Online-Banking nur noch am Handy, nicht mehr am PC?

[Fu Manchu]

Ich bin bei der Diba und habe die Info bekommen, dass ich zur App wechseln soll, bis zum 01.04. Es klingt so, als ob Online Banking per PC und Browser ab dann nicht mehr möglich ist.

Kennt ihr das von eurer Bank auch? Kann das stimmen? Ich mache eigentlich alles über den PC im Browser und will nicht auf Mini-Display vom Handy wechseln. Angeblich sei Handy sicherer wegen Fingerabdruck und Gesichtserkennung und mTan soll abgeschafft werden.

Sitze ich da einem Irrtum auf und Banking ist weiterhin am PC möglich oder stimmt es, dass es in Richtung Handy-only geht?

 

[Evil E-Lex]

Du meinst das hier?

Authentifizierung und Autorisierung​

Für den Login und zur Erteilung von Aufträgen im Internetbanking verfügbare Verfahren:

Banking to go App
(unabhängig davon nutzbar, welches Gerät für den Zugriff auf das Internetbanking genutzt wird, z. B. Desktop, PC, Laptop, Smartphone, Tablet)

Ich verstehe das so, dass statt der iTAN und des TAN-Generators dann womöglich die Freigabe nur noch über die App möglich ist.

 

[Fu Manchu]

Du meinst, Online Bank am PC; aber Identifikation für Aktionen per Handy. Könnte Sinn ergeben

 

[brettler]

So wird es sein. Die Sparkasse hat auch mtan abgeschafft udn hat jetzt "push Tan".

Du siehst die Tan dann in der App bzw. kannst es dort freigeben. Rest geht aber am PC wie gehabt.

 

[ogi.nic]

Du meinst, Online Bank am PC; aber Identifikation für Aktionen per Handy. Könnte Sinn ergeben

Glaube so ist es - bin auch bei der Ing Diba (benutze eigentlich nur die App). Wenn ich am PC was mache, brauche ich keine TAN etc., sondern gebe das direkt per App & Fingerabdruck frei.

 

[Opa Hermie]

Die Banken wollen von der SMS-TAN weg, weil es horrende Kosten erzeugt. Der geringste Aufwand ist daher die Banking-App.

Meine Bank bietet (angeblich) sogar noch den klassischen Überweisungsträger und ausgedruckte Kontoauszüge an, aber vermutlich nur für Bestandskunden und/oder gegen zusätzliche Gebühren.

 

[Nutzerkennwort]

Die Banken wollen von der SMS-TAN weg, weil es horrende Kosten erzeugt.

Der geringste Aufwand ist daher die Banking-App.

Woher hast du deine Erkenntnis, dass es horrende Kosten erzeugt?

Weiter wird mal wieder mit der "Banking-App" oder der Foto-Freigabe der Sicherheitsaspekt auf den Kunden abgewiegelt.

 

[Opa Hermie]

Das kommt noch dazu.

Aussage von der Mitarbeiterin meiner Bank, weil die Kosten für den SMS-Versand bislang nicht berechnet wurden. "Horrend" ist sicherlich überzogen, zeigt aber, dass man alle Kosten hinterfragt und so gering wie möglich halten will.

 

[Timberwolf90]

Angeblich sei Handy sicherer wegen Fingerabdruck und Gesichtserkennung

Das ist wieder das allgemeine Marketing BlaBla der Banken.

Ich würde zu einem von der ING-DiBa angebotenen photoTAN-Generator raten, da diese weiterhin von den Sicherheitsforschern als mitunter als sicherste Lösung angesehen werden. Die grundlegende Funktionsweise ist gleich wie beim chipTAN-Verfahren nur wird zur Datenübertragung anstatt eines Flickercode eine bunte QR-Code ähnliche Grafik verwendet.

Bei dem photoTAN-Generator handelt es sich um ein komplett eigenständiges und gekapseltes Gerät ohne Internetverbindung, womit dieser besonders gut gegen Manipulationen Geschütz ist, da man zwingend physikalischen Zugriff auf dieses benötigt.

Wie es einem mit den groß beworbenen Banking Apps, welche bewusst das grundlegende Prinzip der 2FA, zu Gunsten des Userkomforts und der mobilen Nutzung am Smartphone, untergraben, ist schön an dem prominenten Sparkassen-App-TAN Fall zu sehen.

Mittlerweile wurde in den Banking-Apps nachgebessert, aber es bleibt wie immer ein ständiges Katz und Maus Spiel. Ein eigenständiges offline Gerät als zweiter Faktor minimiert die Großzahl der auftretenden Risiken bereits im Vorfeld, da dieser bedeutend weniger Angriffsfläche als z.B ein Smartphone bietet.

 

[Nutzerkennwort]

Die Bedienungsanleitung für den photoTAN-Generator der ING-DIBA ist sage und schreibe 27 A-4-Seiten groß. Meine Güte! Dann schreiben die, dass man die iTAN zur erstmaligen Aktivierung der photoTAN nutzen muss aber die ING-DIBA hat die iTAN bereits Ende 2019 zu Gunsten u.a. für die mTAN auslaufen lassen. Verwirrend!

 

[Idon]

Die Banking-Apps der Comdirect (Banking + photoTan) finde ich ziemlich gut und weitgehend selbsterklärend.


Dass aber die Frage aufkommt, weshalb eine Bank etwas macht, finde ich etwas seltsam: Natürlich um Geld zu sparen. Es gibt keinen anderen Grund für irgendeine Handlungsweise einer Bank gegenüber Endkunden.

 

[Timberwolf90]

Die Bedienungsanleitung für den photoTAN-Generator der ING-DIBA ist sage und schreibe 27 A-4-Seiten groß. Meine Güte!

Eine ausführliche und bebilderte Anleitung, wie das Gerät einzurichten und zu verwenden ist, ist doch eine Super Sache. Für die Lesefaulen gibt es sogar eine Videoanleitung für die Einrichtung.

Dann schreiben die, dass man die iTAN zur erstmaligen Aktivierung der photoTAN nutzen muss

Für die Aktivierung des photoTAN-Generators ist aktuell eine Authentifizierung mittels mTAN von Nöten, da das iTAN Verfahren seit 2019 aufgrund einer EU-Richtlinie verboten wurde.

Meiner Meinung ist das schon längst überfällig gewesen, denn ein eigenständiger chipTAN- oder photoTAN-Generator ist im Bezug auf die Sicherheit und Handhabung einer iTAN-Liste deutlich überlegen.

 

[efcoyote]

Bin auch bei der Diba und frage mich ernsthaft, wie diese Änderung mit EU-Richtlinien vereinbar ist. Vorher gab es eine normale 2-FA mit Passwort/PIN und mTAN. Nun benötigt die App nur noch eine 5-stellige PIN - das ist alles! Damit kann man dann munter Kontodaten einsehen, Überweisungen tätigen oder den Login über Webseite bestätigen. Wenn ich mich aber in die App einloggen muss, um die Webseite nutzen zu können und beide nahezu identisch sind, wird die Webseite sinnlos.
Und zur Krönung wird man gezwungen, die App auf einem schlecht gewarteten Betriebsystem namens Android zu nutzen, statt vorher auf einen aktuellen Windows 10. Alternative ist einzig und allein der kostenpflichtige PhotoTAN-Generator, der von Diba aber eher als Fallback angepriesen wird.

 

[Capet]

Für die Aktivierung des photoTAN-Generators ist aktuell eine Authentifizierung mittels mTAN von Nöten, da das iTAN Verfahren seit 2019 aufgrund einer EU-Richtlinie verboten wurde.

Ich habe am letzten Wochenende die ING-DiBa-App auf meinen Telefon installiert und musste für deren Aktivierung 2 Codes aus meiner alten iTAN-Liste der DiBa dafür in der App eingeben.

 

[Timberwolf90]

Vorher gab es eine normale 2-FA mit Passwort/PIN und mTAN

Welche ebenfalls nicht mehr als sicher gilt und schon mehrere Male aktiv ausgenutzt wurde:

2012 heise online - Millionenschaden durch mTAN-Betrug
2017 heise online - Deutsche Bankkonten über UMTS-Sicherheitslücken ausgeräumt

Diese Umleitungen wurden offenbar durch seit Jahren bekannte Sicherheitslücken im SS7-Protokoll des UMTS-Netzes ermöglicht. Erst Ende März hatten Experten wieder vor diesen Lücken gewarnt.

Alleine aus diesem Grund würde immer auf ein offline Gerät als zweiter Faktor setzten, da sich so eine Manipulation um ein vielfaches schwieriger gestaltet, denn die Banken scheint es nicht zu stören ein offensichtlich leicht zu korrumpierendes System, welches bereits aktiv ausgenutzt wurde, trotz mehrfacher Warnungen von Experten, einfach weiter zu betreiben.

Ergänzung (8. Februar 2021)

für deren Aktivierung 2 Codes aus meiner alten iTAN-Liste der DiBa dafür in der App eingeben

Ob das noch Richtlinienkornform ist, ist fraglich:

Hannover, 16. August 2019 – In wenigen Wochen ändern sich im gesamten EU-Raum die Sicherheitsverfahren für das Online-Banking. Ab dem 14. September schaffen die Banken nicht nur die TAN-Liste auf Papier ab, viele legen auch die mTAN ad acta...

...Die PSD2 stellt Mindestanforderungen an die Sicherheit von TAN-Verfahren. Für das Verbot der iTAN – einer TAN-Liste auf Papier – war mitentscheidend, dass sie dem Kunden vor der Überweisungsauflösung nicht gemeinsam mit der Empfänger-IBAN und dem Betrag angezeigt wird.

Quelle: Heise Gruppe - Abschied vom iTAN-Verfahren

 

[efcoyote]

Ja, ich musste die Umstellung auf die App auch mit 2 iTAN bestätigen. Zum Glück hatte ich die noch irgendwo in der Schublade. Falls man die nicht mehr hat, dann ist von der Diba offiziell vorgesehen, sich eine neue iTAN-Liste zu bestellen.

Ja, ich weiß das 2FA mit PW und SMS nicht 100% sicher ist. So wie vieles auf der Welt. Allerdings ist es imho deutlich besser als eine einzige 5-stellige PIN auf dem Smartphone.

 

[Timberwolf90]

Nun benötigt die App nur noch eine 5-stellige PIN - das ist alles! Damit kann man dann munter Kontodaten einsehen, Überweisungen tätigen

Davon wird von wird von dem Großteil der Experten sowieso abgeraten. Online-Banking und Authentifizierung sollten nie auf dem gleichen Gerät ausgeführt werden, da man ansonsten das Prinzip der 2FA eigenhändig untergräbt.

Wenn ich mich aber in die App einloggen muss, um die Webseite nutzen zu können und beide nahezu identisch sind, wird die Webseite sinnlos.

Eben nicht, solange die App am Smartphone nur zur Authentifizierung für den Login auf die Webseite vom User verwendet wird. Solange man ein getrenntes Gerät, wie z.B. einen PC zur Durchführung der Überweisung nutzt, ist eine TAN-Generator-App am Smartphone deutlich sicherer als eine einfache unverschlüsselte SMS mit TAN.

 

[efcoyote]

Da gebe ich dir völlig recht. Daher habe ich initial ja auch geschrieben, dass mir völlig unklar ist, wie sich das mit EU-Richtlinien verträgt und noch dazu von Diba als die präferierte Lösung für alle angepriesen wird.

Und die Webseite wird deshalb sinnlos, weil ich vorher schon in der App drin sein muss und dort auch alles machen kann. Ergo kann ich mir die zusätzlichen Schritte um auf die Webseite zu kommen auch sparen.

 

[Timberwolf90]

Ergo kann ich mir die zusätzlichen Schritte um auf die Webseite zu kommen auch sparen.

Aus dem Gesichtspunkt des Sicherheitsaspekt eben nicht, denn einer Transaktionsmanipulation kann so deutlich effektiver entgegengewirkt werden.

Sprich du kannst dein aktuelles und gut gewartetes Windows 10 zur Durchführung der Überweisung nutzen und dein eher schlecht gewartetes Android Smartphone zur Generierung des TAN verwenden.

Es müssen also zwei Geräte gleichzeitig von den Kriminellen gekapert werden, um die Transaktion nach Ihren belieben abzuändern, was sich aber als deutlich schwieriger herausstellt.

weil ich vorher schon in der App drin sein muss und dort auch alles machen kann

Wie in dem Beitrag des 23. Chaos Communication Congress zu dem Thema zu entnehmen ist, ist dazu immer noch eine Nutzerinteraktion erforderlich. Aus diesem Grund entschloss man sich auch zu einer Demonstration einer Transaktionsmanipulation, da diese den Sachverhalt bzw. die aktive Ausnutzung der konzeptionelle Lücke am realistischsten darstellen würde.

 

[efcoyote]

Vom CCC gibt es zu dem Thema auch noch ein neueres Video und weiterhin einen recht guten Artikel in einem Blog.
Die App der ING ist keine App zum reinen Generieren TAN für die Transaktion. Sobald ich mich da anmelde, liegt das Kind meiner Meinung nach schon im Brunnen, also weit vor der Webseite auf dem Desktop-PC.

Aus dem Video gibt es dazu noch ein sehr treffendes Zitat:

Im Bereich des Zahlungswesens hat sich eine besondere Kreativität in der Auslegung der Eigenschaften einer Zweifaktorauthentisierung entwickelt. - Jens Bender, Dennis Kügler [BSI]