfte und diese im Tresor-Sonderfach verwahrte.

Denke, das hast du gut gemacht. Eine solche Aktion ist nicht nur aus fachlichen Gründen gut und richtig, sondern auch, weil die Bedeutung der Datensicherheit gerade bei heiklen Dingen wie Geldangelegenheit dadurch den Leuten ins Bewusstsein gerufen wird.

CU
Olaf

"Das sind Leute, die von Tuten und Ahnung keine Blasen haben" (ein Reporter auf die Frage nach der politischen Bildung des typischen Anhangs von Donald Trump)
bei Antwort benachrichtigen