Wie Sicher ist Online Banking mit smsTAN?

Quetschn

Cadet 3rd Year
Dabei seit
Okt. 2018
Beiträge
63
Hallo, wie sicher ist eig Online-Banking mit SMS Tan?
Ich frage mich das schon seit langem, es würde theoretisch ein Virus/App auf dem Handy reichen um an die Tan zu kommen. Sofern das Handy im gleichen Netzwerk/Wlan wie der PC ist könnt doch auch ein Virus o.ä von einem zum anderen Gerät "überspringen".

Ich weiß nicht ob sich auf dem Handy so einfach ein Virus einschleusen kann, man liest ja immer wieder das z.b ein Antivir für Handys unsinnig ist.
 

Baerchen60

Lt. Junior Grade
Dabei seit
Feb. 2007
Beiträge
279
Das weiß ich auch nicht aber am sichersten ist Hbci , mit Karte und chipkarten Leser.
 

#.kFk

Admiral
Dabei seit
Okt. 2008
Beiträge
9.340
Das abfangen der Tan wäre natürlich prinzipiell möglich, aber wie schon erwähnt kann der Angreifer damit alleine ja eig. wenig Anfangen.

Geräteüberreifende Viren dürften auch eher die seltenheit sein, sprich ein Handyvirus sofern einer vorhanden, kann idR nicht einfach so auf andere Geräte im Netzwerk (Windows PC, IOS Phone etc. pp) "überspringen"

mfg
 

Quetschn

Cadet 3rd Year
Ersteller dieses Themas
Dabei seit
Okt. 2018
Beiträge
63
Wenn ich aber am PC auch einen Virus o.ä habe und somit Login und PW bekannt sind.
 

DaZpoon

Lt. Commander
Dabei seit
Dez. 2009
Beiträge
1.963
smsTAN hat im Prinzip 2 Schwachstellen:
  • Der Mobilfunkprovider der ohne zusätzliche Authentifizierung Partner-SIMs verschickt
  • Das Handy. Schlimmstenfalls wird Banking und smsTan noch am gleichen Gerät gemacht.
@Nickel: Die entsprechenden Viren sind schon recht clever. Sie gaukeln im (kompromittierten) Browser eine ordentliche Transaktion (Empfänger und Betrag passt) vor. Auf dem Handy kommt jetzt eine SMS an. Wurde bspw. der Empfänger durch den kompromittierten Browser geändert, kann man das i.d.R. in der SMS noch lesen, sofern man akribisch prüft. Ist das Handy auch noch kompromittiert und auch die angezeigte SMS ist manipuliert, dann ist smsTan völlig gebrochen.
 

schiz0

Lt. Junior Grade
Dabei seit
Nov. 2013
Beiträge
491
So als Tip.

https://www.verbraucherzentrale.de/wissen/geld-versicherungen/sparen-und-anlegen/sicherheitsverfahren-beim-onlinebanking-mtan-und-chiptan-10891

Kriminellen ist es bereits auf mehrfache Weise gelungen, das mTAN Verfahren zu knacken. Teils haben haben sie bei den Mobilfunkunternehmen eine zweite SIM-Karte angefordert und die SMS auf diese Nummer umleiten lassen. So konnten sie ohne Wissen des Kontoinhabers die TAN in das System eingeben und überweisen. In anderen Fällen sollen Betrüger Schwachstellen im Mobilfunknetz genutzt haben, um SMS zu sich umzuleiten. Für einen erfolgreichen Betrug müssen die Kriminellen zudem an die erforderlichen Bankdaten gekommen sein, beispielsweise über Phishing-E-Mails.

Man kann deswegen natürlich Paranoia schieben. Muss man aber nicht unbedingt ^^

Ich persönlich nutze ChipTAN (also Lesegerät und Karte). Soll wohl das sicherste sein.

mfg
 

Rickmer

Admiral
Dabei seit
Sep. 2009
Beiträge
9.825
Mit smsTAN ist sicherer als ohne.

Wenn ich aber am PC auch einen Virus o.ä habe und somit Login und PW bekannt sind.
Dann muss das zusätzlich beides auch noch denselbem Hacker bekannt sein...


Am einfachsten kommen Angreifer aber per social hacking an deine SMS, d.h. dem Telefonanbieter einreden das eine sekundär-SIM benötigt wird.

Dem entgegen wirken kann man z.B. indem man alle SMS Bestätigungen über eine separate Rufnummer gehen lässt die man nur selbst kennt und die auch an einen ganz anderen Vertrag gebunden ist.
 

JMP $FCE2

Lt. Commander
Dabei seit
Nov. 2014
Beiträge
1.903
Am sichersten sind, denke ich, diese "Flickercode"-TAN-Generatoren, denn deren Firmware ist überhaupt nicht von außen zugänglich.

Solange der Flickercode selbst keine Schwachstellen in der Verschlüsselung aufweist, dürfte das System unknackbar sein.
 

schiz0

Lt. Junior Grade
Dabei seit
Nov. 2013
Beiträge
491

leipziger1979

Commander
Dabei seit
Dez. 2014
Beiträge
2.853
@ Nickel

Und wenn der Ganove dich dort überfällt ist dein Geld auch weg. :lol:
Von daher sollte man es mal relativieren.
 

Domi83

Captain
Dabei seit
Feb. 2010
Beiträge
3.929
Ich weiß gar nicht wo man da anfangen soll... der "Hacker" muss ja wirklich beide Systeme gleichzeitig erfasst haben. Dann muss er auch gucken, dass er die Daten die er bekommt (Benutzername + Kennwort und die TAN) zusammengehören. In der Zeit hast du schon deine Buchung erledigt (gehe ich mal von aus).

Und selbst wenn er deine Buchung umbauen will, wird eine neue smsTAN generiert. Knackbar ist so ziemlich alles mit einer gewissen Zeit und Intelligenz etc. sogar pushTAN wurde schon geknackt. Da gab es nämlich auch schon mal eine Lücke.

Wenn ich mich nicht irre, ist eines der sichersten Varianten das HBCI Verfahren. Da brauchst du Benutzername und Kennwort für das Onlinebanking, dann ein separates Kartenlesegerät (Reiner SCT) und eine separate HBCI EC Karte, die ebenfalls mit einem PIN versehen ist. Zumindest ist mir bis jetzt nicht zu Ohren gekommen, dass man die Finger von HBCI lassen soll.

Aber falls es dir hilft... ich hab alle drei Varianten... HBCI in Verbindung mit der Starmoney Software und für unterwegs das smsTAN und pushTAN verfahren. Man will sich ja die Optionen offen halten :D
 

schiz0

Lt. Junior Grade
Dabei seit
Nov. 2013
Beiträge
491

Domi83

Captain
Dabei seit
Feb. 2010
Beiträge
3.929
Ich vermute mal der TE ist aktuell etwas übervorsichtig. Denn mir wollte auch mal jemand sagen dass smsTAN komplett weg soll und es nur noch pushTAN geben wird. Ist ja das "sicherste" und bei HBCI meinte auch mal jemand "kommt wohl auch weg", dann lache ich aber.

Wenn ich noch daran denke, dass ich Massen-Aufträge im Onlinebanking mit smsTAN gemacht habe und für jeden Furz eine TAN brauchte, ist HBCI das bequemste was es gibt. Eine Ladung von Aufträgen in den Ausgang der Software legen und "Go" drücken, fertig ist.

Wenn die Möglichkeit besteht, einfach smsTAN verwenden und gut ist. Die Information dass das smsTAN unsicher wäre und weg soll, habe ich vor 5 - 7 Jahren erhalten. Genauso wie das HBCI Thema... und siehe da, es gibt beides noch. Wobei ich auch nicht glaube, dass man HBCI weg nimmt. Zumindest hoffe ich es :D
 

Baerchen60

Lt. Junior Grade
Dabei seit
Feb. 2007
Beiträge
279

das_mav

Captain
Dabei seit
März 2012
Beiträge
3.990
Top