Forum: Netzwelt
Auslaufmodell mTAN: Das ändert sich beim Onlineshopping
David Ebener / DPA

Mitte September tritt eine neue EU-Zahlungsrichtlinie in Kraft. Die sieht vor, dass sich Kunden beim Bezahlen und bei Bankgeschäften im Netz zusätzlich identifizieren müssen. Dazu benötigen sie Apps oder TAN-Generatoren.

Seite 1 von 7
bebau 01.08.2019, 10:13
1.

Ich habe das photoTAN Verfahren der Raiffeisenbank und bin sehr zufrieden. Für jede Überweisung muss ich einen farbigen QR-Code mit dem Generator (15?) scannen. Der benötigt dazu meine EC-Karte, auf der die eigentliche Entschlüsselung stattfindet. Diese ist der einzige Ort auf der Welt, wo der Schlüssel gespeichert ist. Da das Gerät keine Internetverbindung hat, kann es auch nicht gehackt werden. Auch ein Man-in-the-Middle Angriff funktioniert nicht. Dabei bringt ein Angreifer die komplette Kommunikation zwischen Bank und Kunden unter seine Kontrolle, zum Beispiel über Phishing. Aber ich sehe ja auch meinem Gerät, welche Überweisung ich gerade bestätige. Ich halte das Verfahren für sehr sicher, bitte aber jeden, der das nutzt darum, auch wirklich genau zu überprüfen, ob die Angaben auf dem TAN-Generator das sind, was man tun will.

Beitrag melden Antworten / Zitieren
mr monk 01.08.2019, 10:35
2. 2FA App im Secure Folder?

Zitat: "Das BSI rät allerdings von der Zwei-Faktor-Authentifizierung und Online-Bankgeschäften auf demselben Gerät ab - zumindest solange das genutzte Smartphone über keinen Sicherheitschip (Secure Element) verfügt, über den die Identifizierung sicher gekapselt ablaufen kann."
Ist ja irgendwie blöd, wenn mein Smartphone nur noch als TAN-Generator dienen soll. Wenn ich die 2FA App dann im (Secure Folder) laufen lasse, sollte ich das doch wieder sicher haben, oder wo ist mein Denkfeher?

Beitrag melden Antworten / Zitieren
safran64 01.08.2019, 10:44
3.

Ein kurzer Erfahrungsbericht: Habe ein Zweitkonto bei der DKB und mit dem neuen tan2go Verfahren gibt es nur Probleme. Obwohl mein Gerät nicht gerootet ist, verweigert sie den Dienst, weil wohl irgendeine App oder ein Prozess als nicht sicher eingestuft wird - welcher? wird natürlich nicht angegeben. Die Service-Hotline kann natürlich nicht helfen, welcher der 100 Hintergrundprozesse letztlich verantwortlich ist. Ratschlag: dann halt einen TAN-Generator verwenden... Genau, für 30+ EUR zusätzliche Kosten und der nur für zu Hause Sinn macht. Meine aktuell favorisierte 3. Option: Konto kündigen, bevor ich nicht mehr an mein Geld komme.

Beitrag melden Antworten / Zitieren
hb15370 01.08.2019, 11:05
4. Sicherheitspatches?

Warum werden die Anbieter nicht per Gesetz verpflichtet das Betriebssystem etwa 5 Jahre mit Sicherheitsupdates zu versorgen? Ich höre den Aufschrei, wenn Microsoft für Windows so verfahren würde.

Beitrag melden Antworten / Zitieren
Leser161 01.08.2019, 11:50
5. Wir lieben kompliziert

Kreditkarten deren Prinzip ja war das man da einfach mit Bezahlen konnte, bekommen zusätzliche Verfahren. Ja gut, dann kann ich gleich mein normales Konto nehmen.

Ansonsten stellt sich mir folgende Frage: TAN-Generatoren die ausfallen können, Fotoverfahren die ebenfalls ein Gerät benötigen, das grundsätzliche Problem von Banking-App und TAN-Empfang mit demselben (hackbaren) Gerät. SMS als unsicherer Kanal.

Da frage ich mich, was war nochmal mit Papier-TAN? Ist nicht hackbar und technisch unanfällig. Ja gut Phishing. Aber gegen die menschliche Dummheit ist kein Kraut gewachsen, ob ich mich nun Phishen lasse oder dem Nigeriaprinzen meinen Zugangsdaten samt Generator schicke. Dieses Problem wird man nie lösen können.

Beitrag melden Antworten / Zitieren
weltgedanke 01.08.2019, 11:53
6.

Zitat von bebau
Ich habe das photoTAN Verfahren der Raiffeisenbank und bin sehr zufrieden. Für jede Überweisung muss ich einen farbigen QR-Code mit dem Generator (15?) scannen. Der benötigt dazu meine EC-Karte, auf der die eigentliche Entschlüsselung stattfindet. Diese ist der einzige Ort auf der Welt, wo der Schlüssel gespeichert ist. Da das Gerät keine Internetverbindung hat, kann es auch nicht gehackt werden. Auch ein Man-in-the-Middle Angriff funktioniert nicht. Dabei bringt ein Angreifer die komplette Kommunikation zwischen Bank und Kunden unter seine Kontrolle, zum Beispiel über Phishing. Aber ich sehe ja auch meinem Gerät, welche Überweisung ich gerade bestätige. Ich halte das Verfahren für sehr sicher, bitte aber jeden, der das nutzt darum, auch wirklich genau zu überprüfen, ob die Angaben auf dem TAN-Generator das sind, was man tun will.
Genau, die Sicherheit (auch bei Chip-TAN und anderen anderen Verfahren mit EC-Karten-TAN-Generatoren) hängt wesentlich daran, dass man auf dem Display des TAN-Generators nochmals prüft, wohin man wie viel überweisen will. Die Kontonummer muss man dabei unbedingt mit der ursprünglichen Quelle der Kontonummer vergleichen (z.B. einer gedruckten Rechnung), nicht mit den Angaben auf dem Computerbildschirm.

Leider versuchen offenbar manche Banken, dem User diesen Schritt zu vereinfachen, indem sie die bereits eingegebenen Überweisungsdaten nochmal auf dem Bildschirm anzeigen, damit man sie einfacher mit den Angaben auf dem TAN-Generator vergleichen kann, direkt verbunden mit der Aufforderung, das so zu tun.
Der Komfortgewinn ist zweifellos da, das scheunengroße Einfallstor aber auch: Auf diese Weise könnte ich als Hacker dem User vergleichsweise leicht meine eigene Kontonummer unterjubeln, wenn ich z.B. über einen Virus seinen Browser gehackt hätte.

Deswegen: Immer direkt mit der Rechnung vergleichen, nicht mit Angaben auf dem Bildschirm.

Zur Kritik am Preis: Die 30 € für den TAN-Generator würde ich ausgeben. Ich habe meinen ersten seit 10 Jahren, er funktioniert immer noch tadellos mit dem ersten Satz Batterien. Die 25 Cent pro Monat, die das umgerechnet ergibt, kann sich fast jeder leisten.
Einen zweiten hat mir die Bank mal geschenkt, auch das finde ich sehr sinnvoll: Immerhin spart es den ihnen Stress, wenn Kunden sicher überweisen. Und auf den Ruf könnte es sich auch positiv auswirken.

Aber ich verstehe durch diese Diskussionen hier im Forum auch, dass Sicherheit nicht für jeden die höchste Prio hat, manche wollen einfach bequem und Handy. Wenn sie sich über die Risiken im Klaren sind, sollen sie das meinetwegen dürfen. Ist ja ihr Geld. Oder das der Bank. Gerade die Bank muss wissen, worauf sie sich einlässt.

Beitrag melden Antworten / Zitieren
rst2010 01.08.2019, 12:14
7. HBCI bzw. FinTS

funktioniert weiterhin ohne diesen ganzen Heckmeck und ohne TAN Theater

Beitrag melden Antworten / Zitieren
damianschnelle 01.08.2019, 12:18
8. Und

das wird besonders in den Regionen lustig, die heute noch Internetzugang mit 56k und keine zuverlässige Handyverbindung haben. Ja, das gibt es noch.

Beitrag melden Antworten / Zitieren
Nonvaio01 01.08.2019, 12:18
9. oder

man zahlt mit payPal, dann reicht wie ueblich die E-mail und ein passwort, ausserdem kann ich 180 tage lang mein geld zurueck fordern.

Beitrag melden Antworten / Zitieren
Seite 1 von 7