Forum: Netzwelt
Wissenswertes zu TAN-Verfahren: So ist Ihr Online-Banking gesichert
imago

Sie wickeln Überweisungen online ab? Dann nutzen Sie wohl auch ein sogenanntes TAN-Verfahren. Zwischen den Angeboten der Banken gibt es deutliche Unterschiede. Sechs Fragen und Antworten.

Seite 1 von 4
scxy 27.02.2017, 07:06
1. TAN-Listen unsicher?

Ich verstehe nicht, was an TAN-Listen besonders unsicher sein soll gegenüber der Übermittlung einer SMS zum Beispiel. Was ich physisch in der Hand halte, darauf kann kein Fremder Zugriff haben, der nicht bei mir oder bei der Bank eingebrochen ist. Im zweiten Fall ist das auch virtuell möglich, aber es betrifft mich nicht und es ist ebenso in allen anderen Fällen möglich. Ich nutze für verschiedene Konten verschiedene Verfahren, aber die mTAN erscheint mir am riskantesten.

Beitrag melden Antworten / Zitieren
friedel99 27.02.2017, 07:14
2. Frage

Frage eines Laien: Würde das SMS Verfahren sicherer sein, wenn man ein zweites Mobiltelefon (nicht Smartphone) ausschließlich für den Empfang der TAN's verwenden würde?

Beitrag melden Antworten / Zitieren
no__comment 27.02.2017, 07:30
3. PhotoTAN ist bequem und sicher

Sofern man die Banking-App (bzw. den Browser) und die PhotoTAN-App auf zwei verschiedenen Geräten hat (z.b. Banking auf dem Rechner oder Tablet und PhotoTAN-App auf dem Smartphone) ist es bequem, sicher und kostenlos.

Beitrag melden Antworten / Zitieren
ulrich_loose 27.02.2017, 08:00
4. Wirklich sicher

ist aus meiner Sicht nur das Chipkarten HBCI mit entsprechendem Lesegerät. Alles Andere ist und bleibt der Unart geschuldet, in irgendwelchen Webbrowsern und Smartphones seine Bankgeschäfte erledigen zu können. Genau darauf basiert auch die angebliche "Unsicherheit" von iTans die als Einmalpassworte definitionsgemäß absolut sicher sind. Phishing bedeutet ja, dass man Nutzer dazu verleitet mit falschen Webseiten ein solches Einmalpasswort zu entlocken. Das Problem ist also nicht die Liste, sondern die nicht vorhandene eigenständige Software.

Beitrag melden Antworten / Zitieren
Bueckstueck 27.02.2017, 08:08
5. Nicht ganz richtig

"Die größte: Wenn der Fingerabdruck einmal kopiert wurde und sich fortan duplizieren lässt, ist das Verfahren dauerhaft unsicher. Anders als eine aus Ziffern bestehende TAN lässt sich der eigene Fingerabdruck schließlich nicht einfach durch einen neuen ersetzen."

Die meisten Menschen haben 10 Finger - und alle haben einen unterschiedlichen Fingerabdruck. Man hat also 10 Versuche bevor diese Methode dauerhaft nicht mehr sicher ist. :P

Beitrag melden Antworten / Zitieren
tims2212 27.02.2017, 09:18
6. Ui, toll...

..., vor allem, wenn die Sparkassen den ChipTAN-Generator schon nicht mehr anbieten, falls ein Gerät mal defekt ist! "Nehmen Sie doch das PhotoTAN Verfahren, ist auch super." "Aber, das wurde schon geknackt!" "Ach was, einmal! Und der hat das auch nur probiert!" Sicherheit ist halt ein alternativer Fakt, so einfach ist das.
Aber was will man als Kunde machen, wenn der Berater selbst die Tragweite vom Internet noch nicht begriffen hat.
Läuft doch alles bei mir zu Hause im Wohnzimmer!!

Beitrag melden Antworten / Zitieren
Grestorn 27.02.2017, 09:19
7.

Zitat von scxy
Ich verstehe nicht, was an TAN-Listen besonders unsicher sein soll gegenüber der Übermittlung einer SMS zum Beispiel. Was ich physisch in der Hand halte, darauf kann kein Fremder Zugriff haben, der nicht bei mir oder bei der Bank eingebrochen ist. Im zweiten Fall ist das auch virtuell möglich, aber es betrifft mich nicht und es ist ebenso in allen anderen Fällen möglich. Ich nutze für verschiedene Konten verschiedene Verfahren, aber die mTAN erscheint mir am riskantesten.
TAN Listen sind deswegen unsicher, weil die Transaktionsdaten nicht damit signiert werden. D.h. Sie wissen nie, ob die Überweisung, die Sie mit Ihrer TAN abnicken, auch wirklich der entspricht, die Sie ausführen wollen.
Ein Trojaner könnte sich in Ihren Browser oder Ihre Bank-Software eingenistet haben, so dass Sie die dort die gewünschte Überweisung sehen, tatsächlich aber eine ganz andere ausgeführt wird.

Eine Absicherung über ein Zweitgerät (am besten HBCI mit Secoder) auf dem die Daten der Überweisung angezeigt und mit der TAN signiert werden, so dass sie nachträglich nicht mehr verändert werden können, ist hier allemal deutlich sicherer. Allerdings nur, wenn eben auch das Zweitgerät sicher gegen Manipulation ist. Und genau daran hapert es bei einem Smartphone.

Beitrag melden Antworten / Zitieren
meineeine001 27.02.2017, 09:21
8.

Zitat von scxy
Ich verstehe nicht, was an TAN-Listen besonders unsicher sein soll gegenüber der Übermittlung einer SMS zum Beispiel. Was ich physisch in der Hand halte, darauf kann kein Fremder Zugriff haben, der nicht bei mir oder bei der Bank eingebrochen ist. Im zweiten Fall ist das auch virtuell möglich, aber es betrifft mich nicht und es ist ebenso in allen anderen Fällen möglich. Ich nutze für verschiedene Konten verschiedene Verfahren, aber die mTAN erscheint mir am riskantesten.
Und wie kommt ihre iTan zu ihrer Bank? Genau da liegt das Problem. iTans (Tanlisten) sind nicht Auftragsgebunden. Sie können auch für jede Überweisung benutzt werden. Das macht den Angriff per Man-in-the-Middle leichter als bei anderen Verfahren. Ihr Rechner wird infiziert oder sie fallen auf Phishing herein und beim nächsten Überweisung oder anderen Tätigkeit die sie per iTan bestätigen müssen wandert Geld von ihrem Konto. Sehen tun sie es erst auf einem Kontoauszug. Aber auch nur wenn sich da der Angreifer nicht wieder dazwischen geschaltet hat und ihnen falsche Kontodaten zeigt.
Es sieht so aus: 1. Sie wollen ihre Banksseite besuchen. Aber die Seite ist nicht die Seite ihrer Bank sondern eine gutgemachte Kopie der Bankseite.
2. NAchdem der Angreifer nun ihre Logindaten hat, sie haben sich ja angemeldet auf seiner Seite und ihnen die Logindaten verraten meldet er sich selbst bei ihrer Bank an und startet eine Überweisung. Die Bank sagt ihm er soll Pin 63 eingeben, die er natürlich nicht hat. Also...
3. Jetzt zeigt der Angreifer ihnen an, dass sie den Bank-Auftrag XY mit Pin 63 bestätigen sollen, was sie natürlich machen.
4. Jetzt hat er die Pin und kann seinen eigenen Auftrag bestätigen.

mTan bzw. smsTan ist sicherer, weil es über 2 Geräte läuft und die Tan an einen bestimtmen Auftrag gebunden ist. Ein Angriff ist damit schwerer. Eine Infektion ihrer Rechners alleine reicht nicht aus, weil ihr Handy noch anzeigt für welchen Auftrag die Pin ist. Natürlich hilft das nur, wenn sie auf überprüfen ob die Angezeigte Kontonummer auch übereinstimmt ... Jedoch muss der Angreifer ihr Handy und ihren Rechner unter Kontrolle habe um sicher zu gehen, dass sein falscher Auftrag bestätigt wird. Gilt natürlich auch nur dafür, dass sie Onlinebankung mit 2 voneibnader unabhänigen Geräten machen, was dringend anzuraten ist!

Beitrag melden Antworten / Zitieren
langenscheidt 27.02.2017, 09:49
9. Handy-Nummer knacken

Zitat von friedel99
Frage eines Laien: Würde das SMS Verfahren sicherer sein, wenn man ein zweites Mobiltelefon (nicht Smartphone) ausschließlich für den Empfang der TAN's verwenden würde?
Ich nutze ein Nokia 1100 für Bankgeschäfte über SMS. Nebenher als Wecker, Uhr und sogar Telefon. Das dieses niedliche Ding kein Internet hat versteht sich von selbst. Wie man eine unbekannte Handy-Nummer knackt bleibt allerdings ein offenes Geheimnis. Bei meiner Bank kann ich eine geänderte mTAN-Handynummer nur über eine Bankfiliale und nicht über mein Kundenportal ändern. Umleiten geht erst recht nicht. Es sei denn, der Angreifer hat auch sämtliche Mobilfunknetze unter seiner Kontrolle.

Beitrag melden Antworten / Zitieren
Seite 1 von 4