Forum: Netzwelt
Wissenswertes zu TAN-Verfahren: So ist Ihr Online-Banking gesichert
imago

Sie wickeln Überweisungen online ab? Dann nutzen Sie wohl auch ein sogenanntes TAN-Verfahren. Zwischen den Angeboten der Banken gibt es deutliche Unterschiede. Sechs Fragen und Antworten.

Seite 2 von 4
horstenporst 27.02.2017, 09:54
10.

Zitat von friedel99
Frage eines Laien: Würde das SMS Verfahren sicherer sein, wenn man ein zweites Mobiltelefon (nicht Smartphone) ausschließlich für den Empfang der TAN's verwenden würde?
Antwort eines Laien: Ja, da ein nicht-internetfähiges Mobiltelefon (die Dinger, die man einst Handy nannte) schwerer zu "hacken" ist.

Beitrag melden Antworten / Zitieren
o.wels 27.02.2017, 10:11
11. Tan-Generator

Zitat von tims2212
..., vor allem, wenn die Sparkassen den ChipTAN-Generator schon nicht mehr anbieten, falls ein Gerät mal defekt ist! "Nehmen Sie doch das PhotoTAN Verfahren, ist auch super." "Aber, das wurde schon geknackt!" "Ach was, einmal! Und der hat das auch nur probiert!" Sicherheit ist halt ein alternativer Fakt, so einfach ist das. Aber was will man als Kunde machen, wenn der Berater selbst die Tragweite vom Internet noch nicht begriffen hat. Läuft doch alles bei mir zu Hause im Wohnzimmer!!
Mag ja sein, daß Ihre Sparkasse den TAN-Genreator nicht mehr anbietet. Sollte Sie aber nicht zu der Aussage verführen, daß DIE Sparkassen das Gerät nicht mehr anbieten. Schauen Sie z.B. auf die Shop-Seite bei sparkasse.de. Dort haben Sie diverse TAN-Generatoren zur Auswahl. Bei meiner Sparkasse bekommt der Onlinebanking-Neukunde das Gerät als Erstausstattung sogar kostenlos.

Beitrag melden Antworten / Zitieren
Wofgang 27.02.2017, 10:20
12.

Zitat von meineeine001
... 3. Jetzt zeigt der Angreifer ihnen an, dass sie den Bank-Auftrag XY mit Pin 63 bestätigen sollen, was sie natürlich machen. 4. Jetzt hat er die Pin und kann seinen eigenen Auftrag bestätigen. ...
Und ich bleibe natürlich so lange for meinem PC/Laptop sitzen, bis der Hacker wieder nachfragt, welche PIN er genre hätte. Der Fehler sitz meist for der Tastatur. Wenn man ein wenig überlagt was amn tut und nicht zu jederzeit irgendwelche TAN's ins Internet sendet, dann ist das sicher. Manche Banke, wie die Commerzbank geben einen Code zurück, der auf der TAN Liste vermerkt ist, dann sehe ich ziemlich schnell, wenn etwas schief geht.

Beitrag melden Antworten / Zitieren
Ein_denkender_Querulant 27.02.2017, 10:49
13. Es gibt kein

Die alten TAN-Bögen waren sehr unsicher, weil die Bögen sowohl beim Kunden als auch in den Bank offen vorlagen und für "Profis" auszulesen sind. Das SMS-Verfahren bringt ebenso kaum Sicherheit, weil Mobiltelefone ziemlich offen sind.

Mit TAN-Generator und Scheckkarte ist das System hinreichend abgesichert. Denn das beide Objekte unbemerkt abhanden kommen, ist sehr unwahrscheinlich, solange man sie nicht nebeneinander aufbewahrt.

Beitrag melden Antworten / Zitieren
3daniel 27.02.2017, 11:03
14. Chip-Tan Verfahren

Das Verfahren sollte meiner Meinung nach besser beworben werden. Hierbei wird bei der Online Überweisung ein optischer Code von einem Gerät gelesen in dem die EC-Karte steckt. Dieses Verfahren wird von Sicherheitsexperten als "fast" 100% sicher erachtet, da die TAN Nummer von dem externen Gerät mit der zugehörigen EC-Karte erzeugt wird.

Beitrag melden Antworten / Zitieren
Wofgang 27.02.2017, 11:19
15.

Zitat von Ein_denkender_Querulant
Die alten TAN-Bögen waren sehr unsicher, weil die Bögen sowohl beim Kunden als auch in den Bank offen vorlagen und für "Profis" auszulesen sind. ...
Das halte ich für ein Gerücht. In der Bank sicher nicht und beim Kunden eher auch nicht. Der "Profi" kann sie tatsächlich nur auslesen, wenn er sie mir physikalisch entwendet. Das ist wesentlich aufwändiger als als etwas virtuell zu hacken. In so fern halte ich die TAN-Bögen für sehr sicher, außer in der Hand eines Kunden, der mit sicherer Aufbewahrung ein Problem hat.

Beitrag melden Antworten / Zitieren
Maaark 27.02.2017, 11:36
16.

Zitat von Wofgang
Und ich bleibe natürlich so lange for meinem PC/Laptop sitzen, bis der Hacker wieder nachfragt, welche PIN er genre hätte. Der Fehler sitz meist for der Tastatur. Wenn man ein wenig überlagt was amn tut und nicht zu jederzeit irgendwelche TAN's ins Internet sendet, dann ist das sicher. Manche Banke, wie die Commerzbank geben einen Code zurück, der auf der TAN Liste vermerkt ist, dann sehe ich ziemlich schnell, wenn etwas schief geht.
Sie haben eine sehr niedliche Vorstellung von Angriffen auf das Online-Banking - so in etwa auf dem Stand des letzten Jahrtausends.

Bei einer Man-In-The-Middle Attacke ist das einzig "sichere" an ihren überholten TAN-Listen, dass Sie ganz sicher *nicht* bemerken werden, wenn da "etwas schief geht". Da hilft auch der auf der TAN-Liste aufgedruckte Code nichts, der genauso abgefangen und weitergeleitet werden kann wie die TAN, weil er nicht den geringsten Bezug zur getätigten Überweisung hat.

Beitrag melden Antworten / Zitieren
Spr. 27.02.2017, 12:08
17. Die Gefahr, nach dem Geldabholen überfallen zu werden, ist größer!

Natürlich gibt es jede Menge praktische und noch mehr theoretische Möglichkeiten, beim Internet Banking TANS abzugreifen oder Überweisungen umzuleiten. Wer aber ein paar Wenige Verhaltensregeln einhält, hat fast alle dieser Möglichkeiten ausgeschlossen: nur über den unter Favoriten gespeicherten Link zur Anmeldeseite (für die "Experten": Bookmark) zur Bank gehen und sowohl Anmeldenamen oder die Kontonummer als auch das Kennwort NICHT speichern, sondern jedes Mal neu eintippen. Es sollte sich von selbst verstehen, dass man nur von eigenen privaten Rechner auf sein Konto zugreift. Der Büro-PC ist dafür denkbar ungeeignet.

Ansonsten ist es wesentlich gefährlicher, am Automaten Geld abzuholen. Die Wahrscheinlichkeit, unmittelbar danach beraubt zu werden, ist höher als die Gefahr, übers Internet ausgeraubt zu werden. Am Internet Banking habe ich bereits teilgenommen, als es noch ein Versuch war und ich mich mit einem 12er Modem dafür ins Internet einwählen musste. Seither ist nie - und ich meine wirklich NIE - irgendetwas schief gegangen.

Beitrag melden Antworten / Zitieren
DerDifferenzierteBlick 27.02.2017, 12:15
18. Nein! TAN-Listen sind unsicher. SMS-TAN unter Einschränkung sicher.

Zitat von Wofgang
Das halte ich für ein Gerücht. In der Bank sicher nicht und beim Kunden eher auch nicht. Der "Profi" kann sie tatsächlich nur auslesen, wenn er sie mir physikalisch entwendet. Das ist wesentlich aufwändiger als als etwas virtuell zu hacken. In so fern halte ich die TAN-Bögen für sehr sicher, außer in der Hand eines Kunden, der mit sicherer Aufbewahrung ein Problem hat.
Wie hier schon wiederholt im Forum dargestellt wurde, sind Tan-Listen (iTan etc.) sehr unsicher, da die TANs hier nicht an die Überweisung gebunden sind. Dabei ist ein Angreifer gar nicht darauf angewiesen, die ganze TAN-Liste zu erbeuten (ob jetzt von der Bank oder dem Kunden), denn um solche TAN--Listen-Systeme auszuhebeln, gehen Angreifer ganz anders vor: Dem sog. Man-in-the-Middle-Angriff. Es reicht eine gefälschte Internetseite zu besuchen oder einen infizierten Browser zu verwenden (kann bei den unzähligen Sicherheitslücken fast jedem passieren). Der Bankkunde will ganz normal eine Überweisung ausführen und verwendet dafür eine TAN. Dabei wird ihm angezeigt, dass alles korrekt abgelaufen ist. Was er nicht weiß, in Wahrheit wurde die TAN für eine ganz andere (sehr viel höhere) Überweisung auf das Konto des Angreifers genutzt, da die TAN (anders als eine mTAN oder ChipTAN) eben NICHT an eine bestimmte Überweisung gekoppelt ist. Der Bankkunde bemerkt das dann erst, wenn er im nächsten Monat seine Kontoauszüge anschaut (es sei denn, er sieht nur online ebenfalls gefälschte Auszüge).
+++++
SMS-TAN (mTAN) ist so lange sicher, wie das Handy oder die Mobilfunknetze nicht gehackt sind und zwar gleichzeitig zu dem Gerät, auf dem man die Überweisung ausführt). Im letzteren Fall wird der Kunde aber in jedem Fall den Schaden erstattet bekommen. Mit einem alten Handy ohne Internet (ansonsten zumindest ohne Android und im Zweifel auch iOS) ist das SMS-TAN-Verfahren daher für wachsame Nutzer ohne Einschränkung zu empfehlen. Ansonsten sollte man das Handy zumindest möglichst nicht mit dem PC verbinden bzw. die Überweisung nicht von dem Handy ausführen, auf welches auch die mTAN geschickt wird. Und natürlich immer die mTAN genau ansehen, ob die Ziel-IBAN auch korrekt ist. Und keine dubiosen Mail-Anhänge öffnen.. Das ChipTAN-Verfahren ist ansonsten das sicherste, man sollte den TAN-Generator aber nicht zusammen mit den Zugangsdaten aufbewahren/transportieren...

Beitrag melden Antworten / Zitieren
binismus 27.02.2017, 12:41
19. So ist Ihr Onlinebanking gesichert

Es gibt kein "absolut" sicheres Onlinebanking! Von daher bleibe ich bei meinen TAN-Listen, solange ich keine Probleme bekomme. Und wenn, dann kann ich immer noch umsteigen. Vielleicht gibt es bis dahin etwas was noch sicherer ist!

Beitrag melden Antworten / Zitieren
Seite 2 von 4