News Online Banking mit mTan-Verfahren nicht absolut sicher

[Paperhearts]

@Bloodie24,
Darum ging es nicht!
Und eine Tanliste lässt sich nur mit Hilfe einer TAN nachbestellen. Hättest du mein Riesenpost von Seite Sieben gelesen, wüsstest Du das!

@WhiteShark,
zurück gefragt. Wie will der Dieb den Login über das Onlineportal umgehen?

 

[WhiteShark]

Mein Handy ist weder mit Pin noch mit Sperrmuster gesichert, ist mir zu nervig. Werde da nicht der einzige sein.

Tjo, dann ist dies aber kein Sicherheitsproblem des Verfahrens, sondern des Nutzers der fahrlässig handelt.

 

[Paperhearts]

Tjo, dann ist dies aber kein Sicherheitsproblem des Verfahrens, sondern des Nutzers der fahrlässig handelt.

Ja, sag' blos.

 

[Bloodie24]

@Bloodie24,
Darum ging es nicht!
Und eine Tanliste lässt sich nur mit Hilfe einer TAN nachbestellen.

Wieviele Banken gibt es allein in Deutschland? Hast Du das für jede Bank nachgeprüft? Nein hast Du nicht.
Zum anderen kann man auch Tanlisten telefonisch oder über die Filiale bestellen...achja, schriftlich geht ja auch noch...unbegrenzte Möglichkeiten.

Diese muss vor Benutzung durch Eingabe einer TAN der bisherigen Liste freigeschaltet werden.

Wikipedia ist schön und gut, man sollte aber nicht davon ausgehen, dass alles dort korrekt ist.
Denn auch dieser Satz gilt halt nicht bei allen Banken.

@WhiteShark

Das habe ich auch nicht behauptet.
Wobei es sicher Leute gibt, die auch sowas knacken können bei einem Handy.

 

[Paperhearts]

@Bloodie24,
ja, hab ich gerade alle abgecheckt.

Und entschuldige, die TAN-Listen lassen sich nur mit Hilfe einer TAN freischalten/aktivieren.

Und mit telefonisch nachbestellen is auch nich. Dazu wird ein spezieller PIN benötigt/abgefragt um sich auszuweisen.
Und über die Filiale bestellen is auch nich. Da wird der Perso verlangt.
Schriftlich is auch nich. Nur mit Kopie des Perso.

So war es früher bei meiner Sparkasse, Volksbank und ist es heute bei der DiBa.

Nachtrag:
Du weißt aber schon, daß die Bank für den enstehenden Schaden haftbar gemacht werden kann.

 

[Bloodie24]

Und entschuldige, die TAN-Listen lassen sich nur mit Hilfe einer TAN freischalten/aktivieren.
Und mit telefonisch nachbestellen is auch nich. Dazu wird ein spezieller PIN benötigt/abgefragt um sich auszuweisen.

Hui, 3 Banken, das ist ja mal repräsentativ. Super und die anderen paar hundert Banken?
Ich habe (aktuell) Girokonten bei 4 Banken und ich weiss nunmal aus eigener Erfahrung, dass
... nicht bei jeder Banke ine alte Tan gebraucht wird, um eine neue Liste zu aktivieren (wäre ja auch schwierig, wenn die alte verloren ging)
... manchen Banken auch telefonisch Tanlisten Bestellungen annehmen.
... wäre es mir neu, wenn meine Banken eine Kopie des Persos für schriftliche Aufträge benötigen. Es wird die Unterschrift geprüft.

Also ich kenne keine Bank, die spezielle Pins nur zum Bestellen von Tans vergibt. Welche sind das, die Du da kennst?


Edit:

Und entschuldige, die TAN-Listen lassen sich nur mit Hilfe einer TAN freischalten/aktivieren.

Nur mal ein Beispiel:
Netbank:

Muss ich meine iTAN-Liste freischalten?

Nein. Sie können Ihre iTAN-Liste sofort verwenden. Nach Verbrauch von 75 % Ihrer iTANs aus Ihrer aktuellen iTAN-Liste bekommen Sie automatisch eine neue iTAN-Liste zugeschickt. Die Freischaltung ist hier ebenfalls nicht erforderlich.

http://www.netbank.de/nb/girokonto_hilfe.jsp

Noch Fragen? Dann frag lieber Leute, die sich auskennen und vertraue Wikipedia nicht blind.
Ist genauso schlecht, wie einem Sicherheitsverfahren blind zu vertrauen :-)

Für welchen Schaden kann die Bank haftbar gemacht werden?
Für Gewissheit, wer haftet muss man schon ein Gericht bemühen, das wird in den meisten Fällen vermieden. Schlechte Presse soll vermieden werden.

 

[Paperhearts]

DiBa, Sparkasse in meinem früheren Wohnort. Dass spezielle Telefon-PIN verwendet werden, ist nicht nur bei Banken üblich.
Hier geht es um Sicherheit. Leider scheinst du keinen blassen Schimmer zu haben.

Nachtrag:
Ach, Du kappierst ja garnicht was ich schreibe.

Nachtrag2:
Auf Wikipedia steht nichts übers Freischalten! Ich hab die Drei Verfahren teils überschneidend bei drei Banken durch. Und wenn die Netbank überall so fahrlässig handelt und neue nicht freigeschalten werden müssen weiß man wenigstens schon mal dass die Mist ist.

Und haftbar kann die Bank für Fahrlässigkeit gemacht werden. Desshalb auch die Vorsicht mit den TAN-Listen.

 

[Bloodie24]

DiBa, Sparkasse in meinem früheren Wohnort. Dass spezielle Telefon-PIN verwendet werden, ist nicht nur bei Banken üblich.
Hier geht es um Sicherheit. Leider scheinst du keinen blassen Schimmer zu haben.
Nachtrag:
Ach, Du kappierst ja garnicht was ich schreibe.

Oha, manche Leute wissen einfach nicht, wann sie aufhören sollten und machen sich nur weiter lächerlich.
NEIN, nicht alle Banken haben getrennte Telefon und Onlinebanking PINs. Darunter mind. 2 von meinem 4 Banken. Glaube eine weitere auch noch, aber dort habe ich noch nie angerufen.

Stimmt, ich kapier nicht, was Du schreibst, weil es schlicht und einfach falsch ist. Ich kann nicht verstehen, wie man etwas behaupten kann, das nachweisslich falsch ist.
Du hattest eine Diba Filiale in Deinem Ort? Wo hast denn gewohnt?

Woher hast Du Dein unglaubliches, mir vollkommen überlegenes, Wissen über Banken und ihre Sicherheitsmassnahmen?

Grad nochmal meine Freundin gefragt, die bei einer der grossen Privatbanken in der Filiale tätig ist. Wenn ein Kunde bei Ihr anruft und eine neue Tanliste wünscht und sie erkennt den Kunden nicht anhand der Stimme, fragt sie gewisse persönliche Daten ab und bestellt dann die Tanliste. Nix mit Perso oderso.

 

[Paperhearts]

Vielleicht solltest Du dich auch mal mit der deutschen Grammatik auseinandersetzten.

DiBa, Sparkasse in meinem früheren Wohnort

Aufzählung, mit Komma getrennt. „In meinem früheren Wohnort“ muss sich nicht zwangsläufig auf DiBa beziehen. Bisschen denken…

Und woher mein Dir überlegenes Wissen kommt? Hauptsächlich aus Erfahrung und dass ich mich noch gestern Abend mit einem Kumpel und Sparkassenmitarbeiter unterhalten habe [Vorsicht: Der Kumpel und Sparkassenmitarbeiter sind ein und dieselbe Person].

 

[Bloodie24]

Ohja, entschuldige, dass ich so blöd war, Deine Formulierung nicht richtig interpretiert zu haben, Schön, das es so schlaue Menschen wie Dich gibt. Schon komisch, dass ich mein Abi trotz meiner Grammatikschwäche bekommen habe.

Deine Erfahrungen mit Deinen Banken, die Du bis jetzt genutzt hast und das Wissen Deines Sparkassenkumpels (Filialmitarbeiter oder Mitarbeiter in der Sicherheitsabteilung?) bedeuten natürlich, dass Du ALLES darüber weisst. Ich entschuldige mich nochmals.
Trotz dieses umfassenden Wissen, das Du Dir somit angeeignet hast, habe ich, es tut mir schon wieder Leid, etwas mehr Ahnung von der Materie als Du.

Ich werd mal den Wikipediaartikel korrigieren.

Edit:
Mache ich doch nicht, da dieser Satz dort gar nicht steht, sondern von unserem "Experten" selbst stammt:

Diese muss vor Benutzung durch Eingabe einer TAN der bisherigen Liste freigeschaltet werden.

 

[BlubbsDE]

Und entschuldige, die TAN-Listen lassen sich nur mit Hilfe einer TAN freischalten/aktivieren.

Das ist einfach Falsch. Ich habe nunmehr TAN Block 32 in Benutzung. Und seit mindestens 10 TAN Blöcken muss ich den neuen TAN BLock nicht mehr mit einer TAN des alten freischalten. Das musste ich früher. Heute muss ihn in der Form freischalten, dass ich einfach die betreffende TAN Block Nummer im Online Banking eintrage.

 

[Bloodie24]

Danke :-)

 

[smuper]

Grad nochmal meine Freundin gefragt, die bei einer der grossen Privatbanken in der Filiale tätig ist. Wenn ein Kunde bei Ihr anruft und eine neue Tanliste wünscht und sie erkennt den Kunden nicht anhand der Stimme, fragt sie gewisse persönliche Daten ab und bestellt dann die Tanliste. Nix mit Perso oderso.

Das liegt so ziemlich im Ermessen der Berater. Der Versand erfolgt immer noch an die hinterlegte Adresse. Das Risiko auf dem Postweg wird in Kauf genommen, ist ja bei Kreditkarten oder Girokarten nicht anders. (Außer das hier 2 Briefe abgefangen werden müssen)

Im Endeffekt ist die Diskussion über dieses antike Verfahren eh müssig. Egal wie eine Folgeliste aktiviert werden muss, egal wie man sie abfängt oder bestellt, es reicht ein einfacher Trojaner und das Verfahren ist ausgehebelt. Punkt aus.

 

[TrollzZz0r]

Das solche News immer kommen wenn man sich vor ein paar Minuten etwas via mTan-Verfahren bestellt hat, naja was will man machen nun ändert es auch nichts mehr. 100% Sicher ist aber nichts, nicht mal Netzhautscanner!

 

[Bloodie24]

Gewisse Vorgaben haben die Berater, wird auch von Bank zu Bank verschieden sein.
Es werden so manche Risiken, wie eben der Postweg, von den Banken in Kauf genommen.
Die Gründe sind einfach, einmal die Kosten, zum anderen der Kunde, der es möglichst einfach und komfortabel haben möchte.
Sonst wären die Tanlisten längst Geschichte.

 

[UNDERESTIMATED]

Und wie will der Dieb die PIN und Sperrmuster des Handys umgehen?

Wenn das Gerät ohne wipe temporär zu rooten geht ( afaik jedes Samsung Droid zb.) ne Sache von nichtmal 2 Minuten.

Man braucht einem da nur die TAN-Liste zu klauen und hat Universal-TANs für jede Transaktion.
Bei SMSTan ist das etwas komplizierter. Da braucht es schon einen Trojaner auf dem Smartphone und müsste sich noch dazu mit dem Smartphone ins Banking einloggen, da derjenige ja sonst weder Kontonummer noch Passwort hat.
Der Trojaner müsste die SMS dann abfangen bevor man sie selbst ließt.

[...]

SMS-Tan ist ein sichereres Verfahren und wird nur unsicher wenn der Betroffene fahrlässig handelt.

Weil man ja auf seine TanListe auch die Kontologindaten schreibt....

Selbst mal angenommen mir klaut jemand das Portmonnaie und da wäre die TanListe drin, gesetz erstmal man wär so unschlau die darin mitzunehmen hat der Dieb zwar evtl. meine Kontonummer(n) aber dennoch keinerlei OnlineLogin. Und was glaubst du wie schnell die Sperrung durch ist wenn die Geldbörse weg ist. Sicherlich kämen die allerwenigsten auf den Gedanken ihre Sim und das Handy (sofern machbar) zu sperren weil sie SMS TAN haben.

TanListen sind sicherer. Alles Papier der Welt ist sicherer Verwahr oder gegen Einsicht verschlüssel- oder versteckbar als ein dauernd ungefragt rumfunkender Taschencomputer.

Und ganz im Ernst: Zuhause lag die TanListe im abgeschlossenen Schreibtisch - wenn ich sie unterwegs brauchte hab ich die in einem Textdokument umgedreht abgeschrieben und ausgedruckt (Also bei 99 Tans Nummer 1 als 99 und andersrum). Bis das jemand raus gehabt hätte wäre eh Feierabend gewesen.

Hab ich dein Smartphone und betreibst du damit Banking hab ichn Jackpot, früher brauchtest du wenigstens die Liste UND das Device. 2 Wege Authentifizierung ist/war schon immer besser.

 

[smuper]

Nicht noch einer von der Sorte ...

TAN und iTAN + Trojaner auf deinem Rechner -> Böse

Trojaner auf deinem Rechner + mTAN -> Ohne Schadsoftware auf dem Smartphone sicher.


TAN und iTAN = Generalschlüssel

mTAN = Zweckgebundene - nur für eine bestimme Transaktion nutzbare - Transaktionsnummer.


Schlussfolgerung -> mTAN sicherer als TAN iTAN


Trotzdem ist mTAN angreifbar, daher ist HBCI mit Card Reader Class 3 oder ChipTAN anzuraten!

 

[Autokiller677]

@das_mav:

Ich verweise hier mal auf einen früheren Post von mir: https://www.computerbase.de/forum/t...t-absolut-sicher.1237485/page-6#post-14318059
TAN Listen sind bei einer sinnvollen Betrachtung aller gängigen Verfahren das unischerste. Punkt. mTan ist solalla und ChipTan optic sonstwie das sicherste was es im Moment gibt (bzw. HBIC, wobei ich da dem Braten nicht ganz Traue weil mans mit dem PC verbinden muss).

Bei einer TAN Liste muss der böse Bube nichtmal an dich ran. Nicht dein Handy klauen, deine Geldbörse oder sonstwas. Trojaner auf den PC (passiert selbst vorsichtigen Menschen, da auch renommierte Seiten mal gehackt werden, z.B. das DSLR-Forum vor einem Jahr oder so). Trojaner verändert die Host Datei, so wirst du auf die Phishing Seite umgelenkt, ohne dubiose Links anzuklicken, die Adresse stimmt auch, alles gut. Böser Mann lässt dich schön eine Überweisung ausführen, schnappt sich Passwort und die TAN und führt dann auf dem Bankserver mit der TAN eine Überweisung aus - blöd halt das die TANs Universallschlüssel sind. iTAN ist dann schon etwas besser, da müsste er halt die Überweisung im Hintergrund schon ausführen und genau die verlangte iTAN von dir abfragen. Ist aber auch noch einfach.

TAN / iTAN ist das unsicherste Verfahren aktuell. Punkt und aus.

 

[Dr. MaRV]

mTAN oder SMSTan ist seit jeher nicht sicher, Artikel und Berichte über Missbrauch gab es schon vor Jahren. Warum das jetzt wieder neu aufgekocht wird...?

Mich würde vielmehr interessieren wie es um das ChipTAN-Verfahren steht. Meine Bank hat mich vor über einem Jahr gezwungen darauf umzusteigen, das Gerät dafür durfte ich selbst bezahlen, den Betrag hat man einfach von meinem Konto abgebucht.

 

[Micha45]

Ich bekam das Gerät von meiner Bank kostenfrei zur Verfügung gestellt.
Das ChipTan-Verfahren soll, laut Auskunft meiner Bank, das sicherste von allen Verfahren sein. Die TANs werden ja per Zufallsgenerator erzeugt, außerhalb des Bankservers.
Wenn dabei jemand an die Bankdaten gelangen will, muss er wohl den gesamten Server der Bank entern.
Und ob das so einfach geht, kann ich mir nicht vorstellen.