![\"\"](\"https:\/\/i.imgur.com\/DNxhm89.jpg\")
Aktuell stellen die diversen Banken die Authentifizierung von Transaktionen beim Online-Banking von bestehenden Verfahren (z.B. SMS-TAN, chipTAN mit Flicker-Code) auf andere Verfahren um. In Teil 1 hatte ich einen Blick auf die Postbank geworfen. In Teil 2 gehe ich darauf ein, dass die Volks- und Raiffeisenbanken das (unsichere) SMS-TAN-Verfahren zum 30.9.2022 einstellen. Kunden sollen die TAN-App VR Secure Go nutzen. Hier ein kurzer Blick auf diesen Sachverhalt.<\/p>\n
<\/p>\n
Zur Absicherung von Transaktionen wie \u00dcberweisungen soll das VR Securego plus<\/a>-Verfahren der Atruvia AG<\/a>, das ist der IT-Dienstleisters der Volks- und Raiffeisenbanken, zum Einsatz kommen. Dazu ben\u00f6tigen die betroffenen Kunden die VR-SecureGo-App, die von der Atruvia AG kostenlos im Google Play Store bereitgestellt wird.<\/p>\n Die App wurde \u00fcber eine Million Mal aus dem Store heruntergeladen – schockiert hat mich aber die Bewertung mit einem Stern im Google Play Store. Es scheint wohl Kompatibilit\u00e4tsprobleme mit der App zu geben, wie ich einigen Kommentaren entnahm.<\/p>\n Erg\u00e4nzung:<\/strong> In nachfolgendem Kommentar wird darauf hingewiesen, dass es eine VR SecureGo und eine VR SecurGo plus App gibt. Die alte VR SecureGo-App sollte eigentlich seit 2021 abgeschaltet sein. Der Unterschied zwischen den Apps besteht darin, dass VRSecureGo plus auch die Kreditkarten-Authorisierung unterst\u00fctzt (siehe<\/a>). Bei der VR Ravensburg-Weingarten habe ich die Information gefunden<\/a>, dass die VR SecureGo-App zum 21. Juni 2021 deaktiviert worden sei. In den Screenshots hier im Artikel ist die VR SecurGo-App zu sehen. Die Bewertungen der VR SecurGo plus-App sind aber auch nicht besser – auch wenn dort 2 Millionen Downloads zu verzeichnen sind.<\/p>\n Die VR SecureGo plus App ist ab der iOS-Version 13 sowie ab der Android-Version 6 nutzbar. Aktuell l\u00e4sst sich die VR SecureGo plus App, laut der SeiteVR Securego plus<\/a> nicht auf neuen Ger\u00e4ten des Herstellers Huawei nutzen, weil diese keine Google-Services wie den Google Play Store unterst\u00fctzten. Aktuell wird gepr\u00fcft, die VR SecureGo plus App auch per Huawei-Plattform, der Huawei App Gallery, bereitzustellen.<\/p><\/blockquote>\n Dass das SMS-TAN-Verfahren (auch als mTAN, mobile TAN bezeichnet) zur Sicherung der Transaktionen eingestellt wird, halte ich f\u00fcr eine gute Sache. Denn SMS k\u00f6nnen ja durch Trickbetrug auf ein anderes Mobiltelefon umgeleitet werden, so dass das Verfahren schon lange als unsicher gilt. Bereits 2015 hatte ich im Artikel Online-Banking-Risiko: Trojaner und mTAN-Betrugsmasche<\/a> auf konkrete F\u00e4lle hingewiesen, wo mTAN von Betr\u00fcgern verwendet wurde, um Konten abzur\u00e4umen.<\/p>\n Jetzt versucht man den vom Aus der SMS-TAN betroffenen Kunden das Verfahren\u00a0 VR Securego plus<\/a> schmackhaft zu machen. Auf der betreffenden Internetseite werden die nachfolgenden Vorteile der VR SecureGo plus App aufgelistet.<\/p>\n Klingt f\u00fcr den unbedarften Kunden super: Authentifikation jederzeit sicher und bequem per Smartphone (Deutschland spricht ja Smartphone). Nur eine App f\u00fcr Online-Banking-Transaktionen und Kreditkarten-Zahlungen – die Aktivierung soll auch per QR-Code schnell gehen. Und man kann auf bis zu drei Ger\u00e4ten mit der App arbeiten. Schlaraffenland?<\/p>\n Mein pers\u00f6nliches Problem beginnt bei der Frage, wie sicher dieser Ansatz ist? Nur mal zum Mitschreiben: Da ist eine App auf einem ggf. unsicheren Android SmartPhone, die sowohl die Auftr\u00e4ge f\u00fcr Zahlungen als auch die Authentifizierung f\u00fcr diese Transaktion erledigen soll. F\u00e4llt das Smartphone in fremde H\u00e4nde und kennen Dritte die Zugangsdaten, k\u00f6nnen beliebige Transaktionen durchgef\u00fchrt werden. Die Verwendung einer EC- oder Debit-Karte zum Nachweis der Berechtigung ist nicht erforderlich und nicht m\u00f6glich.<\/p>\n Ich habe jetzt das Thema Sicherheit nicht bis zum Detail durchdacht und wei\u00df auch nicht, wie die App den Aktivierungscode im Ger\u00e4t ablegt. Aber mein Bauchgef\u00fchl fragt mich, ob die App im Zweifelsfall per Trojaner ausgeforscht und ggf. der Aktivierungscode m\u00f6glicherweise \"entf\u00fchrt\" werden kann. Ein gutes Gef\u00fchl habe ich bei diesem Ansatz jedenfalls nicht.<\/p>\n Ich habe dann die App kurz bei der Plattform Exodus<\/a> anhand ihrer URL im Google Play Store \u00fcberpr\u00fcfen lassen. Positiv ist, dass dort keine Google-Analytics-Tracker (wie z.B. im Beitrag\u00a0 Tracker in Barmer Android Krankenkassen-App (August 2022)<\/a> erw\u00e4hnt) gefunden wurden.<\/p>\n Aber es werden zwei Tracker von VR-SecureGo gemeldet – diese d\u00fcrften von der Atruvia AG stammen. Was die genau machen, ist mir nicht bekannt.<\/p>\n Erg\u00e4nzung: Ich habe\u00a0 die VR SecurGo plus-App mit Exodus pr\u00fcfen lassen. Dort werden keine Tracker aufgef\u00fchrt – hier wurde also nachgebessert!<\/p><\/blockquote>\n Alles in allem w\u00e4re ich als Kunde der Volks- und Raiffeisen-Banken nicht sonderlich gl\u00fccklich, wenn ich auf die VR-SecureGo plus-App geschoben w\u00fcrde. Klingt zwar alles \"modern und komfortabel\" – aber mein Bauchgef\u00fchl sagt \"Digitalisierung first, Bedenken second\". Wenn ich beide Faktoren einer Transaktion und Authentifizierung (\u00fcber eine auf dem Smartphone gespeicherte ID) auf einem Ger\u00e4t abwickle, erh\u00f6ht das die Risiken. Ob es am Ende des Tages relevant wird, kann ich nicht beurteilen. Als Kunde bin ich bei einem solchen Fall gegen\u00fcber der Bank erst einmal in der schlechteren Ausgangsposition und m\u00fcsste nachweisen, dass mich keine Schuld trifft.<\/p>\n Pers\u00f6nlich arbeite ich seit vielen Jahren mit dem chipTAN-Verfahren, wo die Transaktionsnummern mit einem eigenen Leser generiert werden, der dies nur bei eingesteckter EC- oder Debit-Karte erm\u00f6glicht. Wer meine Karte nicht hat, kann keine TANs erzeugen.<\/p><\/blockquote>\n Hier empfiehlt es sich aus meiner Sicht zu pr\u00fcfen, ob nicht eine Authentifizierung der Transaktionen beim Online-Banking per chipTAN QR oder photoTAN (mit separatem Leser) erfolgen kann. Dort wird ein separates Leseger\u00e4t samt EC-, Bank- oder Debit-Karte zur Authentifizierung ben\u00f6tigt. Von der Sicherheit eigentlich unschlagbar.<\/p>\n Damit m\u00f6chte ich den obigen Sachverhalt abschlie\u00dfen, um einen Blick auf die n\u00e4chste \u00c4nderung beim Online-Banking f\u00fcr Bankkunden zu werfen. Der Hintergrund:\u00a0Die Volksbanken und die Sparkassen stellen das chipTAN-Verfahren (mit Flicker-Code) ein – bei den Volks- und Raifeisenbanken wohl bereits zum 1. September 2022 – bei den Sparkassen h\u00e4ngt es vom Kartenwechsel ab.<\/p>\n Meine Sparkasse ersetzt das chipTAN-Verfahren durch chipTAN QR oder photoTAN – f\u00fcr beide gibt es Standalone-Leser, die eine Bankkarte (EC- oder Debit-Karte) lesen k\u00f6nnen. Die Banken bieten aber auch eine App an, die das alles k\u00f6nnen soll. Im Artikel aus Teil 3 werfe ich einen Blick auf diese Sachlage.<\/p>\n Artikelreihe<\/strong> \u00c4hnliche Artikel<\/strong> Aktuell stellen die diversen Banken die Authentifizierung von Transaktionen beim Online-Banking von bestehenden Verfahren (z.B. SMS-TAN, chipTAN mit Flicker-Code) auf andere Verfahren um. In Teil 1 hatte ich einen Blick auf die Postbank geworfen. In Teil 2 gehe ich darauf … Weiterlesen Vorab eine kurze Information, die Kunden der Volks- und Raiffeisenbanken eigentlich erhalten haben d\u00fcrften. Bei heise wurde es bereits im Juli in diesem Artikel<\/a> angesprochen: Am 30. September 2022 wird die SMS-TAN als Legitimationsverfahren f\u00fcr das Onlinebanking eingestellt. Dieser Termin sollte eigentlich bereits fr\u00fcher stattfinden, musste aber verschoben werden, da Kunden Probleme mit dem Umstieg hatten.<\/p>\n
Transaktionen mit VR Securego plus authentifizieren<\/h3>\n
![\"VR-SecureGo-App\"](\"https:\/\/i.imgur.com\/0B00TeQ.png\" "\\"VR-SecureGo-App\\"")
<\/p>\nVom unsicheren SMS-TAN zum unsicheren VR-SecureGo?<\/h3>\n
![\"VR](\"https:\/\/i.imgur.com\/1Z7eBtY.png\" "\\"VR")
<\/p>\nWas meldet die Plattform Exodus?<\/h3>\n
![](\"https:\/\/i.imgur.com\/IqiL357.png\")
<\/p>\nAbschlie\u00dfende Gedanken<\/h2>\n
Die n\u00e4chste \u00c4nderung …<\/h2>\n
\nPostbank: App und\/oder SealOne statt chipTAN<\/a>\u00a0\u2013 Teil 1
\n<\/a>Volks- und Raiffeisenbanken stellen SMS-TAN-Verfahren zum 30.9.2022 ein<\/a>\u00a0\u2013 Teil 2
\n<\/a>Sparkassen und Volksbanken: Ende des [alten] chipTAN-Verfahrens<\/a>\u00a0\u2013 Teil 3
\n<\/a>Online-Banking und Apps: Was die Kunden w\u00fcnschen<\/a>\u00a0\u2013 Teil 4<\/a>
\nOnline-Banking und die Sicherheit von Banking-Apps<\/a>\u00a0\u2013 Teil 5
\nOnline-Banking und Absicherung per chipTAN USB<\/a>\u00a0\u2013 Teil 6<\/p>\n
\nGeh\u00e4rteter Online-Banking-Browser S-Protect, ein Totalausfall?<\/a>
\nNachlese: Geh\u00e4rteter Online-Banking-Browser S-Protect, neue Version, neue Erkenntnisse<\/a>
\nDer Edge Effizienzmodus verursacht Probleme beim Flicker-Code beim Onlinebanking mit TAN-Generator<\/a>
\nFestes SA SQL-Passwort bei windata 9-Banking-Software<\/a>
\nDKB: Online-Banking im Firefox und Opera blockiert?<\/a>
\nBanking Startup Dave gehackt, Daten in Hackerforen<\/a>
\nN\u00e4chste Runde: FluBot-Banking-Malware (Mai 2022)<\/a>
\nOnline-Banking: mTAN und Banking-Apps unsicher<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"