News Neue Sicherheitslücke schürt weitere Zweifel an mTAN

[dMopp]

Wieso denken eingentlich die Leute hier, dass man beim chipTan verfahren ein Problem hat, wenn man die Karte verliert? Man muss zusätzlich noch seine PIN UND den Tan-Generator verlieren. Zusätzlich dazu dann noch den Benutzernamen (ab Mai bei der Sparkasse) und die separate online PIN..


Sieht mir sicherer aus als ne Tan-Liste

@Rome1981:
Ja, die MUSS sich damit beschäftigen, oder ihre Rente is im Ausland... Einfache Sache =). *Internetführerschein + Punktekonto will* =)

 

[MADman_One]

Falsch, das System ist sicher. Die "Sicherheitslücke" liegt einzig allein am User.

Genau meine Meinung. Verstehe auch den ganzen Hype nicht. Wenn man den Leuten auf der Bankseite oder per Berater einmal erklärt das mTAN über SMS arbeitet und das dafür keinerlei Apps oder Zertifikate nötig sind sollte das für normaldenkende und sogar wenig Technik-affine Leute völlig ausreichen. Hirn ist einfach durch nichts zu ersetzen, außer durch noch mehr Hirn

Wurde auch zwangsweise auf mTAN umgestellt. Jetzt bezahle ich für jede Überweisung 9 Cent. Bei anderen Banken geht's auch noch mit iTAN und somit kostenlos, daher wird der Account gleich mal still gelegt.

Usern die es ausdrücklich wünschen, iTANs zu benutzen, sollte man es nicht grundsätzlich verbieten. Nun hat die Spaßkasse einen Kunden weniger

Das ist auch wieder ein gutes Beispiel dafür, daß die Sparkasse die letzte Bank wäre die mein Geld bekommt. Es ist ein Unding, dem Kunden mTAN auch noch in Rechnung zu stellen. Bei meiner Bank (Sparda-Bank) ist mTAN völlig kostenfrei, ebenso die Überweisungen. Wenn ich die Überweisung online oder am Terminal durchführe bekomme ich sogar noch Geld dafür (für bis zu 11 Überweisungen pro Monat jeweils 5 cent).
Gibt viele Banken die solche Angebote haben, Sparkasse ist absolut indiskutabel für mich.

 

[Fairy Ultra]

also das scheint wohl regional verschieden zu sein, bei meiner Sparkasse (Berlin) ist mTan kostenlos

 

[Techlogi]

Kein System wird jemals vor der Dummheit des Anwenders sicher sein.

Unwissenheit.

Ich nutze seit 3 wochen mTAN, mir bleibt als Sparkassenkunde nichts anderes übrig als früher oder später umzusteigen. Eigentlich recht angenehm, die SMS kommt 1 Sekunde nachdem ich die Überweisung abschicke, TAN ablesen einhacken fertig. Die Sparkasse lässt sich das nur leider mit 9 Cent pro Überweisung berechnen...

Habe es auch seit einiger Zeit und finde ich super. Die paar Cent pro Überweisung sind es mir auf jeden Fall Wert, allein das man nichts extra rumliegen hat oder mit rumschleppen muss.

 

[LinuxMcBook]

Eigentlich recht angenehm, die SMS kommt 1 Sekunde nachdem ich die Überweisung abschicke, TAN ablesen einhacken fertig. Die Sparkasse lässt sich das nur leider mit 9 Cent pro Überweisung berechnen...

Steht da nicht in der SMS nochmal Empfänger-Kontonummer und Betrag? Das solltest du auch überprüfen, sonst ist der Sicherheitsvorteil hinfällig.

Also, bei meiner Bank bekomme ich nach Eingabe des TANs noch eine Zusammenfassung und die Frage: "Sind Sie sicher, dass alle Angaben so stimmen? j/n"

Wirklich "im Hintergrund" kann man das nicht nennen - es sei denn, der Trojaner ist so ausgefuchst, dass er selbst diesen Bestätigungsscreen noch abändert und das ganze so hin bekommt, dass der verwendete Browser kein Alarm schlägt. Das halte ich dann aber doch für sehr unwahrscheinlich.

Doch Genau das ist das Angriffsszenario.

Unwissenheit.

Wenn man nicht das nötige Wissen besitzt, täte man gut daran es sich anzueignen oder die Finder davon zu lassen. Oder bei jedem Schritt drei mal nachzudenken.
Bleibt also doch nur die Möglichkeit Dummheit oder Faulheit. Aber nicht Unwissenheit.

 

[am3000]

Am besten schützt man sich gegen so
wenn man so was erst ganicht benutzt:


ich mußte schon mal einem Bekannten Geld leihen, Konto wurde komplett
abgeräumt .

türlich war Er immer vorsichtig beim angeblich sicheren Online-Banking über das Internet
hat aber alles nichts genutzt .
Er hatte 7 Tage kein Geld für Essen und Trinken
es dauerte um 7 Tage bis Er sein Geld wieder bekam .

 

[MADman_One]

Am besten schützt man sich gegen so
wenn man so was erst ganicht benutzt:


ich mußte schon mal einem Bekannten Geld leihen, Konto wurde komplett
abgeräumt .

türlich war Er immer vorsichtig beim angeblich sicheren Online-Banking über das Internet
hat aber alles nichts genutzt .
Er hatte 7 Tage kein Geld für Essen und Trinken
es dauerte um 7 Tage bis Er sein Geld wieder bekam .

Ich sehe es ehrlich gesagt überhaupt nicht ein, meine wertvolle Zeit für Rennereien zu einer Bank zu verschwenden wenn ich was überweisen will (die zudem eh schon zu hat wenn ich von der Arbeit komme) und mich dann u.U. noch mit Falschüberweisungen rumzuschlagen, weil die Bank meine Schrift nicht lesen kann.

Wenn man sein Gehirn einschaltet und sich informiert, dann ist Online-Banking sicher genug. Es gibt sehr viele Formen des Online-Bankings, die von unsicher bis extrem sicher reichen. Man muss halt die richtige Variante benutzen. Ich nutze zudem keine Browser sondern spezielle Banking-Programme dafür. Und außerdem lagere ich nicht mein ganzes Geld auf einem Konto bzw. bei der gleichen Bank (gibt genug Banken mit kostenlosen Kontoführungen). Mit einer vernünftigen Software bleibt das dann auch alles schön sicher, komfortabel und übersichtlich.

Auch wenn man gute Zinsen für sein Geld möchte kommt man oft nicht ums Online-Banking herum, weil die meisten Banken mit guten Zinsen keine Fillialen haben sondern nur online erreichbar sind. Wobei ich da z.B. schon auf bessere Zinsen verzichtet habe wenn es nur eine Web-Oberfläche gab. Banken ohne HBCI-Zugang für entsprechende Banking-Software kommen für mich nicht in Frage.

Für mich ist Online-Banking eine tolle Sache und ich würde es um keinen Preis wieder gegen den alten umständlichen Weg eintauschen wollen nur weil manche damit nicht umgehen können. Mir spart es eine Menge Zeit und mir ist in den letzten 8 Jahren, in denen ich Online-Banking benutze noch nie was negatives passiert.

Außerdem gehört ein gewisses Restrisiko zum Leben dazu...schließlich kann man auch auf dem Weg zur Bank überfallen und um seine EC-Karte und PIN erleichtert werden. Das Risiko halte ich sogar für höher als das Sicherheitsrisiko beim Online-Banking mit Hirn-Einsatz.

 

[am3000]

naja die richtige rennerrei geht erst richtig los wenn die Katze in den Brunnen gefallen ist,
es gibt ja noch so was wie Telefon-Banking oder so wie ich das mache schriftlich per Post,
da muß hallt der Empfänger sich etwas gedulden nicht mein Problem .
was sicher ist und heute keiner mehr macht war BTX und über eine 0800 Nummer mit Modem,
das kann keiner so schnell weil der PC nicht mit dem Internet Verbunden ist dabei.

 

[FalcoN4U]

Man kann eine Überweisung auch noch nach ein paar Tagen, wenn man einen Fehler bemerkt, wieder rückgängig machen.
Das ist absolut kein Thema!
MfG

Vorsicht! Man kann eine ÜBERWEISUNG nur so lange rückgängig machen solange das Geld von der eigenen Bank noch nicht überwiesen wurde, das bedeutet am Wochentag zu normalen Zeiten so 1-2 Stunden!!!

Was man rückgängig machen kann ist ein LASTSCHRIFTEINZUG, das geht innerhalb von sechs Wochen ab Buchungsdatum!

Also, vorsicht mit solchen Halbwissen (bitte nicht persönlich nehmen!), wer etwas überweist (und das machst Du i.d.R. beim online Banking immer!) sollte sicher sein das da alles passt, eine Überweisung kann nur sehr kurz und i.d.R. nicht nach ein paar Tagen rückgängig gemacht werden!!!

Gruß
Falko

 

[am3000]

du sagst es „Hab wissen“
du kannst gar keine Überweisung Rückgängig machen wenn du dich z.b. vertan hast
Zahlen Dreher und das auf einem falschen Konto dann ist,
Banken und grade bei Online Sachen prüfen nicht den Text und Konto Nummer auf Richtigkeit,
wenn also die irrtümliche angegebe BLZ und Konto vorhanden ist, ist das Geld weg .
aber man kann fast ohne Zeit Limit Rückgängig machen wenn illegale Abbuchungen von Konto sind lt AGB meist 8 Wochen .

warum man nicht generell Handy SMS Überweisungen zuläßt(ist Zeitgemäß jeder hat ein Handy) als dieses sehr unsichere Internet ist mir bis heute ein Rätsel .
vor allen hat man bei SMS immer schön eine Empfangsbestätigung und kann sicher sein das es auch ausgeführt wird.

 

[MADman_One]

Die Banken prüfen mittlerweile überhaupt nicht mehr ob der Kontoinhaber zu der Kontonummer passt, ganz egal ob online, per Telefon, Post oder am Schalter. Aufpassen muss man daher immer. Ich habe noch nie was falsch überwiesen. Aber richtig spaßig wird es wenn unsere Kontonummern in Deutschland durch diese 22-stelligen IBAN Nummern ersetzt werden

Naja, muss jeder für sich selbst entscheiden welche Balance zwischen Komfort und Sicherheit für einen selbst optimal ist.

Ich persönlich bin froh alles über den PC erledigen zu können, weil dieser für mich als IT-Fachmann sowieso eine zentrale Rolle einnimmt. Meine Lösung aus Banking-Software + mTAN + Hirn + dezentralisierte Geldablage ist für mich persönlich im Moment ausreichend sicher. Und selbst wenn mal was schief gehen sollte und wirklich was gehackt würde bekommt man in den meisten Fällen sein Geld sogar wieder. Und da bei mir nicht alles auf einem Konto bei der gleichen Bank liegt würde ich bis dahin auch nicht verhungern
Für meinen Teil bin ich jedenfalls bereit das Restrisiko zu akzeptieren für das Maß an Komfort das es mir bietet (das Leben ist schließlich keine Vollkasko, perfekte Sicherheit gibt es nicht).
Ich hatte in den 8 Jahren die ich Online-Banking betreibe jedenfalls noch keine Probleme. Aber meiner Oma würde ich Online-Banking nicht guten Gewissens empfehlen ^^

Viel problematischer finde ich das Skimming an Geldautomaten. Mittlerweile muss man jedesmal den halben Geldautomaten demontieren und ein Zelt drumherum aufbauen um Geld abheben zu können.

 

[am3000]

Ich persönlich hatte nie Probleme mit iTAN und mache schon bestimmt seit 10 Jahren Online-Banking.
Die einzige Alternative wäre nun die Bank zu wechseln, aber bei anderen Banken ist es auch nur eine Frage der Zeit, bis dort umgestellt wird.

ich schon damals Sparkasse
die Tans gingen auf ein mal nicht mehr , Neue Tan Liste geholt das gleiche keine illegalen Abbuchungen,
der Kerl von der Stadtsparkasse meinte dann mir Nach Hilfe in Sachen Windows erteilen zu wollen es würde ja am meinem PC liegen , es ging mit keinem PC hier mehr
Bank weigert sich telefonisch Überweisungen zu täten obwohl reichlich Guthaben auf dem Konto war ,
die ersten Mahnugnen kamen schon, ich hatte dann a 30 € der Bank in Rechung stellt ,
bin dann wieder zur alten Bank ohne Tan und Homebanking
normale Überweisungen ohne Tan und Internet , schriftlich oder per Telefon und kein stress mehr .


wie gesagt die Banken machen sich das auf unsere Kosten heute sehr einfach,
das Risiko tärgt immer der dumme Kunde der Bank
wir nehmen dehne die Arbeit ab und sollen voll verantwortlich sein wenn ein Virus auf dem PC ist ,
geht das Internet mal 14 Tage nicht kann man keine Überweisungen machen ,
es gibt ja Leute die sind ein 1/2 Jahr ganz ohne Internet .

 

[TopAce888]

EC-Karte reicht. Den TAN-Generator kauft er sich ganz legal bei der Bank.

Das ist jetzt nicht dein Ernst oder? Ich dachte der TAN-Generator wäre auf mein Konto abgestimmt und könnte nicht mit einem andere Konto genutzt werden. Was ist das denn dann für eine Sicherheit?

 

[LinuxMcBook]

Die EC-Karte in Kombination mit dem Generator ist die Sicherheit. Du musst doch in der Lage sein, ein kaputten Tan-Generator auszutauschen.

 

[DrToxic]

Ich habe das mit dem Generator noch nie verstanden.

Da der Generator nicht mit dem Bankserver kommuniziert (das sind teilweise Billiggeräte mit integriertem Taschenrechner, batteriebetrieben) und irgendeinen Zufallsalgorithmus benutzt(es gibt auch Dinger, die nutzen das Bildschirmrauschen als Zufallsgenerator, so wie ich das verstanden habe), muss er also eine TAN ausgeben, die der Online-Banking-Server als gültig akzeptiert. Das heißt also, man hat einen Pool aus TANs, die gültig sind, aus dem dann zufällig eine gewählt wird?

Das würde heißen, dass mit Verwendung dieses Generators die Unsicherheit um den Faktor X steigt, womit X die Anzahl der gültigen TANs ist.

Wo genau ist das jetzt sicherer?

Oder kontert man diesen Umstand einfach, indem man die TANs entsprechend verlängert? Z.B. 10 Stellen statt 6 oder so?

 

[LinuxMcBook]

Du hast es total missverstanden
Der Wikipediaartikel gibt aber eigentlich Aufschluss...
Also der Tangenerator errechnet aus Chip auf der EC-Karte, Betrag und Empfängerkontonummer eine TAN. Das heißt, diese TAN ist nur für genau die Überweisung gültig, die du gerade tätigst.
Und das ist auch kein Bildschirmrauschen (???) was der Generator nutzt, sondern eine Grafik, die eben Empfängerkontonummer und Betrag enthält und aufs Gerät überträgt.
Dann muss der Anwender natürlich noch die beiden Dinge auf dem Gerät überprüfen und zack hat er eine ABSOLUT sichere TAN.

 

[DrToxic]

Aaah, ok, das macht dann auch mehr Sinn

Hatte es nur von einer Bekannten, die es mir so erzählt hatte, dass man "das Ding einfach noch irgendwo an den Bildschirm halten muss, egal wo" - von daher bin ich davon ausgegangen, dass da das Rauschen aus Zufallsgenerator benutzt wird.

Woher weiß das Gerät denn, was die Empfängerdaten sind? Das Teil, das ich gesehen hab, hatte keine Anbindung zum PC. Wahrscheinlich bekommt es die über eine verschlüsselte QR-Matrix auf dem Bildschirm, wo man das dann dranhalten muss?

 

[LinuxMcBook]

Nein, das sind 5 dicke schwarz bzw weiße, flackernde Balken. Und das Gerät hat 5 Photodioden auf der Rückseite.

 

[fatony]

naja...also so ein richtiger trojaner ist es nicht. eher eine falle ,in der nur die unwissenden hineintappen.