Gerichtsurteil zu unsicherem pushTAN-Verfahren

[prayhe]

Bei pushTAN existiert ja gar keine TAN welche noch im Onlinebanking eingegeben werden muss.
Aus versehen in der App die Anfrage bestätigt und futsch ist das Geld. Allerdings müsste die Dame das dann ja sogar 2x hintereinander aus versehen gemacht haben (Anmeldung und dann Bestätigung der Überweisung).

Sage doch, dass es das das unsicher ist.

Bei der Sparkasse läuft das so: Benachrichtigung kommt -> Ich tippe drauf und muss ich Authentifizieren um die App zu öffnen -> Auftrag prüfen und anschließend einen Slider von links nach rechts ziehen zum Freigeben -> nochmal Authentifizieren. Bei anderen Banken wird es ähnlich sein. Das passiert nicht mal "aus Versehen"

 

[Smily]

Bei der DKB ähnlich. Da steht, "Möchten Sie den Auftrag über 100 € an Computerbase mit IBAN 1223 freigeben."
Wer das tut, sorry, Null Mitleid. Das ist kein Aus Versehen.

Die Chip TAN sind aber noch sicherer. Eben weil man den QR Code auf dem Monitor scannen muss.
Aber ... auch den kann ich screenshotten und dem Opfer am Telefon per Mail senden. Der authentifiziert und fertig. Sollte gehen.
Gegen Dummheit helfen die Systeme einfach nicht.

 

[DKK007]

Die Frage wäre ja, lässt sich da auch PushTan-SPAM auslösen, so das jemand irgendwann genervt doch frei gibt?

Beim MS Authenticator kam das ja schon vor.

https://www.heise.de/news/2FA-Micro...tching-fuer-Authenticator-scharf-8993901.html

 

[prayhe]

so das jemand irgendwann genervt doch frei gibt?

Gegen Dummheit helfen die Systeme einfach nicht.

 

[Smily]

Wer genervt die Authentifizierung frei gibt, dem ist aber auch nicht zu helfen. Das schreit doch auch nach Vorsicht.

Gib Autoschlüssel ... Gib Autoschlüssel ... Gib Autoschlüssel ... Gib Autoschlüssel ... Gib Autoschlüssel ... Gib Autoschlüssel ... Gib Autoschlüssel ... Gib Autoschlüssel ... Gib Autoschlüssel ... Gib Autoschlüssel ... Gib Autoschlüssel ... Gib Autoschlüssel ... Gib Autoschlüssel ... Gib Autoschlüssel ... Gib Autoschlüssel ... Gib Autoschlüssel ...

OK, hier ist mein Autoschlüssel

 

[kachiri]

In der App steht, zumindest bei der comdirect, ganz klar, was ausgelöst wird. Es steht sogar auch der Betrag mit dabei. Kann mir nicht vorstellen, dass das bei anderen Banken anders aussieht.
Die TAN über das extra Gerät mit Karte ist da ja auch nicht sicherer. Und nein, man braucht nicht unbedingt den "QR"-Code aus dem Online-Banking. Zumindest soweit ich mich erinnern kann, gab es immer auf einen "manuellen" Weg, indem man dann den Start-Code in das Gerät eingeben konnte über chipTAN. Dieses Scannen des Codes fand ich immer gruselig. Habe das irgendwann nur noch mit dem Start-Code gemacht.
Klar. Sind mehr Schritte und mehr Zeit zum überlegen, als einfach in einer App irgendeine Schaltfläche anzuklicken. Ändert aber letztlich nicht viel daran, dass hier die Kundin etwas rausgegeben hat, was sie niemals hätte rausgeben dürfen. Nicht einmal, wenn es wirklich ein Bankmitarbeiter gewesen wäre.

Bei SMS-TAN ist es ja ähnlich. Da steht in der Nachricht ganz klar, welcher Auftrag ausgelöst wird...

Ich kann verstehen, dass sich die Frau ärgert. Ich kann auch verstehen, dass fast 8.000 Euro kein Pappenstiehl sind. Aber für diesen "Verlust" die Bank verantwortlich zu machen, finde ich halt schwierig...
Hauptsache der Anwalt verdient noch gut dabei. Weil eigentlich ist das Urteil für mich absolut keine Überraschung.

Nicht das Verfahren ist unsicher. Der Mensch ist der Unsicherheitsfaktor Nr. 1. Hier halt auch wieder. Ich kann etwas auch über 20 Faktoren absichern. Wenn ich diese Faktoren bereitwillig selbst aushebele, bringt es halt nichts.

 

[Aduasen]

Man kann meiner Ansicht nach einfach nicht die Schuld auf die Bank schieben, wenn diese Sicherheitsprozeduren einbaut, die Benutzer aber alles tun, um diese eben NICHT vernünftig zu nutzen.
Zum Beispiel, indem sie ohne nachzusehen einfach alles freigeben, was da rein kommt.

Ergänzung (21. Februar 2025)

Der Mensch ist der Unsicherheitsfaktor Nr. 1.

Stellt sich auch immer wieder beim Umgang mit Computern heraus.
Haben wir hier täglich mehrfach.

 

[Geckoo]

Bequemlichkeit birgt eben häufig auch Gefahren.
In dem Fall einer TanApp bin ich sehr froh, dass ich nicht jedes mal den ganzen Kram mit den alten TanChips machen muss.
Gerade den technisch weniger versierten (älteren) Menschen, kann dadurch natürlich leichter eine Falle gestellt werden. Aber die Schuld sehe ich hier klar nicht bei der App. Jemand der per Telefon eine Tan weitergibt, macht im Zweifelsfall (mit etwas mehr Überredungskunst) auch den Kram mit dem TanChip.

Ich finde es absolut nachvollziehbar, dass die Bank hier nix zahlen muss (insofern ich nix übersehen hab). Wenn du so eine App installiert und eingerichtet hast, ist das autorisieren eines Logins oder einer Überweisung deine eigene Verantwortung. Ob jetzt über PushTan oder weitergegeben Code über das Telefon.

 

[Smily]

Haben wir hier täglich mehrfach.

Wir haben bei uns in der Firma 2FA ausgerollt für alle (weil Username/Mail ist O365 Konto). Dazu die Microsoft Authenicator App. Man kann aber entweder seine App nehmen (Google oder so) und/oder die MS App für private Dinge nutzen.
Jeder hat doch heute irgendwo ein privates Mail Konto. Aber quasi niemand wusste was damit anzufangen. Keiner hat das privat aktiviert bei Amazon, ebay usw.

 

[Der_Dicke82]

Aber das ist bei Chip-Tan eben nicht so einfach möglich

Deswegen nutze ich es auch wo immer es möglich ist!
Wo es eine APP sein muss, kommt diese auf ein separates Telefon, welches ich nicht immer bei mir trage!

In einer Welt wo alle Unternehmen versuchen mich zu unbewusstem Konsum inkl. Interaction zu verleiten, versuche ich aktiv dagegen zu arbeiten?

Insbesonderen gilt das für Finanzprodukte, aber auch auf meinem daily Telefon!
Keine APP installieren, sondern alles bewusst über den Browser öffnen!

Bei der Benachrichtigungsschwemme auf einigen Telefonen ist es gut zu verstehen, wenn alles nur blind weggeklickt wird!

Und ihr könnt sagen was ihr wollt, das ist so gewollt!

 

[kachiri]

Wo es eine APP sein muss, kommt diese auf ein separates Telefon, welches ich nicht immer bei mir trage!

Na ja. In die App kommst du nur mit Biometrie und App-PIN. Und nein. Nicht mit dem Code wenn Face- oder Touch ID bzw. der Fingerabdruck-Sensor bei Androiden nicht funktioniert. Biometrie oder App-PIN.
Sollte sich dann natürlich nicht mit dem Banking-Passwort überschneiden und idealerweise ist es sogar ein App-Passwort mit allen Freiheiten.
Das sollte wiederum auch nicht im Schlüsselbund gespeichert sein, wo man dann wieder mit Code als Alternative zur Biometrie ran kommt.

Du merkst schon. Unsicherheitsfaktor bleibt immer der Mensch.

Ergänzung (21. Februar 2025)

Bei der Benachrichtigungsschwemme auf einigen Telefonen ist es gut zu verstehen, wenn alles nur blind weggeklickt wird!

Die man ja selbst gar nicht beeinflussen kann? Also ich lehne Benachrichtigungen bei App-Installation grundsätzlich ab

Sind wir schon wieder beim Mensch :x

Aber ist ja für dich absolut in Ordnung, wenn du sagst, dass dir das zu unsicher ist und du bei dir einfach die Gefahr siehst, dass du vielleicht auch mal unbeabsichtigt unaufmerksam etwas freigeben würdest.

 

[prayhe]

Bei der Benachrichtigungsschwemme auf einigen Telefonen ist es gut zu verstehen, wenn alles nur blind weggeklickt wird!

Wenn du in Benachrichtigungen "versinkst" ist das zu 100% user error. Jede App muss um Erlaubnis bitten dir Benachrichtigungen zu senden. Auch Nach erteilter Erlaubnis kannst du das Ganze im Nachhinein einfach wieder abstellen.
Und selbst wenn man davon mal absieht, die Überweisung wird nicht einfach durch "wegklicken" ausgeführt. Dazu bedarf es bewussten Interaktionen wie bereits aufgezeigt:

Benachrichtigung kommt -> Ich tippe drauf und muss ich Authentifizieren um die App zu öffnen -> Auftrag prüfen und anschließend einen Slider von links nach rechts ziehen zum Freigeben -> nochmal Authentifizieren.

 

[Yiasmat]

Was ich nicht so verstehe, wie kann es überhaupt möglich sein, TANs auszulösen, ohne dass der Kunde die selbst im Onlinebanking anfordert?

Phishing via E-Mail oder SMS. Sieht denn so aus:

Auf der 1. Seite der Spam Nachrichten, die via SMS reinkamen, alleine 5 Nachrichten von Banken wo man was verifizieren soll bezüglich neuen TAN Verfahren. Eine angebliche Nachricht Deiner Bank teilt dir mit dass ein neues TAN Verfahren zu deiner Sicherheit rausgekommen ist und Du es nun bestätigen musst. In der Nachricht ist denn ein Link der dich auf eine fast täuschend echte 1:1 Nachbauseite deiner Bank Webseite weiterleitet wo du dich nun ins onlien Banking einloggen sollst um die Daten zu aktualisieren um das neue TAN Verfahren nutzen zu können. Mit dem einloggen ist der Betrüger nun in deinem online Konto, tätigt die Überweisung(en) und Du erhälst die Aufforderung der Freigabe(n). Da du aber wegen der Aktualisierung hier bist denkst du gar nicht erst an ein Betrug sondern denkst das bestätigen dient zur legitimation dass nun alles in Ordnung ist und du das neue TAN Verfahren akzeptierst und nutzen kannst.

Mich würde daher interessieren wie alt die Person im Artikel ist. Denn 100% war es eine alte Person die nicht Technik affin ist und alles glaubt was man ihr so mitteilt und damit ist sie selbst dran Schuld! Sie hat sich freiwillig über die Phishing Seite eingeloggt und danach noch 2 mal die Freigabe der Überweisungen via TAN bestätigt. Der Richter hat daher zurecht für die Bank geurteilt!

Solche Fälle liest und sieht man fast jeden Tag zuhauf und meist sind es ältere Personen die von der digitalen Welt keine Ahnung haben und solche Fehler begehen.

 

[Der_Dicke82]

Sind wir schon wieder beim Mensch :x

in Benachrichtigungen "versinkst" ist das zu 100% user error

Das ist tatsächlich zu 99% der Fall! nur ganz selten ist es wirklich die Hardware! Aber ich kann es ja deutlich schwerer machen mich zu "hacken"

Wichtig zu erkennen ist halt, das wir in der regel faul sind und unsere Aufmerksamkeit ganz natürlich sinkt je häufiger wir etwas machen!
Deswegen baue ich mir "Hindernisse" ein, die mich im Falle des Falls wachrütteln sollen.

Und natürlich ist es ein "User"-Fehler wenn man in Benachrichtigungen versinkt, aber 90% der Nutzer sind halt nicht wie wir und räumen Telefon und Desktop besser auf als die Wohnung!
Bei fast allen wird einfach nur durch geklickt, egal ob Installation oder Nutzung! Und das ist ja auch so gewollt vom APP-Hersteller.

Und da kann sich ja auch niemand irgendwie rausreden! Wir sind Gewohnheitstiere und die meisten haben sich dran gewöhnt einfach "weiter" zu klicken! Wir alle kennen das doch auch aus unserem Umfeld und die kommen dann an, damit wir es wieder "reparieren"

Hier bei uns kommen von Netzbetreibern Angebote zu Abos (Klingeltöne, Ruftonmusik usw.) und man bekommt nur "Abrechen" und "Ok" zur auswahl. Da habe selbst ich schon einmal aus Affekt "Ok" geklickt und musste mich direkt wieder per SMS abmelden.

 

[kachiri]

Na ja... Hier gibt es aber schon deutliche Hindernisse. Selbst wenn die Benachrichtigungen aktiv sind. Du musst diese Benachrichtigung aktiv anklicken und aufrufen - wegwischen hätte zur Folge, dass die angeforderte Freigabe nach Zeitraum X (festgelegt durch die Bank) einfach verfällt. Der Auftrag wird nicht ausgeführt.
Öffnest du die App jetzt doch, dann wird dir auf dem Bildschirm angezeigt, was Phase ist. Beziehungsweise vorher quasi noch die Anmeldung via Gesichtserkennung, Fingerabdruck oder App Pin/Passwort. Danach dann, dass du einen Auftrag freigeben sollst. Da steht dann ganz klar, dass du eine Überweisung an Empfänger XY über Betrag Z freigeben sollst. Wenn du das jetzt nicht liest und einfach aktiv den Slider rüberschiebst, dann sorry. Was soll da noch sicherer werden?
Inklusive der zig Hinweise, dass man keine solche Daten am Telefon oder sonst wie an Mitarbeiter geben soll.

Ich habe die Fachbetreuung für ein Ticket System und ja, die Nutzerfragen sind manchmal... Ich kann es ja irgendwo sogar nachvollziehen. Aber wie aufwendig soll man das System denn machen? Beim Freigeben von Finanzaufträgen hat die Sicherheit sicher den höheren Stellenwert. Sollte sie haben. Aber es geht auch um Komfort. Wie bei jeder Software.
Der Gewinn von App zu diesen elendigen Generatoren ist halt: Ein Smartphone hat heutzutage jeder UND der Prozess kann deutlich einfacher gestaltet werden.

 

[iron_monkey]

In der Nachricht ist denn ein Link der dich auf eine fast täuschend echte 1:1 Nachbauseite deiner Bank Webseite weiterleitet wo du dich nun ins onlien Banking einloggen sollst um die Daten zu aktualisieren um das neue TAN Verfahren nutzen zu können.

Ich bekomme einen Brief, dann rufe ich meine Bankberaterin an und frage ob der echt ist.

Auf jedem Schreiben meiner Bank stehen immer diverse Sicherheitshinweise, genauso wie im Onlinebanking Portal auch. Da gibt es Beispiele zu den bekannten Betrugsmaschen und sogar aktuelle Warnung.

Ich glaube, dieses Sprichwort mit klar im Vorteil und Lesen, kommt nicht von ungefähr!

Wer es bequem haben möchte, gibt halt die Kontrolle aus den Händen.

Mein Vater sagte früher immer (beim Autofahren) schnell, schnell, sterben! Lieber langsam und am Leben als schnell tot!

Meine Lektion daraus, bei wichtigen Dingen sollte man sich Zeit lassen!

Wer als Kerl seine Frau/Freundin länger an seiner Seite sehen möchte, praktiziert das sicherlich ganz intuitiv ;--)

 

[cartridge_case]

Er tut es aber....

Kommt auf das Geschäft an. Und nein, das nennt sich Kulanz oder steht, wie bei MM/S, in den AGB.

Ich glaube kaum, dass was gezahlt wird. Wem soll das helfen? Welcher Ruf?