News Online-Banking: Betrüger überlisten mTAN-Authentifizierung

[UNDERESTIMATED]

Dann ist deine Ansicht aber eben falsch. Gut für dich das die Bank so handelt und dich zu etwas sicherem zwingt.

Das mag deine Ansicht sein, witzigerweise bin ich bei mehreren Banken wo die einen nunmal keine Notwendigkeit sehen diese Listen abzuschaffen und mir nichtmal auf Wunsch etwas anderes anbieten während hingegen andere mir aber in meinem Beispiel die mTAN als Supersicher verkaufen wollen.

Bei iTAN brauche ich nur eine Man-in-the-middle-Attacke. Die funktioniert bei mTAN schon mal nicht, da das Smartphone als zusätzliche Sicherheit her hält. In der SMS steht sogar der Betrag und Empfänger.
Bei mTAN müssen zwei Geräte kompromittiert werden, bei iTAN nur eines. Darum gibt es da eigentlich nichts zu diskutieren, es ist erwiesene Tatsache das mTAN wesentlich sicherer ist als iTAN.

Das mag genau so lange stimmen, wie du dein Smartphone oder Tablet eben nicht zum OnlineBanking verwendest, was, wie ich schon beschrieben habe imho absolut unzureichend seitens der Banken verhindert wird wenn man mTAN nutzt. Natürlich ist es sicherer - aber was wenn zb. mal dein Koffer abhanden kommt wo Laptop und Smarphone drin liegen? Es gibt viele Szenarien wo das auch durchaus als unsicher anzusehen ist - und mit der Ansicht bin ich Beileibe nicht alleine - die Betroffenen in eben dieser News können davon sicher auch ein Liedchen singen.

Das ist sogar ziemlich abwegig. Es wäre zwar möglich das ein Trojaner auf den Speicher des Smartphones geschoben wird, aber ausgeführt wird er dadurch nicht.

Wieso nicht? Weil es noch nie eine Playstore App gegeben hat die infiziert war? Weil keine App auf der anderen Seite einen Desktopclienten zum Betrieb benötigen? Es geht hier wie ich dich einschätze auch nicht zwingend um User wie dich und mich, die sich sehr wohl jetwegem Risiko bewusst sind und dementsprechend handeln sondern um den Durchschnittsmenschen.

Ah sorry ok verwechselt. Aber warum sollte ein schnöder Kartenleser nicht sicherer sein als eine TAN-Liste? Immerhin zeigt der mir an für was eine Überweisung die TAN verwendet wird die er generiert hat?

Weil es dasselbe Prinzip in einer anderen Verpackung ist. Die Kartenleser die ich kenne geben bei eingelegter Karte eine TAN aus - ich denke mit Chiffriertem Zeitstempel oder ähnlichem, aber eben auch nur wieder eine TAN und keine Rückinfo über die Transaktion - wie denn auch.

Ich muss nur einen Key Logger laufen haben, die Tan abgreifen und dann den Browser schließen, bevor du die Überweisung an die Bank abschließt. Und dann habe ich einen Blanko-Check für dein Online Banking

Nö, hast du nicht, da ob du die nun eingibst oder nicht, verbraucht ist sie trotzdem. Du kannst keine zweite Transaktion mit derselben TAN ausführen und auch das Passwort ändern oder sonstwas editieren (Adresse usw.) geht nicht ohne eine weitere TAN.

Punkt 1: Mein ChipTan zeigt mir vor der Tan sowohl das Zielkonto als auch den Betrag an. Wenn da einer über Man-in-the-Middle was falsches unterschieben will, erkennt man das sofort. Da brauche ich nicht zu gucken ob das SSL Cert korrekt ist oder sonstwas.

ChipTAN ist ein komplett anderes Verfahren was leider Gottes eben noch nicht jede Bank anbietet und was zudem auch wieder die Karte benötigt (Was für die einen ein Vorteil, für die anderen ein Nachteil sein kann)

Punkt 2: Smartphones sind noch zu kompromittieren, ja. Der Kartenleser? Der bekommt ein paar Blinkebildchen vom Bildschirm, um den damit zu flaschen musst du die Architektur des Geräts kennen genau kennen und dann muss es auch noch die nötige Sicherheitslücke geben. Da ist es tatsächlich einfacher die TAN Liste aus deinem Tresor zu klauen.

Nein eben nicht
Wie du schon sagst, es braucht nur einen Man in the Middle Angriff welcher mir eine "falsche" Seite mit dem richtigen Blinkebildchen anzeigt und schon klappt meine Überweisung zwar nicht, die des Betrügers aber schon. Und dann wäre da immer noch die Sache mit dem Keylogger und dem Fenster schliessen - iTAN ist in der Tat genau dasgleiche nur eben ohne diese Pseudosicherheit.

Gut, so Sonderfälle gibt es. Aber da man sein Geschäft wohl kaum vom Smartphone aus schmeißt, halte ich es bei solchen Limits und Beträgen erst recht für fahrlässig, nicht das sicherste Verfahren am Markt zu nehmen. Und das ist nunmal ChipTan.

Das sicherste Verfahren sind nach wie vor HBCI-Kartenleser.

/E: Als kleine Ergänzung anbei gern ein paar Links zu den "Supersicheren Verfahren" ala ChipTAN oder diesen Blinkebildchendingern:

http://www.heise.de/security/meldung/chipTAN-Verfahren-der-Sparkassen-ausgetrickst-866115.html
http://business.chip.de/news/Tatanga-ChipTAN-Trojaner-raeumt-Konten-ab_57389757.html
http://www.chip.de/news/Online-Banking-SMS-Trojaner-klaut-mTANs_48268681.html (mTAN)
http://www.focus.de/finanzen/banken...die-photo-tan-wirklich-sicher_aid_978601.html

Spoiler

Zitat aus dem letzten: "Auf die versprochene Sicherheit sollten die Bankkunden seiner Meinung nach nicht unbedingt bauen. „Nur weil auf dem Display statt einer Zifferfolge ein buntes Bild erscheint, ist das System nicht zwangsläufig sicherer“, sagt Porada. „Wenn der Bild-Code lediglich die TAN beinhaltet, kann man praktisch gleich eine TAN aus einer vorher gedruckten Liste verwenden.“ Für die Hacker bedeute die Photo-TAN dann lediglich einen Mehraufwand beim Rekonstruieren des Bild-Codes."

 

[SB94]

Nein, nachdem man das „Blinkebildchen“ mit dem TAN-Generator gescannt hat, werden einem ja noch die Auftragsdaten auf dem Display des Generators angezeigt und unter anderem aus den Auftragsdaten wird die TAN generiert. Man-in-the-Middle-Angriffe reichen nicht um die TAN mit den „Blinkebildchen“ zu kompromittieren.

Das was im Spoiler steht wird praktisch nirgends angewendet. Zumindest ist mir nicht bekannt wo.
Zu den Links:
Link 1: Immer noch sicherer als TAN-Liste, da Betrag beschränkt ist. Zudem kann man, wenn man von der Sicherheitslücke weiß, auf Sammelüberweisung (soweit möglich) verzichten.
Link 2: Dummheit der Anwender.
Link 3: Immer noch sicherer als TAN-Liste, da zwei Geräte kompromittiert werden müssen.
Link 4: PhotoTAN-Generator statt Handy (selbst mit Handy sicherer als TAN-Liste; siehe Link 3). Und quasi überall werden die Auftragsdaten angezeigt. Banken wo ist nicht so ist sind mir nicht bekannt.

Aber wenn du weiter von der Sicherheit der TAN-Liste überzeugt bleiben willst ist mir das auch egal, ich bin raus.

 

[Satzzeichen]

Tja, mit einfachen mitteln an Daten rankommen. TRAURIG. Wie unsicher einige grosse Unternehmen handeln und noch nicht mal Reseller listen. Mir wird da echt nur schlecht bei. Und solch Aktionen von Hackangriffen betrifft nicht nur die Telekom sondern auch andere Anbieter, mit Sicherheit.

 

[WhiteShark]

Das mag deine Ansicht sein, witzigerweise bin ich bei mehreren Banken wo die einen nunmal keine Notwendigkeit sehen diese Listen abzuschaffen und mir nichtmal auf Wunsch etwas anderes anbieten während hingegen andere mir aber in meinem Beispiel die mTAN als Supersicher verkaufen wollen.

Ich bin leider auch bei einer Bank die nur iTAN anbietet. Das war mir aber vorher nicht bewusst. Aber ich weiß wie ich mich trotzdem schützen kann.

Das mag genau so lange stimmen, wie du dein Smartphone oder Tablet eben nicht zum OnlineBanking verwendest, was, wie ich schon beschrieben habe imho absolut unzureichend seitens der Banken verhindert wird wenn man mTAN nutzt.

Das ist natürlich ein Risiko was jeder für sich selbst eingeht. Ist sogar von den Banken untersagt. Gegen den Faktor Mensch hilft leider so gut wie keine Sicherheitsmaßnahme.

Natürlich ist es sicherer - aber was wenn zb. mal dein Koffer abhanden kommt wo Laptop und Smarphone drin liegen? Es gibt viele Szenarien wo das auch durchaus als unsicher anzusehen ist - und mit der Ansicht bin ich Beileibe nicht alleine - die Betroffenen in eben dieser News können davon sicher auch ein Liedchen singen.

100%ige Sicherheit gibt es natürlich nie. Allerdings fehlt dem Dieb des Koffers immer noch der PIN fürs Onlinebanking, ausser der ist gespeichert (Faktor Mensch...).
Bei den Betroffenen hat jemand bei der Telekom fahrlässig gehandelt (Wieder Faktor Mensch).

Wieso nicht? Weil es noch nie eine Playstore App gegeben hat die infiziert war? Weil keine App auf der anderen Seite einen Desktopclienten zum Betrieb benötigen? Es geht hier wie ich dich einschätze auch nicht zwingend um User wie dich und mich, die sich sehr wohl jetwegem Risiko bewusst sind und dementsprechend handeln sondern um den Durchschnittsmenschen.

Es ging darum das der Trojaner auf dem Desktop auch noch das Smartphone befällt. Und dieses Szenario wäre eher unwahrscheinlich.
Natürlich kann man sich auch über den Playstore was einfangen. Aber da muss man sich trotzdem zweimal was einfangen.

 

[Ap2000]

Es ist mir auch nicht verständlich, warum die Leute mobile TANs benutzen.
Ein Kartenlesegerät + Bankomatkarte ist zig mal sicherer.

Aber naja, es muss immer einfach und leicht gehen.

 

[WhiteShark]

Ein Kartenlesegerät kostet aber auch was. Und wie du festgestellt hast ist es unkomfortabler.
Manch einer entscheidet halt das die Sicherheit von mTAN oder gar iTAN für ihn ausreichend ist.

 

[Autokiller677]

Nein eben nicht
Wie du schon sagst, es braucht nur einen Man in the Middle Angriff welcher mir eine "falsche" Seite mit dem richtigen Blinkebildchen anzeigt und schon klappt meine Überweisung zwar nicht, die des Betrügers aber schon. Und dann wäre da immer noch die Sache mit dem Keylogger und dem Fenster schliessen - iTAN ist in der Tat genau dasgleiche nur eben ohne diese Pseudosicherheit.

Ok, bei der Tan Liste muss ich auch MITM fahren und kann die Tan nicht "für später" aufheben.

Aber trotzdem scheinst du meinen Post nicht wirklich zu lesen: Das Tan Gerät zeigt mir nach Scannen des Blinkebildchens ZIELKONTO und BETRAG an. Wenn der MITM mir ein Blinkebild für eine andere Überweisung als die von mir angedachte anzeigt, sehe ich das auf dem Tanleser sofort. Und wenn er mir das Bild für meine Überweisung anzeigt und ich so die korrekten Daten auf dem Gerät sehe, kann er mit der Tan, die generiert wird nichts anfangen, weil sie von der Bank für jede andere Überweisung nicht angenommen wird.
MITM funktioniert bei ChipTan nur, wenn ich zu doof bin, die 2 Zahlen auf dem Gerät zu kontrollieren. Da die TAN erst erscheint, nachdem ich beide Zahlen mit einem expliziten Tastendruck am Gerät selbst bestätigt habe, guckt man auch nicht unbedingt einfach dran vorbei.

Weshalb HBCI deutlich sicherer sein sollte als ChipTan sehe ich nicht. Hier ist der Leser (soweit ich es kenne) mit dem PC über USB verbunden. Daher würde ich die Kompromitierbarkeit von der theoretischen Seite hier als leichter ansehen als über ein Blinkebild. Die wichtigen Informationen zur Überweisung werden mir bei beiden Systemen auf einem externen Display angezeigt.

@WhiteShark: Ich hab meinen Kartenleser kostenlos bekommen. Nicht jede Bank will da nochmal mit verdienen.
Komfort ist noch dazu Einstellungssache. Mein Handy habe ich so gut wie nie am PC, das liegt mit Schlüssel und Brieftasche im Schrank im Flur. Somit ist der Aufwand für mich eh gleich, entweder Handy oder Karte holen.

 

[Spawn182]

Bei all den Leuten, die hier über eine Unsicherheit des einen Systems gegenüber dem anderen nörgeln. Am unsichersten ist es wahrscheinlich noch immer, sich Bargeld vom Automaten zu holen.

Am Ende muss es doch nutzbar und kundenfreundlich sein, ich nutze Onlinebanking beruflich und privat und bin viel unterwegs. Da bin ich echt froh, dass ich Systeme wie mTAN oder photoTAN nutzen kann, denn noch zusätzliche Hardware mit mir rumschleppen, dass möchte ich schlicht nicht. Und die TAN Liste mit sich herumschleppen ist auch nicht sicher

Und schaut man die Summe mit dem verbundenen Aufwand an, dann wird sich die Methode wohl nicht durchsetzen und entsprechend ist mTAN weiterhin ein sicheres System, wie jedes andere auch.

Zudem haben alle meine Konten ein Tages und Wochenlimit und somit ist der Schaden automatisch begrenzt, alles Panikmache.

 

[Ap2000]

Ein Kartenlesegerät kostet aber auch was. Und wie du festgestellt hast ist es unkomfortabler.
Manch einer entscheidet halt das die Sicherheit von mTAN oder gar iTAN für ihn ausreichend ist.

Meines war gratis.

Du stellst also nochmal genau das gleiche fest wie ich? Sehr nützlich.

 

[WhiteShark]

Das sollte eigentlich eine Erklärung dafür sein warum Leute mTAN verwenden.

 

[Autokiller677]

Das sollte eigentlich eine Erklärung dafür sein warum Leute mTAN verwenden.

Dann würde ich es begrüßen, wenn die Banken hier eine Unterschrift verlangen, mit der die User erklären, dass sie wissentlich auf das sicherste Verfahren verzichten und selbst für eventuelle Schäden aufkommen. Das ist dann eben der Preis für die Bequemlichkeit.

 

[Ap2000]

Ja, aber die war nicht nötig.

 

[UNDERESTIMATED]

Ich bin leider auch bei einer Bank die nur iTAN anbietet. Das war mir aber vorher nicht bewusst. Aber ich weiß wie ich mich trotzdem schützen kann.

Richtig. War bei mir genauso.

Ist sogar von den Banken untersagt.

Aber nicht unterbunden wie es bei Beidseitigem Interesse von Sicherheit sein sollte.

100%ige Sicherheit gibt es natürlich nie. Allerdings fehlt dem Dieb des Koffers immer noch der PIN fürs Onlinebanking, ausser der ist gespeichert (Faktor Mensch...).
Bei den Betroffenen hat jemand bei der Telekom fahrlässig gehandelt (Wieder Faktor Mensch).

Fehlt ihm bei der iTAN auch

Es ging darum das der Trojaner auf dem Desktop auch noch das Smartphone befällt. Und dieses Szenario wäre eher unwahrscheinlich.
Natürlich kann man sich auch über den Playstore was einfangen. Aber da muss man sich trotzdem zweimal was einfangen.

Ob nun so rum oder andersrum macht doch nicht wirklich einen Unterschied oder? Nahezu jede FB App macht das notwendig und es gibt sicher noch zig andere Dienste/Sachen die man auf beiden Geräten installieren muss/soll.
Wie Wahrscheinlich das alles ist dürfte dann aber in der Tat ein anderes Thema sein.

Aber trotzdem scheinst du meinen Post nicht wirklich zu lesen: Das Tan Gerät zeigt mir nach Scannen des Blinkebildchens ZIELKONTO und BETRAG an.

Doch natürlich lese ich was du schreibst - sogar manchmal 2-3 mal
Da du nicht näher spezifizierst und immer nur wieder von TAN Geräten sprichst ist es aber viel zu allgemein gehalten, deine Sicherheitsaspekte hingegen beziehst du dann auf wieder nur ein ganz bestimmtes Gerät was es, wie ich bereits erwähnt habe, nun ja leider nicht bei jeder Bank gibt bzw. welches nicht billig ist.

Weshalb HBCI deutlich sicherer sein sollte als ChipTan sehe ich nicht. Hier ist der Leser (soweit ich es kenne) mit dem PC über USB verbunden. Daher würde ich die Kompromitierbarkeit von der theoretischen Seite hier als leichter ansehen als über ein Blinkebild. Die wichtigen Informationen zur Überweisung werden mir bei beiden Systemen auf einem externen Display angezeigt.

Ganz einfach: HBCI benötigt eine spezielle Software und funktioniert nicht im Browser - diese eine PIN, dann brauchst du eine Karte die NUR für den HBCI Leser verwendet werden kann und dazu brauchst du eine PIN, dann brauchst du eine gesicherte Verbindung zu der Bank, die du NUR mit dem entsprechenden PC aufbauen kannst (USB Dongle sichert das ab, bei neueren/besseren der Leser selbst), dann bekommst du Empfänger und Betrag angezeigt und musst erneut die PIN eingeben, erst dann führt es die ÜW aus. Selbst WENN du also das Kartenlesegerät kompromittieren würdest, du kriegst da keine ÜW rausgesendet ohne dass die Karte drin ist (Die man übrigens auch nicht stecken lassen kann) und ohne die PIN für Programm und Lesegerät zu kennen.

Hier immer wieder zu sagen alles sei sicherer als iTAN ist in meinen Augen schlichtweg falsch - dadurch zu implizieren iTAN sei sicherer aber ebenso verkehrt imo. Jedes System hat seine Schwachstelle - das wirklich schlimme daran finde ich nur immer wieder, dass man Menschen geradezu einpflanzt etwas neues sei "besser" oder "sicherer". Das ist es schlichtweg nämlich nicht.

 

[S.Longus]

Alles was in den "trojanisierten" PC eingelesen oder eingegeben wird ist unsicher, Die Daten Deiner EC-Karte können schon beim puren Einlesen schneller automatisiert an einen Rechner/eine Fake-Seite gesendet werden wie die Login Daten und das Ergebnis Deines Tan-Generators, bevor es an die "richtige" Seite weiter-/zurückgesendet wird.

Wie soll mein PC bitte die Daten der EC-Karte senden können, wenn das Gerät mit der EC-Karte nie irgendwas an den PC sendet? ChipTAN ist deutlich sicherer als mTAN

Das Problem ist doch die Freiheit eines offenen Systems inkl. aller ungepatchten Sicherheitslücken weil es keine Updates gibt SOVIEL DAZU! Während man bei Android die Banking Apps aus diversen (auch dunklen) Quellen nutzen kann, ist das bei iOS nicht möglich.

Ich bekomme die Banking App von meiner Bank direkt über den Playstore, ich weiß nicht, wie du dir da irgendeine Unsicherheit zusammen reimen kannst. Außerdem sind die Jailbreaks, die es seit Jahren für fast jede iOS Version gibt, doch der klare Beweis, dass das System eben nicht sicher ist.

Wieso ist das Tageslimit so hoch? Bei mir sind das 500€ (als Student reichts locker), und ich hab auch nie mehr als das nötige für den Monat auf dem Giro liegen + eine kleine Reserve.

So kann man das aber auch nur sehen, wenn man noch Zuhause wohnt. Wenn Anfang des Monats Miete und KFZ-Versicherung oder irgendeine Abschlagszahlung abgebucht werden, dann kann ich den Wocheneinkauf an dem Tag schon mal vergessen.

Sollte tatsächlich ein Man-in-the-middle Angriff stattfinden nützt dir deine so Supersichere mTAN, der Unbetrügbare HBCI Kartenleser oder diese lustigen Plastiknippelchen zum Karte reinschieben auch genau gar nichts, ...
Eine TANListe ist NICHT unsicherer als die mTAN oder HBCI Kartenleser - es benötigt immer 2 Faktoren und das Smartphone oder den Kartenleser zu kompromittieren ist immer noch 1000 mal einfacher als in mein Schlafzimmer zu laufen, den kleinen Tresor aufzubrechen und die Liste rauszuholen+die TANS einzutippen.

Das ist einfach nur falsch. Lest doch einfach mal den Wikipediaartikel zur Sicherheit beim Onlinebanking, dann würden hier mehr Fakten als Fantasie stehen. Für deine tolle iTAN reicht ein Man-in-the-middle Angriff auf deinen PC, fertig ist die Attacke. Bei den anderen Systemen muss neben dem PC auch noch das Phone, der Kartenleser etc. kompromitiert werden.
Und den chipTAN-Generator kann man einfach nicht kompromitieren, deswegen ist das System auch 100% perfekt. Evtl. sind Sammelüberweisungen ein Angriffsvektor, aber das ist auch wieder eigene Dummheit, wenn man sich nicht wundert, wieso das Gerät sagt, man hätte eine Sammelüberweisung getätigt, wenn man einen Einzelauftrag in PC eingegeben hat. Außerdem sperren das die meisten Banken.

Ergänzung (23. Oktober 2015)

Außerdem sind die von dir benannten Geräte noch relativ neu, ältere generieren bei Eingelegter Karte und Knopfdruck simpelst eine TAN - sind also imgrunde auch wieder nur eine TANListe mit Batterie. Da steht genau garnichts weiter als die TAN auf dem Monochromen Einzeilendisplay.

Ich hab meinen chipTAN-Generator bald seit 5 Jahren, in der Zeit tauscht der Durchschnittsbürger 3 mal sein Smartphone. Ich weiß jetzt nicht, wie man sowas im IT-Zeitalter als "relativ neu" bezeichnen kann.

 

[Pr0gramm]

Ich bekomme die Banking App von meiner Bank direkt über den Playstore, ich weiß nicht, wie du dir da irgendeine Unsicherheit zusammen reimen kannst. Außerdem sind die Jailbreaks, die es seit Jahren für fast jede iOS Version gibt, doch der klare Beweis, dass das System eben nicht sicher ist.

man kann bei iOS ohne Jailbreak nur die offiziellen Apps nutzen während man bei Android ohne Jailbreak beliebige Apps über eine einfache Webseite Apps installieren kann. Das ist ein großer unterschied. Mein Hauptargument war aber, dass man i.d.R. keine Sicherheitsupdates bekommt und so das Risiko sehr viel höher ist.
Wobei man aber auch mal sagen muss, dass man schon behindert ist, Überweisungen und Überweisungsapp bzw. mTAN auf dem gleichen Gerät zu verwenden. Außerdem muss man noch Banking Apps und Sicherungsverfahren, aslo die TAN Apps wie Photo TAN unterscheiden. Wer Bankig Apps nutzt, der hats auch nicht anders verdient.

 

[S.Longus]

man kann bei iOS ohne Jailbreak nur die offiziellen Apps nutzen während man bei Android ohne Jailbreak beliebige Apps über eine einfache Webseite Apps installieren kann. Das ist ein großer unterschied.

Man muss aber Bewusst eine relativ verstecke Einstellung ändern und mehrere Warnungen akzeptieren. Somit ist es eine genau so überlegte und bewusst getroffene Entscheidung, wie sein iPhone zu jailbreaken.
Einer Hausfrau, die Rezepte auf ihrem Tablet ließt, wird das also auch nicht aus versehen passieren.

Ich nutze gern meine Banking App. Dank chipTAN comfort kann mir gar nichts passieren.

 

[Sliderraider]

Sowas passiert, wenn man jeden scheiß outsourced und einem die Endkunden scheißegal sind. Schöne neue Welt.

 

[Merle]

Zudem gab es nur nur einen Jailbreak, der komplett übers WebKit ausgeführt werden konnte. Will damit sagen: ja, sicher ist kein System. Aber chinesische Jailbreaker, die daran ein Schweinegeld verdienen, schaffen es nicht ohne das USB Kabel am Rechner und eine "infizierte" Datei. Das ist schon relativ sicher. Aber ich setze auch lieber auf ChipTAN.

 

[Raptor2063]

ich finde es nur immer wieder nervig wie solche "Schlagzeilen" überall auftauchen... das Verfahren an sich ist doch nicht gehackt worden.
Niemand hat sich auf Bankserver Zutritt verschafft und damit selbst was angerichtet.

Nein es war wie so oft der Mensch der nicht richtig aufgepasst hat (wie kommt sonst einfach so Schadsoftware auf den Rechner?!), wie kann es einfach so möglich sein eine neue SIM-Karte anzufordern und an eine andere Adresse liefern zu lassen?!

Ich nutze auch ChipTAN weil in meinen Augen mTAN etwas unsicherer ist. Das notwendige Telefon lässt sich kompromittieren, wenn auch in der Regel mit großem Aufwand.
Den kleinen Kasten den man direkt von der Bank bekommt wohl eher nicht und falls doch sehen die Chancen die Schuld auf die Bank abzuwälzen bzw. deren Schuld nachzuweisen hier deutlich besser aus.
Klar wenn ich mir so einen Kasten irgendwo im Netz bestelle der aus China kommt sieht es auch wieder anders aus!

Aber natürlich, 100% Sicherheit bietet kein Verfahren, am Ende hat doch wieder irgendwo ein Mensch einen Fehler gemacht. Leider sind es eben oft die Nutzer selbst...

 

[hrafnagaldr]

Aber natürlich, 100% Sicherheit bietet kein Verfahren, am Ende hat doch wieder irgendwo ein Mensch einen Fehler gemacht. Leider sind es eben oft die Nutzer selbst...

Eben. Und klar ist ChipTAN sicherer als mTAN. Allerdings ist mir persönlich mTAN sicher genug. Soll jeder für sich selbst abwägen. Im Beispiel des Artikels wars zweimal der Faktor Mensch der Schuldige, nicht das Verfahren an sich. Wobei es zumindest beim Onlinebanking generell sinnvoll ist, den Menschen als Fehlerquelle auszuschließen