Die Sparkassen kontaktieren aktuell Kunden mit Kreditkarten von Mastercard und Visa. Die Kunden werden, unter Berufung auf eine EU-Richtlinie, aufgefordert, eine S-ID-Check-App auf ihrem Smartphone zu installieren. In der für Android und iOS verfügbaren App sollen dann die Kreditkartennummer und ein persönlicher Identifikations-Code zur Registrierung der Kreditkarte eingetragen werden. Damit sollen die Online-Legimitationsverfahren Mastercard Identy Check ™ und Visa Secure implementiert werden. Ein Konzept, welches jedem sicherheitstechnisch aufmerksamen Menschen den Schweiß auf die Stirn oder den Blutdruck in schwindelnde Höhen treiben dürfte.
Anzeige
EU-Zahlungsdienstleisterrichtlinie PSD2
Zum 15. März 2021 ist eine Neuerung bezüglich der PSD2-Zahlungsrichtlinie verpflichtend geworden. Es genügt bei Kreditkartenzahlungen im Internet nicht mehr, nur noch die Kartennummer, das Gültigkeitsdatum und die Prüfziffer einzugeben. Gemäß PSD2-Richtlinien ist eine starke Kundenauthentifizierung bei Kreditkartenzahlungen im Internet erforderlich.
Die starke Kundenauthentifizierung soll sicherstellen, dass der Online Bezahlende der tatsächliche Karteninhaber ist und berechtigt ist, mit dieser Karte im Internet Zahlungen vorzunehmen. Dazu sind zwei der nachfolgend genannten drei Faktoren für Online-Bezahlung erforderlich:
1. Besitz (z. B. Kreditkarte),
2. Wissen (z. B. Passwort)
Anzeige
3. Inhärenz, also etwas, was dem Nutzer persönlich oder körperlich zu eigen ist (z. B. Fingerabdruck).
Eine Lösung besteht darin, die Kreditkarten wie bisher abzufragen, dann aber für den Zahlungsvorgang ein mTAN-Verfahren zur Authentifizierung zu verwenden. Die Alternative besteht darin, die Authentifizierung über einen anderen Weg (S-ID-Check-App) durchzuführen.
Laut diesem Artikel (oder dieser Pressemitteilung) gibt es aber Ausnahmen: Bei Summen unter 30 Euro kann man bis zu fünf Mal hintereinander im Internet bezahlen, ohne sich doppelt authentifizieren zu müssen. Die Zahlungssumme aller Transaktion darf zusammen gerechnet 150 Euro nicht übersteigen. Auch wenn der Kunde der Bank mitteilt, dass ein Händler vertrauenswürdig ist, kann die 2-fach-Authentifizierung entfallen.
In den Niederlanden wurde die PSD2-Richtlinie bereits 2018, in Italien 2019 und in Luxemburg im Jahr 2020 umgesetzt. Österreich will die Richtlinie am 15. März 2021 vollständig umgesetzt haben, Frankreich im Jahr 2022.
Eine Leserinfo
Die Tage erreichte mich dann eine Mail von Blog-Leser Jochem S., der von seiner Sparkasse angeschrieben wurde (danke für die Information und den Hinweis auf das Thema). Er sollte sich für eines der vorgeschlagenen Authentifizierungsverfahren entscheiden. Jochem schriebt mir dazu:
Hallo Günter,
die Tage habe ich von meiner Sparkasse einen netten Brief bekommen, da ich am Online-Banking teilnehme. An sich nichts, das mich groß aufregt, aber beim zweiten Lesen ging doch mein Blutdruck hoch:
Da soll ich doch, damit ich weiter am Online-Banking teilnehmen kann, für eine notwendige Registrierung
– eine App herunterladen und auf meinem Smartphone installieren
– in diese App meine Kreditkarten-Daten eingeben und speichern
– weiterhin den zugesandten Sicherheits-Code in die App eingeben und speichern
WTF?
Jochem hat mir noch eine Kopie des Sparkassen-Schreibens mitgeschickt (siehe folgenden Screenshot).
Dazu ergänzt Jochem folgendes:
Auf der einen Seite wird seitens der Geldinstitute generell darauf hingewiesen, dass man Scheckkarte und Pin-Code getrennt voneinander aufbewahren soll und hier werden Kreditkarten-Daten und Sicherheits-Code in einer App gespeichert? OK, ich soll diese App noch per PIN oder biometrischem Merkmal absichern, aber was hilft mir das, wenn irgendeine schlaue App die Daten mit- oder ausliest und ich davon nichts mitbekomme, wobei da nicht unbedingt "Pegasus" mit gemeint sein muss?
Schlägt da jetzt meine fast berufsbedingte Paranoia an, oder sehe ich das alles zu schwarz?
Ach ja, im Kleingedruckten findet sich dann doch die Möglichkeit, die Verifizierung per mTAN-Verfahren durchzuführen. Also funktioniert das auch ohne Smartphone und eine App.
Zur Verifizierung per mTAN-Verfahren hatte ich ja diverse Male was im Blog geschrieben (siehe z.B. Online-Banking-Risiko: Trojaner und mTAN-Betrugsmasche) – diese Methode gilt schlicht als unsicher. Bezüglich der S-ID-Check-App der Sparkasse, die es für Android und iOS gibt, findet sich auf dieser Sparkassenseite eine Anleitung zur Vorgehensweise:
Wenn ich lese, dass ich Kreditkartendaten, sowie die Pin als Sicherheitscode in einer Smartphone-App eingeben soll, kommt sofort der "mache ich nicht"-Reflex. Es ist wie der Blog-Leser ausführt: Überall werden wir angehalten, keine PIN mit Bankdaten gemeinsam zu speichern. Jetzt soll man also genau diese Kreditkarten- und Sicherheitsdaten auf einem unsicheren Smartphone in einer App eintragen, deren Daten jederzeit von anderen Apps abgezogen werden können. Also mir sträuben sich die Nackenhaare, bzw. ich habe arge Bauchschmerzen, was die Sicherheit betrifft – was habe ich übersehen? Die Kritik wird in diesem Artikel in einem Satz mit aufgegriffen. Die ersten Phishing-Versuche zu diesem Thema gab es auch schon.
Anzeige
Der verlinkte Artikel zu Finanzscout24 schreibt, dass man zu smsTAN wechseln sollte. Das Verfahren gilt seit LANGER Zeit als unsicher. Inzwischen haben sich sogar die Banken davon verabschiedet. Also lieber nicht blind befolgen.
Also ich nutze fürs Onlinebanking das HBCI Verfahren mit nem ReinerSCT Leser, das geht bei der Comerzbank auch für die VISA Karte laut deren Seite auch für folgende Karten:
Mastercard Classic.
Mastercard Gold.
Mastercard Premium.
Mastercard Prepaid.
Mastercard Prepaid Junior.
Mastercard Zusatzkarte / Partnerkarte.
Mastercard Classic Company & More.
Visa Classic.
Visa Premium.
Visa Prepaid.
Visa Zusatzkarte / Partnerkarte.
Young Visa.
bisher noch die sicherste Lösung. Selbst nen Trojaner auf dem Rechner kann da nix machen, da müsste man schon bei mir einbrechen und den Kartenleser manipulieren. Was zwar technisch denkbar wäre, aber keinesfalls unbemerkt möglich wäre: SmartHome mit Alarmanlage inkl. zwei biologischen Alarm/Verteidigungsanlagen in Form von Mastino Napoletano Rüden.
Frage: Wie nutzt Du Onlinebanking unterwegs, im Urlaub, im Büro?
Gar nicht! Onlinebanking wird nur von zu hause aus gemacht: Sicherheit geht vor Bequemlichkeit!
Wäre aber durch aus so auch möglich, StarMoney zum Beispiel gibt es auch fürs Handy und Reiner SCT hat solche Lesegeräte auch mit Bluetooth Anbindung im Programm! Aber Handys sind mir zu unsicher.
Im Geschäft habe ich auch so einen Lesegerät, da die Gefahrstoffentsorgung mit digitaler Signatur sowas auch erfordert.
Zwar ist die Lösung mit optischer TAN am sichersten. Dennoch habe ich schon mal eine MIM-Attacke erlebt, die direkt auf dem Server der Sparkasse verübt wurde. Nach Kontaktaufnahmen mit der Sparkasse, wurde mir die Attacke bestätigt. Vorteil mit O-TAN mit der drei Etappen Überprüfung: Gültigkeit des Empfänger-Kontos, Übereinstimmung des Betrags und TAN. Alle drei unter diesen Etappen sind von einem MIM gleichzeitig nicht manipulierbar. Aber man muss stets auf dem Lauer bleiben. Mit Smartphone mache ich gar keine Geldtransaktionen.
Das halte ich auf für das beste und sicherste Verfahren, ich habe das auch 10 Jahre lang mit der Sparkasse gehabt.
Leider hat meine Sparkasse, so wie wohl auf die Dauer alle Sparkassen dieses Verfahren eingestellt mit fandenscheinigen Begründungen, vermutlich, weil es zu wenig nachgefragt wurde aufgrund der Kosten für einen Kartenleser und der in der Regel notwendigen Banking-Software.
Als Ersatz gibt es ein pushTAN-Verfahren mit Handy-App oder ein chipTAN-Verfahren mit der Sparkassenkarte, auch als USB-TAN-Verfahren mit dem Chipkartenleser möglich.
Unabhängig davon habe ich die S-ID-Check-App von der Sparkasse schon relativ lange, das dient nur für Online-Bezahlungen als zusätzliche Verifikation und wurde von VISA, nicht von der Sparkasse seinerzeit eingeführt und propagiert. Ähnlich wie die PIN der Kreditkarte wurde das früher kaum abgefragt, jetzt aber doch zunehmend häufig
"Wie der Teufel das Weihwasser…"
Keinerlei Banking auf Android und spontan fällt mir dazu ein:
"Wir machen das mit den Fähnchen…" Werbespot der SPK.
Schönen Sonntag.
Da frage ich mich, warum die Sparkasse das nicht über ihr eigenes chipTAN-Verfahren gelöst haben? Das ist ein extra Gerät ohne Verbindung zu Handy oder PC, wäre doch sinnvoller…
Ich nehme an, dass die Lösungen und Vorgaben von den (US) Kreditkartengesellschaften kamen. Die Sparkassen, die mit den Fähnchen (hatte ich schon vergessen), haben das dann übernommen. Interessant fand ich den Kommentar zur Commerzbank.
Meine Bank hat dieses Vorgehen schon vor einer Weile beworben/umgesetzt und ich habe notgedrungen smsTAN aktiviert.
Es ist mir allerdings ein Rätsel warum dies nicht mit ChipTAN gelöst wurde. Wahrscheinlich wird da intern eine "mobile first" Strategie gefahren, was ich unverschämt finde, denn so kann man ohne ein Handy gar nicht mehr mit Kreditkarte bezahlen. Auch im geschäftlichen Umfeld ist das anstrengend, da nun Mitarbeiter im Bestellwesen ein extra Handy benötigen, wenn kein HBCI vorhanden ist, um Rechnungen zu bezahlen.
Allein schon, wie der Brief formuliert ist, ist kundenfeindlich. Da wird „wegen der besseren Lesbarkeit" Wichtiges in Fußnoten versteckt und mit einem vagen „nur noch eingeschränkt" gedroht, ohne auszuführen, ob diese Einschränkungen in der Praxis überhaupt ins Gewischt fallen. Ich würde auf so was hin nachhaken und darauf bestehen, dass mir ein echter Mensch klipp und klar erklärt, was das konkret für mich bedeutet, bezogen auf die von mir gezogenen Rahmenbedingungen (Anwendungsbereich, vorhandene technische Ausstattung).
Diese krätzigen EU-Richtlinien, sie es Datenschutz oder Sicherheit, bewirken in ihrer Weltfremdheit oft das schiere Gegenteil: man denke nur an das obligatorische „Cookie-Einverständnis"!
Ohne Smartphone ist man scheinbar demnächst gar nicht mehr geschäftsfähig. Ausgerechnet der unübersichtliche App-Dschungel auf dem viel zu kleinen Guckloch-Display eines Geräts, das 24 Stunden am Tag heimlich mit aller Welt Daten austauscht. Das pure Gegenteil von Sicherheit.
Immer wieder beobachte ich Leute, wie sie, von außen kaum noch ansprechbar, auf ihrer elektronischen Handfessel rumirren und hektisch Meldungen wegtappen, die ihren gewohnten „Wörkfloh" stören. Dabei merken sie gar nicht, dass sie gerade unbesehen die weitreichendsten Einverständniserklärungen erteilt haben. – Das ist dann wohl der „prüfende Blick", von dem die Sparkasse schreibt.
Das oben per Fußnote empfohlene mTAN-Verfahren gilt in diesem Fall (so sehe ich es zumindest, da es bei meiner Bank so ist) dann NUR für Kartenzahlungen per Kreditkarte im Internet. Also NUR der (neue) 3. Authentifizierungsfaktor wird einem dann per SMS mitgeteilt. Das mTAN-Verfahren generell, wurde auch von meiner Bank schon seit letztem Jahr komplett eingestellt. Auch mir wurde (und wird weiterhin ständig penetrant, sogar mit Gewinnen und sonstigen "Goodies"…) die generelle Umstellung auf die "ach so tolle und ultramegasichere" Banking-Handy-App empfohlen. Ich habe mich allerdings schon länger für das photo-TAN-Verfahren entschieden, da doch recht sicher, bei mir sehr zuverlässig funktionierend und auch sehr einfach durchführbar. Auch weil mein Handy über 5 Jahre alt ist und nur auf Android 7.0 läuft, und für die App wird mindestens 6.0 benötigt. Somit ist es nur noch eine Frage von kurzer Zeit, bis die App dann auch auf Version 7.0 nicht mehr laufen wird… Da mein Handy allerdings läuft wie am ersten Tag und ich absolut nicht immer das Neueste brauche, sehe ich zumindest im Moment mal überhaupt nicht ein, warum ich mir NUR für's Online-Banking ein neues Smartphone holen soll. Allerdings werden wir wohl über kurz oder lang, mehr oder weniger ALLE nicht mehr diesem "Alles-auf's-Smartphone-und-über-die-App"-Zwang entkommen können…! Dafür wird schon die breite Masse derer sorgen, die das alles wie immer kritiklos hinnimmt und meist auch noch total trendy, cool und sowieso endgeil findet… :-(
Die Comdirect und die Volksbanken Gruppe arbeiten neben der App auch noch mit eigenständigen Geräten. Die Comdirect arbeitet mit Fototan und die Volksbanken mit Chiptan. Beides ist zwar nicht ganz so praktisch wie die App da man damit nicht unterwegs überweisen könnte, wozu auch immer ich das brauchen sollte. In 20 Jahren hatte ich nie das Gefühl das ich das bräuchte.
Ansonsten habe keine Lust mich von einem Smartphone abhängig zu machen. Wenn mein Smartphone kaputt geht geht es in den Schredder und ich bestell ein Neues. Mailaccounts einrichten, SD mit der Musik rein, SIM-Karte nicht vergessen und dann bin ich wieder einsatzbereit. Wenn man für jeden Mist eine App braucht wird das dann beim Wechsel auf ein anderes Smartphone immer so anstrengend :D
Vielleicht auch interessant in diesem Zusammenhang.
*ttps://www.heise.de/news/Vultur-Android-Trojaner-spaeht-Login-Daten-fuer-Bankkonten-und-E-Wallets-aus-6152250.html
Ich löse diesen Käse so!
Ich habe dafür ein "Händi", nein, kein modernes Smartphone, sondern so ein altmodisches kleines Gerät zum Telefonieren und SMS-Empfang.
Wenn ich also etwas im Internet bezahle, bekomme ich eine SMS mit einer TAN.
Eingeben, fertig.
Homebanking, für was?
Ich zahle, wo es geht, in Bar, so behalte ich den Überblick.
Wenn Kohle in der Knippe zur Neige geht, muss ich mich halt einschränken,
weil ich dann halt kein Geld mehr habe.
Und einmal im Monat um die Ecke gehen um mir Auszüge zu holen,
ist auch kein Problem.
@Wenn ich also etwas im Internet bezahle, bekomme ich eine SMS mit einer TAN.
Ja, so mache ich es auch. Könnte aber sein, daß es nur noch eine Frage der Zeit ist bis das nicht mehr funktioniert. Ich wollte kürzlich bei Amazon die zwei Faktor Authentifizierung mit Handy-Nr. aktivieren und bin damit gestrandet. Ging zwar prinzipiell der Haken dabei war nur, ich bekam eine SMS nicht mit einer sechsstelligen TAN wie üblich, sondern eine die scheinbar einen Link enthielt den man zur Bestätigung anklicken sollte. Da mein Handy aber nur einen Text anzeigte (warscheinlich eine Internetadresse) konnte ich das nicht anklicken und war somit ausgesperrt. Glücklicherweise gibt es ja einen speziellen Link für das Problem und da wurde mir insofern geholfen, daß die Handy-Nr. wieder herausgenommen wurde. Ich habe der netten Dame unmißverständlich gesagt das würde mir garnicht gefallen weil sie auf diese Art sicher viele von der Teilnahme ausschließen. Es gibt ja sicher noch mehr Nutzer die nur ein einfaches Handy statt eines Smartphones haben. Sie zeigte zwar Verständnis und wollte meine Reklamation wieterleiten, aber ich glaube da mir das nun schon zweimal passiert ist nicht mehr daran, daß Amazon da was dran ändert und ich probiers jetzt auch nicht mehr.
Glücklicherweise funktioniert das aber mit der Visa-Card noch so wie bisher auch, mit der sechstelligen TAN.
> Wenn ich also etwas im Internet bezahle, bekomme ich eine SMS mit einer TAN.
Viele Banken haben das mTAN Verfahren (TAN per SMS) inzwischen abgeschafft bzw. sind dabei, es abzuschaffen.
Interessant dzu ist doch folgendes. Zu diesem Beitrag:
https://www.borncity.com/blog/2021/08/01/sicherheit-und-die-s-id-check-app-der-sparkassen/#comment-111366
sagt bezüglich den Sparkassen Starmoney folgendes:
"Einstellung des Online-Banking per HBCI-Chipkarte bei Sparkassen bis Ende 2021 und Umstellung auf ein anderes Sicherheitsmedium in StarMoney Business"
Da werden die Sparkassen im OnlineBanking ja wirklich richtig sicher…
Den gleichen Scheiß macht die ING doch auch mittlerweile. SMS usw. gibts nicht mehr. Banking nur noch über die App. Schade wenn man kein Apple oder Andriod Gerät hat.
Die App selber ist mit einer hochsicheren 5 stelligen PIN gesichert. Sonst nichts.
Also jeder der das smarte Gerät übernimmt kann Buchungen ohne jede weitere Authorisierung durchführen.
Und das verkauft die Bank einem als sicher! Ist echt ein Witz mittlerweile.
Wäre ich Kunde der Sparkasse und erhielte ein solches Schreiben würde ich es beim flüchtigen Überfliegen als Phishing-Versuch bewerten und ohne weitere Prüfung in den Reißwolf befördern. Die Art und Weise der Formulierung des Schreibens sowie der geforderten Handlungen ist ein sicherheitstechnisches Unding. Vermutlich werden in wenigen Tagen tausende Phishing-Mails genau in dieser Machart versandt.
Das erinnert mich an die regelmäßig von eBay versandten E-Mails, die mit einem LINK!!!! zur Aktualisierung der Benutzerdaten auffordern und tatsächlich echt sind.
Persönlich finde ich es noch interessant zu erwähnen, dass diese App bei jedem Start Kontakt zu "app-measurement.com" aufnimmt. Ein Dienst von Google, ohne dass dies in den Datenschutzerklärungen erwähnt wird.
Letztens hatte ich zwei Überweisungen direkt hintereinander getätigt. Über die erste wurde ich per Push von der App informiert, die zweite nicht mehr. Eine aufrufbare History besitzt die App nicht. Sehr zweifelhafte App.
Spaßkasse… Bekannte bekam auch Post: Zum 31.12.2021 wird HBCI ersatzlos eingestellt, weil man ja jetzt das super sichere PSD2 hätte.
In Anbetracht der aberwitzigen Kontoführungsgebühren bei ihrem Kontomodell steht spätestens dann ein Wechsel an, denn es gibt für die Gebühren keine adäquate Gegenleistung mehr.
Die Spaßkasse kann IT nicht, darum sehe ich PSD2 dort sehr kritisch. Also kann man auch zu kostenfreien Anbietern wechseln.
Ich möchte anfügen, dass es besondere Probleme mit Android-Systemen gibt, die man tatsächlich besitzt (Stichwort: Root).
Meine S-Pushtan-App kann ich gerade nicht aktualisieren, weil das Rooting-Tool Magisk in der neuen Version erkannt und somit die App geblockt wird. [0]
Ich gehe davon aus, das gleiche Sicherheitskonzept wird auch bei S-ID-Check gefahren, somit besitze ich in den Augen der Banken kein Smartphone.
Warum nicht etablierte 2FA-Verfahren wie TOTP?
Was tun wenn das Smartphone verlustig gegangen ist?
[0] https://github.com/topjohnwu/Magisk/issues/1084
Mir ist auch nicht erklärlich, was die Banken dazu verleitet, die Abwicklung des Zahlungsverkehrs immer mehr aufs Smartphone zu verlagern – und zwar auch in Fällen, die überhaupt nicht relevant sind. Die Abschaffung der SMS aufs Handy ist nur für sog. Zahlungsverkehrskonten vorgesehen. Für Anlagekonten, wie z. B. Fest- und Tagesgeld, ist keine Umstellung erforderlich, denn dort ist immer ein Referenzkonto hinterlegt, das i.d.R. über das Onlinebanking nicht änderbar ist. Es besteht also kein Risiko, für solche Konten weiterhin das bequeme mTAN-Verfahren beizubehalten. Trotzdem stellen einige Banken diese Konten ebenfalls auf Apps oder einen ganz bestimmten TAN-Generator um, der dann für andere Banken nicht verwendbar ist. Soweit kommt es noch – für jede Bank einen anderen TAN-Generator. Das ist besonders ärgerlich für die Leute, die – aus welchen Gründen auch immer – kein Smartphone besitzen.
Ganz habe ich es nicht verstanden: ist es nun "sowie die Pin als Sicherheitscode" oder "sowie eine (neue) Pin als Sicherheitscode"? Ich finde, das ist ein beträchtlicher Unterschied, ob man "DIE" PIN der Karte eingibt, oder eben eine neue für online-Transaktionen vergibt.
Abgesehen davon bestehe ich mittlerweile darauf, alle Zahlungen nur noch in Gold zu erhalten! Letztens kam jemand mit so buntem Papier zu mir und sagte, das sei genauso gut, ich würde dafür auch alles bekommen. Tsk, wo kommen wir da hin?
Vincent Haupert ist IT – Experte an der Uni Erlangen – Nürnberg und ist Spezialist auf dem Gebiet Sicherheit bei Banking – Programmen. Er hat bereits 2015 seiner Bank gezeigt, wie man die push – TAN aushebelt.
Vincent Haupert hat eine Keynote am Congress vom Chaos Computer Club gehalten. Das Thema war: "(Un)Sicherheit von App-basierten TAN-Verfahren im Onlinebanking". Ein Video von Dieser Keynote findet man:
https://media.ccc.de/v/32c3-7360-un_sicherheit_von_app-basierten_tan-verfahren_im_onlinebanking
Die Keynote dauert 31 Minuten und beschäftigt sich mit dem Thema "push – TAN" inklusive einer Demonstration wie er seiner Hausbank (Sparkasse) den Popo öffnet.
Have Fun!
Wer nach der Keynote noch eine Push – TAN am Smartphone verwenden möchte, für den gibt es mMn zwei Möglichkeiten:
1. der hat nichts begriffen
oder
2. dem ist Sicherheit schei… egal.
PS.:
Nachdem die Sparkasse alles "klein geredet" hat, hat sich Vincent Haupert zwei Jahre später auf seine Art dafür bedankt.
Er hat unter dem Titel "Die fabelhafte Welt des Mobilebankings" neuerlich eine Keynote am CCC – Kongreß gehalten und den Banken nochmals den Popo geöffnet. Diese Keynote ist eine gute Ergänzung zum ersten Link und dauert 33 Minuten:
https://media.ccc.de/v/34c3-8805-die_fabelhafte_welt_des_mobilebankings
PPS.:
Eine ordentliche 2FA macht nur dann Sinn, wenn dafür zwei unterschiedliche Divices benötigt werden. Wenn ein Gerät kompromittiert ist, dann schützt das zweite Gerät.
Ich verwende für die Authentifizierung das Verfahren mit Card – TAN. In Österreich hat dafür jede Bank ihren eigenen TAN – Generator. Daß jeder dieser TAN – Generatoren für alle anderen Banken auch funktioniert, das verschweigen die Bangster.