Fallen die Banken mit ihrem Push-TAN-Verfahren beim Online-Banking auf die Nase? Ein Gerichtsurteil, welches in einem Betrugsfall gefallen ist, könnte die Banken in Bredouille bringen, denn der Ansatz, die Transaktionen per Push-TAN-Verfahren in einer App auf einem Gerät freizuschalten, wurde vom Gericht als unsicher eingestuft. Damit könnten Opfer leichter Schadenersatz von Banken einklagen, wenn beim Online-Banking etwas schief geht.
Anzeige
Mir haben sich schon immer die Nackenhaare gesträubt, wenn ich sehe, wie Banken den Kunden ihre Online-Banking-Apps aufs Auge drücken. Ein Gerät und eine App, um sowohl die Online-Bankkonten einzusehen als auch um die Transaktionen freizuschalten. Aus Sicherheitsaspekten ein absolutes No-Go, aber bei den Banken gängige Praxis.
Push-TAN-Verfahren problematisch
Sicherheitsexperten sehen das Push-TAN-Verfahren der Banken seit Jahren als unsicher an – ich hatte 2015 bereits im Blog-Beitrag Online-Banking: mTAN und Banking-Apps unsicher auf Probleme mit Banking-Apps hingewiesen. Der Student Vincent Haupert aus Erlangen hatte bereits im Dezember 2015, auf dem 32C3-Kongress, demonstriert, wie er das Push-TAN-Verfahren der Sparkasse mehrfach hacken konnte. Golem hatte in diesem Beitrag darüber berichtet. Die Sparkassen modifizierten das Verfahren und es wuchs Gras über die Sache.
Gericht stuft Push-TAN als unsicher ein
Nun hat ein Gericht die fehlende Zweifaktor-Authentifizierung beim Push-TAN-Verfahren als unsicher eingestuft. Das Ganze geht aus einem Urteil der 6. Zivilkammer des LG Heilbronn vom 16.05.2023 (AZ Bm 6 O 10/23) hervor, auf das ich über nachfolgenden Tweet und diesen Golem-Beitrag gestoßen bin.
Anzeige
Das Gericht hatte in einem Zivilprozess eines Online-Banking-Kunden gegen seine Bank über einen Betrugsfall, bei dem sich der Kunde einer groben Fahrlässigkeit schuldig machte (er hatte TANs generiert und an Betrüger weitergereicht), zu befinden. Weil der Kunde grob fahrlässig handelte, wurde die Bank aus der Haftung entlassen. Aber eine Feststellung des Gerichts im Urteil lässt aufhorchen, den die Richter schrieben im Urteil:
- Das sog. pushTAN-Verfahren, in dem die TAN auf dem Mobiltelefon in einem anderen Programm (App) angezeigt wird, als demjenigen, das den Bankzugang ebenfalls mittels auf demselben Smartphone installierter BankApp (SecureGo-App) vermittelt, weist ein erhöhtes Gefährdungspotential auf, da eine Verwendung nur noch zweier Apps auf einem Gerät statt Nutzung getrennter Kommunikationswege erfolgt.
- Es liegt deshalb keine Authentifizierung aus wenigstens zwei voneinander unabhängigen Elementen i.S.v. § 1 Abs. 24 ZAG vor, weshalb die für die Annahme eines Anscheinsbeweises für die Autorisierung einer Zahlungsanweisung im Sinne von § 675w BGB erforderliche sehr hohe Sicherheit nicht bejaht werden kann.
Ist etwas sperriges Juristendeutsch bedeutet aber folgendes: Wenn beim Banking per App – hier SecureGo-App der Volksbanken – am Smartphone etwas schief geht, und die Bank nicht nachweisen kann, dass der Kunde grob fahrlässig gehandelt und z.B. TANs generiert und an Betrüger weiter gegeben hat, wird die Bank haften. Das war beispielsweise der Fall, bei dem einem Ehepaar unberechtigt Gelder vom Konto durch einen Betrüger abgebucht wurden, ohne dass dieses TANs herausgegeben hatte. Die Bank konnte den Kunden keine Fahrlässigkeit nachweisen und musste Schadensersatz leisten.
In letzter Konsequenz könnte dies bedeuten, dass die ganzen Banking-Apps, die auf Zweifaktor-Authentifizierung setzen, eingestampft werden müssen, weil bei Schadensfällen kein Anscheinsbeweis von der Bank erbracht werden kann. Anscheinsbeweis bedeutet, die Bank kann argumentieren "unsere Banking-App ist sicher, der Fehler muss beim Kunden liegen, der hat die Transaktion, die zum Schadensfall führte, selbst autorisiert".
Laut Paragraf 1 Absatz 24 Zahlungsdiensteaufsichtsgesetz (ZAG) erfordert aber eine sichere Authentifizierung wenigstens zwei voneinander unabhängige Elemente, was aber bei einer Banking-App nicht gegeben ist. Da die Richter in obigem Fall das Push-TAN-Verfahren als unsicher im Hinblick auf einen Anscheinsbeweis eingestuft haben, müssten die Banken nun von ihren Banking-Apps abrücken und andere Verfahren zur Transaktionssicherung anbieten. Diese gibt es ja mit den TAN-Generatoren, die beim Online-Banking am Browser genutzt werden können und bei vielen Banken zusätzlich eine Bankkarte zur Autorisierung am TAN-Generator erfordern (siehe folgende Artikel).
Ähnliche Artikel
Postbank: App und/oder SealOne statt chipTAN – Teil 1
Volks- und Raiffeisenbanken stellen SMS-TAN-Verfahren zum 30.9.2022 ein – Teil 2
Sparkassen und Volksbanken: Ende des [alten] chipTAN-Verfahrens – Teil 3
Online-Banking und Apps: Was die Kunden wünschen – Teil 4
Online-Banking und die Sicherheit von Banking-Apps – Teil 5
Online-Banking und Absicherung per chipTAN USB – Teil 6
Online-Banking: mTAN und Banking-Apps unsicher
Anzeige
Es war schon immer eine schlechte Idee, Banking-App und Authentifizierungs-App auf dem gleichen Gerät zu haben.
Sicher ist das Push-TAN Verfahren nur, wenn die TAN auf einem anderen Gerät generiert wird als dem, auf dem sich die Banking-App befindet. Also, indem man 2 Smartphones benutzt. Macht aber aus Bequemlichkeit niemand.
Das könnten die App-Hersteller ganz einfach verhindern, indem sie einfach die IMEI abprüfen: Die TAN kann nicht zur gleichen IMEI gesendet werden, die ein Gerät hat, auf dem die Banking-App läuft.
Dual-SIM-Handys haben zwei IMEI, das ist keine so gute Idee. Knackpunkt ist, dass mit dem Urteil im Prinzip das ganze Verfahren, nur mit dem Handy mal eben von unterwegs was zu überweisen, für unsicher eingestuft wird. Das wollen die Banken aber nicht aufgeben, das kostet ja evtl Kunden…
Dann müssten alle Authentifizierungsapps bei der Installation prüfen, ob eine Banking-App installiert ist und dann die Installation verweigern. Bzw. umgekehrt auch die Bankingapps bei der Installation prüfen, ob eine Authentifizierungsapp installiert ist und dann die Installation verweigern.
Und was Dual-SIM Geräte angeht:
Wie viele haben so ein Gerät?
Mit der Abbrüfung der IMEI könnte man zwar nicht alle, aber einen Großteil der Geräte herausfiltern.
die meisten Geräte sind mittlerweile DualSIM (zumindest 1x Sim + 1x eSIM)
Man muss ja nicht mal die Installation verweigern. Es wurde ja schon reichen, dass man eine Mobil-Transaktion nicht vom selben Gerät freigeben kann.
Einfach nur nein.
Nur ChipTAN ist sicher, da mit keinem Netz verbunden und die einzige Verbindung ist direkt zwischen Karte und Mikrocontroller, den man aus der Ferne nicht hacken kann.
Meinetwegen auch auch PhotoTAN, aber nur als eigenes Gerät, aber niemals als "App."
Wenn man das ohne dedizierten Generator (airgapped) macht, dann macht man es halt einfach falsch!
App == Billiglösung.
Die alten Hasen hier werden sich noch erinnern als man Früher™ sogar sein eigenes Terminal besaß, samt SmartCard zum Online-Banking.
Es hat einen Grund warum man diese Sicherheitsstandards heute noch in Firmen findet, denn die lassen sich mit Billiglösungen nicht abspeisen.
Alte Hasen stimmt und hab ich heute noch im Einsatz: ReinerSCT mit Chipkarte
Was Dual-SIM-Geräte angeht:
Jedes iPhone seit 2018 …
Meine IMEI ist auf der Handyschachtel abgedruckt, unabhängig von irgendeiner SIM-Karte. Richtig ist nur, dass die SIM die Handy-IMEI sichtbar macht z.B. für die Banking App
Das sehe ich genau gleich.
Eine Zwei-Faktor-Authentifizierung bringt nur etwas, wenn sie mittels 2 verschiedenen Geräten erfolgt.
Aber welches Dööfi macht schon E-Banking via Stupid-Phone?
Um Deine Frage zu beantworten: in der passenden Situation jeder, der es kann. Da reicht es, dass die "bessere Hälfte" aus welchem (wichtigen) Grund auch immer mal eben eine Echtzeitüberweisung braucht, während man selbst irgendwo unterwegs ist, wo man keinen Zugriff auf ein Zweitgerät hat.
Ich würde meine Freundin an der Zapfsäule der Tankstelle in irgendeiner Stadt jedenfalls nicht stehen lassen, wenn ich selbst in einer anderen Stadt unterwegs bin und nur die Möglichkeit der sofortigen Handlung besteht, um den Tankwart nicht zum Hörer greifen zu lassen. Trotz des Risikos, das damit verbunden und mir zudem bekannt ist.
Und dafür brauche ich keine 2 Banking Apps. Mein Brauser und die Authentifizierungsapp der Bank reichen da völlig.
Das Risiko, dass der Tankwart zum Hörer greift, tendiert gegen Null, wenn man mit entweder Perso reingeht und ein schriftliches Schuldanerkenntnis abgibt oder aber ein vom Tankwart akzeptiertes Pfand hinterlegen darf (Letzteres ist reiner Goodwill des Tankwarts).
Notfalls erklärt man es der vom T. gerufenen Polizei und die erklärt es dann dem T.
Die DKB macht es mit ihrer "neuen" Banking-App noch absurder. Da ist der Authorisierungsteil und der eigentliche Bankingteil alles in einer App. Das sichere Verfahren mit der GIROcard und dem TAN Genarator oder aber mit der PushTAN App wird eingestampft.
Für das Anmelden im Webbrowser auf einem PC/Laptop muss man auf dem Smartphone zwingend diese "neue" App haben, die alten Varianten sollten laut Informationen abgeschaltet werden. Leider funktioniert diese neue App auch nicht mit Bankingsoftware ala Banking4 oder MoneyMoney etc.
Wenn man sich nun zum Anmelden authorisiert (mit der neuen App) wird gleichzeitig der Zugriff auf das Konto in der App gestattet. Dort kann man dann gleich mal schnell was überweisen, wobei man dort keinerlei TAN mehr benötigt. Ein Fingerabdruck oder Gesichtsscan reich dafür schon. Wo bitte ist denn da die 2-Faktor-Authorisierung.
Man ist ja nicht gleich ein "Dööfi" wenn man dazu gezwungen wird, eine App in dieser Form zu benutzen, um sich bei der Bankseite online anzumelden, wenn diese die einzige Möglichkeit darstellt.
Ich begreife nicht, wie das erlaubt sein kann. Prüft das niemand?
Andere Banken machen das leider auch nicht unbedingt besser. (ING, comdirect…)
Ich hab dies all meine Banken erzählt, als eine nach dem anderen diesen Mist eingeführt hat.
Aber es interessiert niemanden und "der freie Markt" regelt hier wie es ein Monopolist nicht besser machen könnte.
Ich versuche nun also eine Android-VM auf dem PC zu haben um dort meine "Banking Apps" zu verwalten. Doch das alles ist Dreck.
Das mit der Android VM wird nicht gehen.
Diese prüft, ob wirklich nur der Hersteller nebst NSA mal "root" auf dem Gerät waren.
Die Geräte haben spezielle Write Only Flags "ich bin gerootet (gewesen)". III s
Du musst z B. bei der Diba einen der super günstigen Phototan Generatoren für nur 36 Euro haben, oder ein Handy mit deutscher SIM Karte.
Es ist also total sicher. Die beiden Apps (Banking und Tan) laufen in völlig getrennten Umgebungen. Da kann nichts passieren
Gerne erinnert man sich an den Sparkassen Hochsicherheits Browser. Der durfte auch auf infizierten Systemen benutzy werden.
Was du sagst ist zwar wahr, aber dann musst du auch sagen, dass es XDA und Magisk gibt, mit letzterem kann man Root mit fast esoterischen Methoden vor Apps verstecken. Habe die ein oder andere App überzeugt mein "rooted" Android hätte kein root.
Es geht, es ist mühsam. Dein Rat zu Hardware-Generatoren ist besser.
"Ein Fingerabdruck oder Gesichtsscan reich dafür schon. Wo bitte ist denn da die 2-Faktor-Authorisierung."
Ich würde meinen, dass ist der zweite Faktor. Die App auf einem authorisiertem Gerät in Verbindung mit einer PIN oder biometrischem Merkmal.
Kann ich nur nachdrücklich vor warnen. Gerade vor wenigen Tagen noch einen Artikel gesehen (habe es im Blog nicht thematisiert), der nachwies, dass eine Videoaufnahme einer Person, wo die Hände zu sehen sind, reicht, um ggf. einen Fingerabdruck zu faken. Titelbild war "Zensursula" aus einem Vortrag mit schön abgebildeten Händen.
Wird zwar nicht Hinz und Kunz treffen, aber die Gefahr ist real.
Da kommt man auch bei der Schuldabwälzung der Banken nicht mehr raus. Beweise mal, dass das jemand mit dir gemacht hat und danach dein Konto leer war.
Wenn biometrische Merkmale abhanden kommen kann damit gut Schindluder getrieben werden und keiner glaubt einem.
Dann kennst Du den Grund, warum ich keine biometrischen Merkmale zur Authentifizierung einsetze.
"Man ist ja nicht gleich ein "Dööfi" wenn man dazu gezwungen wird, eine App in dieser Form zu benutzen, um sich bei der Bankseite online anzumelden, wenn diese die einzige Möglichkeit darstellt."
Teils, teils oder gleich zwei Dööfis. Denn, die Bank die das so macht u. der Kunde der sich nicht sofort eine andere, sichere Bank sucht und die unsichere eben kündigt oder dort nichts (mehr) online macht. Habe gleich 2 Banken gekündigt – andere Väter haben auch schöne Töchter.
Aber Smartphone u. Banking? Mich wundert, dass das hier noch diskutiert wird.
Ist bei der Ing auch nicht anders … mal schauen, vielleicht greife ich den aktuellen Fall des obigen Urteils mal auf, um einige Banken mit Anfragen zu nerven.
Bist mein Held, wenn du so erzwingen kannst, das Banken gezwungenermaßen mehrere Verfahren anbieten können.
Ja ich bin ein Zelot und Dogmatiker, aber ich bin auch ein liberaler: Wer App nutzen will soll es tun, solange ich Hardware-Generatoren nutzen darf. Jede Seite soll ihr Recht haben.
Also zumindest bei der ING kann man durchaus auch ohne Banking-App, dafür mit Web-UI und TAN-Generator… Man muss dann halt den Generator mit 'rumschleppen oder kann nur dort banken, wo der Generator liegt.
Mach mir keine Panik :D
https://www.teltarif.de/dkb-banking-abschaltung/news/92056.html
"Das chipTAN-Verfahren soll weiter verfügbar bleiben. Der Zugang bleibe erhalten, und die DKB arbeite an einer hardwarebasierten Lösung für das neue Banking. Damit sei es weiterhin möglich, Bankgeschäfte zu erledigen, ohne eine App installiert zu haben." 7.6.23
Ich hoffe ja inständig das ich ChipTAN mit separatem LeseGerät von ReinerST noch ewig verwenden kann.
Zumindest mit meiner neusten HASPA-Debit-Karte (VPay?) funktioniert ChipTAN weiterhin.
Und ich hoffe das es bei der DKB auch noch möglichst lange funktioniert.
ChipTAN wurde bei der Sparda und ING abgeschafft, es geht nur noch Foto-Tan auch bei der Anmeldung(ING).
Ich nutze sowohl ChipTAN als auch PushTAN für dasselbe Konto. Die Sparkasse bot mir das an, als ich online nachfragte, wieso mir im Browser die Option, diesen als vertrauenswürdiges Gerät zu speichern, nicht angezeigt wird, bzw. nur, wenn ich mich vertippe und eine ungültige Benutzerkennung eingebe, womit das ja sinnlos ist. Da ich auf ChipTAN umgestellt hatte, ginge das nicht mehr, weil sie das nur bei der Nutzung von PushTAN anbieten.
Erste lehnte ich wegen Sicherheitsbedenken dankend ab. Doch dann hatte ich auf den Seiten der Sparkasse eingehend recherchiert, wie das überhaupt gehen soll, und hatte dann eine Idee.
Man bekommt für dasselbe Konto einfach einen zweiten Online-Zugang mit separater Benutzerkennung und natürlich auch separatem Kennwort. Ich nutze es jetzt so:
Am Laptop/PC mit der PushTAN-Kennung. So kann ich den Browser als vertrauenswürdig speichern und benöte für die reine Anmeldung nur meine Kennung und das Passwort. Für Transaktionen braucht man natürlich die Freigabe über den Schieberegler in der PushTAN App. Laptop/PC und Smartphone sind zwei getrennte Geräte.
Am Smartphone nutze ich in der Konto-App weiterhin nur die ChipTAN-Kennung. Da braucht man für die reine Anmeldung in der Konto-App ohnehin keine TAN. Für Transaktionen ist natürlich eine TAN nötig, die hier dann vom eigenständigen ChipTAN QR Generator, in den ja die Girogard kommt, erzeugt und manuell eingetippt wird. Mit Smartphone und Chip-TAN-Generator hat man hier auch zwei getrennte Geräte.
So habe ich die Bequemlichkeit, dass ich zur reinen Kontrolle der Umsätze/des Kontostandes auf beiden Geräten keine TAN benötige, mit der Sicherheit getrennter Geräte kombiniert.
Natürlich habe ich für's Banking eine separate Sandbox angelegt, in welcher ich den Browser dann starte. Diese wird, anders als die anderen Sandboxen, beim Schließen des Browsers nicht geleert und der Browser ist darin auch so eingestellt, dass die Cookies beim Schließen nicht gelöscht werden. Sonst wäre ja das Device-ID Cookie weg und der Browser würde beim Log-in nicht mehr wiedererkannt werden, wodurch man für das Log-in dann wieder eine TAN benötigen würde.
Wenn ich mir diese lange und komplizierte Beschreibung aller erfolgreichen Verrenkungen durchlese, dann stolpere ich über das Wort „Bequemlichkeit".
Verglichen damit war es eigentlich viel komfortabler, einmal in der Woche zu Fuß ein paar Rechnungen zur Bankfiliale zu tragen und den freundlichen Angestellten alles erledigen zu lassen. Einen schönen Kalender gab es um diese Jahreszeit auch noch dazu geschenkt.
Was einem als Vereinfachung präsentiert wird, macht das Leben nicht immer leichter.
"Was einem als Vereinfachung präsentiert wird, macht das Leben nicht immer leichter."
Doch. Halt eben nur nicht immer für den Nutzer. Für die Banken wird das Leben erheblich leichter, generieren sie doch durch Deine aktive Mitarbeit durch die Kontoführungsgebühren deutlich mehr Gewinn, weil für die Führung Deines Kontos immer weniger Personal notwendig ist. Und weniger Filialen. Und natürlich weniger Kalender.
Und am Ende verschwindet dann auch das Bargeld, was ja offensichtlich das eigentliche Ziel ist. Anders kann man sich die Unfähigkeit bzw. den Unwillen der Banken, die Automaten gegen Angriffe abzusichern, sowie das stetige Schließen von Filialen und Automatenstandorten nicht mehr erklären.
Das Konstrukt hat einen weiteren Vorteil: Sollte das Smartphone nicht verfügbar sein (weil defekt oder verloren) und gleichzeitig das Device-ID-Cookie im Browser abgelaufen oder verloren sein, kann ich mich immer noch mit der ChipTAN Kennung einloggen, muss dazu dann aber jedes Mal eine TAN mit dem Generator und der Girocard erzeugen. Sollte hingegen die Girocard verloren gehen, macht das diesbezüglich gar nichts, denn am Laptop/PC nutze ich ja PushTAN und gebe die Aufträge am Smartphone frei.
Nur wenn Smartphone und Girocard nicht verfügbar wären, ginge gar nichts mehr. Eine neue Girocard hat man aber ab Beauftragung schätzungsweise nach spätestens 10 Tagen im Briefkasten.
Eigentlich müsste man sich ein Ersatz-Smartphone zulegen und es natürlich auch einrichten. Die Sache ist nur die, dass man sich wegen der alternden Betriebssysteme statt einem dann zwei spätere Briefbeschwerer schafft.
Ich habe schon versucht, mit verschiedenen "Android auf x86" Systemen in VirtualBox eine Alternative zu finden, aber das funktioniert mit den Apps der Banken nicht, weil sie da keinen verriegelten Bootloader vorfinden. Außerdem würde es z. B. bei der DHL-App nichts nützen, denn die braucht man ja an der Packstation, selbst wenn man den QR-Code im WLAN erstellen lässt und dann offline dorthin geht, was einige Stunden lang funktioniert, solange die App nicht geschlossen wurde.
Man ist dem Smartphone tatsächlich immer mehr ausgeliefert und das ist in der Tat nicht nur beunruhigend, sondern sogar beängstigend, wie die ganze technische Entwicklung und Vernetzung insgesamt! Eine Horrormeldung über Datendiebstahl jagt die nächste und sie werden immer größer!
Eine TAN-Erzeugung über eine Andoid-App finde ich sowieso unsicher. Letztlich will nur die Bank die Haftung auf den Kunden abwälzen, wenn Chip-TAN ("Sm@rt-TAN" bei Volksbank) eingestellt werden soll. (Schon gehört von einer Volksbank) Wenn das Mobilgerät keine Updates mehr bekommt oder eine Spyware-App (z.B. TikTok, Temu) aus den Playstore sein Unwesen treibt, dann ist eben der Kunde in der Verantwortung.
Übrigens sollte man nie Android oder IOS als sicheres System ansehen, hier gibt es im Hintergrund einige "Telemetriedienste" die Daten abgreifen.
Fast alle Handys haben nfc, dann soll halt die Bankkarten plus pin am Handy gehalten werden. Oder als zweiten Faktor den E-Perso plus Pin.
Wäre eine denkbare Möglichkeit, scheitert aber an der Praxis. Der ePerso ist eine Totgeburt, weil alleine das Einlesen des Plastik ePersono schon bei einem Großteil der Smartphones scheitert (ich habe da vor 2 Jahren ziemlich viele Tests gemacht – man hat ein Verfahren "Extended Lenght-Kommunikation" eingeführt, welches erst ab Android 9 unterstützt wird). Inzwischen habe ich ein oder zwei neuere Geräte, die die AusweisApp2 unterstützen – wobei es da den PC zur Authentifizierung braucht.
Das dürfte dann aber nicht nur die Push-TAN betreffen.
Meine Bank bietet für Überweisungen 3 verschiedene Authentifizierungsverfahren an:
* Push-TAN
* Photo-TAN
* TAN per SMS (kostenpflichtig)
Alle drei ermöglichen mir mit nur einem Gerät in der Hand (eben dem Smartphone) Überweisungen etc. bis zu einem festgesetzten Limit auszuführen.
In allen Fällen ist es aber die Faulheit des Benutzers, nur ein Gerät mit sich herumtragen zu wollen.
Genauso gut könnte ich einen separaten TAN-Generator oder Photo-TAN-Leser nutzen bzw. die SMS einfach aufs Handy der Freundin gehen lassen.
Photo-TAN mit einem separaten Generator (Kartenleser) und Überweisungen am Desktop sind in meinen Augen als sicher anzusehen. Problem ist, dass die Banken das Smartphone sowohl als TAN-Generator (intern) als auch Banking-App einsetzen. Somit fällt das 2. Gerät weg.
Versteh ich jetzt nicht ganz. Wenn ich einen separaten Tangenerator verwende ist der doch das zweite Gerät. Ist das dann nicht identisch mit der Anwendung am PC?
Bei der ING vermisse ich auch den 2. Faktor. Mit der ING-Banking-App können alle Transaktionen durchgeführt und freigegeben werden. Die 5-stellige mobile PIN wird hierbei sowohl für den App-Start als auch für die Freigabe von Transaktionen verwendet. Sicherheit geht anders…
Und die itan Listen wurden ja verboten … ja, ja, …
Nach dem o. g. Urteil dürften die Banken den schwarzen Peter haben, wenn da unkontrollierte/schlecht authentifizierte Abflüsse von Konten stattfinden.
Meine Meinung
iTAN war ja auch massiv unsicher!
Äh, nein.
Ein One-Time-Pad bei dem ein zufälliger Eintrag abgefragt wird ist sicher.
Ein Angreifer muss schon die ganze Liste klauen. Deren Besitz ist nun wirklich ein klassischer zweiter Faktor, der online nicht zu umgehen ist.
Alle Phishing-Attacken die mit iTAN funktionieren, funktionieren ganz genau so auch mit PushTAN-App. Nur dass die App auch noch über das Internet angreifbar ist.
Wir werden da noch wesentlich mehr Meldungen bekommen.
Das Banking gehört so nicht auf das Handy, wer es macht muss mit möglichen Scherereien rechnen.
Echte 2 Faktoren sind nun mal für ein Mindestmaß an Sicherheit erforderlich.
Wie lange geht das eigentlich jetzt schon, 5 Jahre?
Ihr überseht irgendwie den 2. Faktor. Auf meinem iPhone muss ich mich bei SecureGo entweder beim öffnen mit Passwort anmelden oder TouchID / FaceRecognition.
Wenn ich also in der normalen Banking App eine Transaktion auslöse, die eine PIN erfordert muss ich die andere App öffnen, die auch nach einem Passwort verlangt, bevor mir die TAN angezeigt wird
Eine bösartige App könnte aber das Passwort der 2. App abgreifen und so beide Apps miteinander verknüpfen, so das die von der 2. App generierte TAN automatisch in die Banking-App eingegeben wird.
Und deshalb gehören die beiden Apps auf unterschiedliche Geräte!
2FA ist nur sicher, wenn beide Faktoren auf unterschiedlichen Geräten sind.
Ich finde ja meinen Tan-Generator noch die beste Lösung.
Den trägt man auch nicht die ganze Zeit mit sich rum und es muss auch nicht alles neu eingerichtet werden, wenn der mal kaputt geht. Was auch nicht sehr häufig vorkommen sollte, da man ihn ja nicht mit sich herumträgt. Die Lebensdauer/Supportdauer von dem Ding übersteigt auch die Lebensdauer vom Smartphone i.d.R. bei Weitem. Zumal ich den Tan-Generator schneller zu Hand habe als das Smartphone und man braucht auch kein WLAN/Datenverbindung.
Ich stand jetzt auch vor dem Problem, dass zwei Banken im Grunde auch nur über APP den Zugriff erlauben bzw. ich hätte mir separate Generatoren kaufen müssen. Meine bisherige Bank hat die Android Version auch nicht mehr unterstützt. Ich hab mir dann extra ein Smartphone für das Banking und andere Sachen besorgt, unterwegs nutze ich mein altes Smartphone. Aber sobald man das Smartphone mal resetten muss gibt es schon Probleme.
Eigentlich sollte man den Zugang auf min. 2 Smartphones einrichten, damit man dann den Ärger mit der neuen Einrichtung nicht hat.
Das ist so eine bekloppte Lösung, dass Gerät mit den man den Zugang zum Banking hat mit sich rumzutragen bzw. dann sind Smartphones auch relativ fragil und gehen evt. auch mal verloren.
ChipTAN geht aber nicht mit den Visa Debitkarten die die Banken jetzt gerne als Ersatz für die EC-Karte verteilen, deswegen wird das wohl oder übel aussterben.
Naja Giropay geht jetzt ja auch nicht mehr per Online-Banking da braucht es jetzt auch einen extra Account für.
Auch so ne witzige Sache, Online bezahlen mit der Prepaid VISA von der Comdirect. 200 Franken im schweizer Onlineshop bzehalen, keine Abfrage, 50 Doller im Onlineshop aus den USA bezahlen keine Abfrage. 10€ im deutschen Onlineshop bezahlen, erstmal mit Onlinebanking Zugang anmelden und eine TAN mit TAN-Generator generieren :)
Du must ja keine Debit Karten nehmen (you get what you pay for)
Ansonsten gibt es durchaus extra Karten die nur für ChipTan genutzt werden können (also ohne eine GiroKarte etc zu sein)
Die Frage ist nur ob deine Bank (ohne bohrendes Nachfragen) diese anbieten kann und will.
Naja bei den Zinsen die ich bei der Bank aufs Tagesgeld bekomme bzw. nicht bekomme müssten die mir eigentlich einen vergoldeten TAN Generator schicken :) Ich bin aber trotzdem zu faul zum Wechseln, ich habe ja noch eine kostenlose EC-Karte bzw. sogar zwei und das FotoTAN Verfahren mit extra TAN Generator. Solange die mich nicht dazu zwingen eine APP einzusetzen oder Strafzinsen einführen bleib ich da wohl.
>> ChipTAN geht aber nicht mit den Visa Debitkarten die die Banken jetzt gerne als Ersatz für die EC-Karte verteilen <<
Die Desinformation ist stark in dir. Natürlich geht das technisch.
Der Chip auf einer Debit/Kreditkarte kann auch für TAN-Generierung verwendet werden, wenn dort ein entsprechender Key drin abgelegt wird.
Meine Frau steckt gerne mal versehentlich die Kreditkarte in den TAN Generator und wundert sich dann, dass er die PIN will und die TAN dann nicht funktioniert.
In Österreich soll ChipTAN mit Visa Debit schon seit Jahren Standard sein.
Meine Bank will mir demnächst eine Girocard mit Masterdebit Co-Badging und ChipTAN Fähigkeit ausstellen.
Es geht also!
Ich mache Online-Banking nur via FinTS und Software auf dem PC .
Lange Zeit war Stand der Technik eine spezielle Chipkarte + Kartenleser mit eigener Tastatur, auf der die PIN eingegeben wurde.
Dieses in meinen Augen immer noch beste und sicherste System wurde mir leider von Deutscher Bank und Sparkasse gekündigt und durch eigene Lösungen PhotoTAN sowie PushTAN bzw. in meinem Fall USB-TAN abgelöst.
Das hatte nichts mit Sicherheit zu tun, sondern damit, dass die User kein Geld für einen Kartenleser ausgeben möchten und sowieso alles lieber per App(s) auf dem Smartphone machen. Schade eigentlich…
mit USB-TAN bist du doch nicht weit von
"Lange Zeit war Stand der Technik eine spezielle Chipkarte + Kartenleser mit eigener Tastatur, auf der die PIN eingegeben wurde."
entfernt.
Ja, das ist vielleicht am nächsten dran.
Allerdings wird die PIN über die PC-Tastatur eingegeben und das Lesegerät dient zusammen mit der Girokarte als TAN-Generator, da muss ich nach dem Einstecken dann viermal Ok drücken.
Sicherer scheint mir das jedenfalls nicht.
mit der PIN kannst du ja "nur" lesen, das ist auch bei allen anderen TAN Verfahren so.
Bei dem FinTS Verfahren das du genutzt hast/nutzt, ist es aber in den meisten Fällen (da entweder der Kartenleser oder die Bank kein Seccoder 2 unterstützt und du somit nicht am Kartenleser selbst sieht und bestätigst was du da überhaupt freigibst.
Somit könnte man noch immer den PC kompromittieren und was anderes auf dem PC Bildschirm anzeigen als das was du freigibst.
Man kann bei der Deutschen Bank ein seperates Phototan Lesegerät bestellen (Wenn man Phototan nutzt). Das Phototanlesegerät ist ein geschloßenes System (Keine Internetverbindung möglich). Wird betrieben mit 3x 1,5 Volt Micro AAA Batterien (1,2 Volt Micro AAA Akkus gehen auch ohne probleme). Onlinebanking über App kommt für mich nicht in Frage, bin daher auf das Phototan lesegerät umgstiegen (Von Chipkarte + Kartenlesegerät). Nur als Tipp wenn du Onlinebanking über die App nicht machen möchtest.
Ich mache wie beschrieben das Online-Banking nicht per App sondern per PC-Software via FInTS.
Die DB-App dienst dabei nur als Phototanlesegerät, daher brauche ich kein gesondertes Lesegerät.
Ich finde die Büroarbeit am PC (Laptop mit Dockingstation) insgesamt komfortabler, weshalb ich auch alle Überweisungen von dort initiiere und sich für mich die Frage eigentlich nie stellte, da die 2Faktor-Verifikation bei den verschiedensten Diensten seit jeher über das Smartphone als separates Gerät läuft.
Ich muss zugeben, dass ich die Problematik nicht verstanden habe. Vielleicht kann mich jemand aufklären.
Mein 2. Faktor („besitzen") ist mein Handy mit der installierten und registrierten Freigabe-App. Wenn jemand das Handy in seinen Besitz bringt und auch den ersten Faktor, das Passwort („wissen") in Erfahrung bringen kann, wieso macht es dann einen Unterschied, ob er das eigentliche Banking auf dem gleichen Handy oder auf irgendeinem anderen PC startet? Im einen wie im anderen Fall kommt er rein.
Das einzige, was mir einfällt, wäre, wenn mein Handy gehackt und sowohl die Freigabe-App wie das eigentliche Banking kompromittiert sind. Ein aber wohl eher unwahrscheinliches, wenn auch natürlich nicht ganz auszuschließendes Szenario. Soll das der wesentliche Unterschied sein?
der 2 Faktor ist in diesem Zusammenhang aber ein 2. unabhängiges Gerät und nicht das Passwort.
Ja, genau das ist es.
Oder weshalb wohl wurde iTAN verboten?
Bei einem separaten Gerät müsste man auch das hacken und irgendwie eine Verbindung zwischen den 2 gehackten Geräten aufbauen.
Noch sicherer ist ein externer TAN-Generator, denn der lässt sich nicht hacken.
Wobei ich mich frage, warum man eine Banking-App auf dem Smartphone braucht.
Ich muß nicht jederzeit Überweisungen tätigen können und den Kontostand muß ich auch nicht permanent im Blick haben.
Das müssen doch eigentlich nur Leute, bei denen am Ende vom Geld noch viel Monat übrig ist.
Ist es nicht egal ob wir eine 2, 3 oder 4 -FA nutzen, wenn Bösewicht*innen mit einer Keule/Pistole hinter einem sitzt ?
Auch für sowas gibt es Lösungen.
Es gibt z.B. Tresore mit 2 Kombinationen, die eine öffnet den Tresor ganz normal, die zweite auch, löst aber zusätzlich einen stillen Alarm aus.
sagen wir es mal so nach der ersten Kniescheibe habe ich jedes PW / PIN /sonstwas ;-P gibt dann noch die etwas Härteren, aber bei der zweiten Kniescheibe ist auch da Schluß ;-P
Der Vorteil bei "Hackern" ist ja aber das die im allgemeinen aus der Ferne arbeiten.
Das mTan Verfahren wurden als unsicher eingestuft. Daraufhin haben (alle?) Banken das Verfahren und eine Push-TAN Varianten umgestellt in den letzten Jahren.
mTan war aus genau den Gründen unsicher wie in den zitierten Urteil.
Die Push-TAN Apps haben aber eine vom Bankkonto unabhängige Authentifizierung, woraus ich für mich schließe, dass der 2. Faktor doch erfüllt ist.
Entweder durch Fingerabdruck oder eine Push-Tan-App- PIN die bei JEDER Transaktion abgefragt wird.
Die dedizierte Freigabe lässt sich mit den mir bekannte Apps auch nicht umgehen oder grundsätzlich zwischenspeichern, es sei denn es erfolgen direkt hintereinander mehrere Aufträge, wovon der erste die Authentifizierungsaufforderung erzwunden hat.
Also ich kann mich erinnern, das in einer meiner ersten Geschäftsbedingungen stand, dass die Buchung und der zweite Faktor nicht am gleichen Gerät ausgeführt werden darf. Inzwischen gibt es den Passus nicht mehr, könnte aber auf Grund des Urteils wieder aufkommen, der schwarze Peter wäre wieder beim Kunden.
Ansonsten wurde ich vom Bankberater schon blöd angeschaut, als ich bei meiner gerade volljährig gewordenen Tochter darauf bestand, dass nicht die Pushapp freigeschaltet werden sollte, sondern stattdessen ein Tangenerator beigelegt werden sollte. Das ersteres kein echtes 2-Faktor-System sei, konnte er überhaupt nicht verstehen.
Da geht es halt auch einfach wieder nur um Kosten und fehlende Ausbildung
Achso, bei den heutigen Mobiltelefonen könnte auch der physische Personalausweis durchaus als zweiter Faktor herhalten.
Lustiger weiße geht aktuell bei mir die SecureGo App überhaupt nicht. Es kommen überhaupt keine TAN Abfragen an. Ich gehe davon aus das gerade bei der Atruvia die Köpfe rollen zumal in der PSD2 Richtline von zwei Geräten und nicht von zwei Apps auf dem gleichen Geräte die Rede ist.