ComputerBase Menü
Aktuelles

Onlinebanking - Chiptan ist am besten, aber was ist wenn die EC-Karte verloren geht?

A

askling

Gast
Ganz doofe Frage... aber kennt sich da jemand wirklich aus?

Chip-Tan gilt überall als das Beste. Aber was ist wenn meine EC-Karte geklaut oder verloren geht? Könnte dann nicht jeder mit einem Tan-Generator mit dieser EC-Karte Tans für das Konto erzeugen?

Die Kontosummer für das Login ist ja dann auch bekannt. Bleiben noch drei Versuche um den Pin zu erraten, klar ist ist unwahrscheinlich, aber theoretisch möglich.

Wenn ich nur Mtan mache und mein Handy verliere/es geklaut wird hat der Angreifer gar nichts.

Und ist es wirklich ausgeschlossen das EC Karten einfach kopiert werden?. Es heißt, dass der Chip bisher nicht kopiert werden kann - im Gegensatz zum Magnetstreifen. Aber stimmt das wirklich? Wenn die benötigten Daten zum erzeugen von Tans mit einem Tan-Generator kopiert werden könnten, wäre das ja ein absoluter Angriffsvektor.
 
Damit jemand mit einer gefunden EC Karte eine Transakton ausführen kann, muss er das Passwort fürs Online Banking haben, dies sollte also genau die die Pin der Karte keineswegs zusammen mit der Karte aufbewahrt oder gar in der Brieftasche mitgenommen werden. Wenn doch sollte man sofort das Online Banking sperren, notfalls auch indem man dreimal hintereinander das falsche Passwort eingibt und beim Freischalten durch die Bank sollte das Passwort geändert werden. Nach dem Erhalt der neuen ec Karte kann man diese dann registrieren und spätestens danach kann die alten nicht mehr für ChipTAN verwendet werden.
 
Wenn man die EC-Karte, oder jede andere fürs Onlinebanking frei geschaltete Karte (Servicekarte o.ä.), verlieren sollte, gibt es genau das gleiche Sicherheitsrisiko wie bei einem verlorenen Handy ohne Passwortschutz.

Der Angreifer benötigt noch die Zugangsdaten für das Onlinebanking, welche sich garantiert nicht auf einer Bankkarte befinden und auch nicht auf dem Handy befinden sollten!
Da im laufenden Regulärbetrieb, also ohne physischen Diebstahl, das ChipTan-Verfahren sicherer ist, sollte es dem mTan-Verfahren vorgezogen werden. Quelle: wikibanking.net
Im Diebstahlfall ist das Sicherheitsrisiko dann wieder gleich groß. Falls man noch die Banking-app auf dem gleichen Handy hat, sogar noch größer (unbemerkter Trojaner o.ä.).
 
kleiner tipp: es gibt zusätzlich bei einigen banken die funktion, dass man sich online mit einem frei gewählten benutzernamen anmeldet statt mit der kontonummer. wenn du das in verbindung mit der chip-tan und einer online-pin hast, die nicht auf der ec-karte vermerkt ist und auch von der geldautomaten-pin abweicht, sollte es kaum machbar sein, da an was zu gelangen.
 
Warte mal, es gibt wirklich noch Banken, bei denen das Onlinebanking die Kontonummer als ID verwendet und als Passwort eine vierstellige PIN? Ich erinnere mich dunkel, dass das vor einem Jahrzehnt oder so bei den Sparkassen ging, aber wenn es das System wirklich noch gibt, gute Nacht.

Zur Chip-TAN:
Falls du das oben beschriebene Verfahren nutzt, wäre mir das auch zu unsicher. Dann würde den Besitzer der Karte nur eine vierstellige PIN davon abhalten, Überweisungen zu tätigen.

Ansonsten sollte das aber passen.
Wenn das Online-Banking eine eigenständige ID und ein wenigstens halbwegs sicheres PW nutzt, müsste jemand nicht nur per Keylogger oder Phishing-Seite deine Zugangsdaten abgreifen, sondern sich auch physisch deine Karte besorgen.
Selbst wenn es theoretisch möglich ist, den Chip zu kopieren, wäre ein solches Skimming-Gerät zwar im Besitz der Karte, aber nicht im Besitz deiner Zugangsdaten für das Online-Banking.
Ein Szenario, in dem jemand sowohl an die Zugangsdaten als auch an die Karte kommt, halte ich für sehr unwahrscheinlich.
 
@KlaasKersting

Zu unsicher? Gehen wir mal die Variablen durch: Die Karte muss jemanden in die Hände fallen, der ein Chip TAN Online Banking missbrauchen möchte -> Nehmen wir an, es gibt nur eine vierstellige PIN, und nehmen wir weiter an, es sind nur Zahlen erlaubt -> 10000 Möglichkeiten bei genau 3 möglichen Versuchen bevor das Online Banking gesperrt wird.

Spielst du Lotto?

Unabhängig davon, dass ich eine vierstellige (nummerische) PIN nun auch nicht gut finden würde, wenn es denn diese überhaupt noch gibt.

 
Du siehst es nicht als fragwürdig an, dass jeder, dem du jemals deine Bankverbindung überlassen hast, die ID für das Online-Banking kennt?
 
Holt schrieb:
Damit jemand mit einer gefunden EC Karte eine Transakton ausführen kann, muss er das Passwort fürs Online Banking haben, dies sollte also genau die die Pin der Karte keineswegs zusammen mit der Karte aufbewahrt oder gar in der Brieftasche mitgenommen werden. Wenn doch sollte man sofort das Online Banking sperren, notfalls auch indem man dreimal hintereinander das falsche Passwort eingibt und beim Freischalten durch die Bank sollte das Passwort geändert werden. Nach dem Erhalt der neuen ec Karte kann man diese dann registrieren und spätestens danach kann die alten nicht mehr für ChipTAN verwendet werden.
Zum Vergrößern anklicken....


Sperren wäre klar. und auch das man den Pin nicht notiert. Aber es gibt mir eigentlich um feolgenden Punkt. Man braucht drei Informationen:

- zweitenFaktor
- Login
- Pin

Wenn mein Handy verloren/geklaut wird hat die Person nur meinen zweiten Faktor, keinen Login (Kontonummer) oder einen Hinweis auf das betreffende Konto (bzw. nur die letzten 4 Stellen der Kontonummer zur Kontrolle des Auftrags).

Bei der EC-Karte hat er neben dem zweiten Faktor (EC-Karte die er mit einem belibigen Tan-Generator nutzen könnte??) noch den Login (bei meiner Bank eben die KN, nicht veränderbar) und die Bank selbst. Er müsste also nur den 5-Stelligen Pin raten.

Klar theoretisch kaum möglich mit drei Versuchen, trotzdem scheint mir das erstmal nicht gut designed. Ohne die Möglichkeit des Verlusts ist ChipTan super, aber irgendwie finde ich den Fall des Verlusts nicht so klasse gelöst. Auf den ersten und auch zweiten Blick. Daher wollte ich mal nach anderen Meinungen fragen ob ich etwas übersehe. Die EC-Karte habe ich ja tärglich bei mir.
Ergänzung ()

KlaasKersting schrieb:
Du siehst es nicht als fragwürdig an, dass jeder, dem du jemals deine Bankverbindung überlassen hast, die ID für das Online-Banking kennt?
Zum Vergrößern anklicken....

Ja es ist total bescheuert. Leider bei vielen Banken gänige Praxis mit einer auf 5-Stellen limitieren Pin (warum auch immer). Mindestens 5-Stellen ist afaik gesetzliche Vorschrift. 4-Stellen wird es in DE nicht mehr geben für Online. Aber viele Banken denken sich, ok dann erlauben wir einfach nur length == 5 und nicht length >= 5.
 
Zuletzt bearbeitet von einem Moderator:
Du sperrst die Karte doch eh bei Verlust? Paranoia Deluxe, noch dazu, weil die Banken durch ihre Entschädigungsfonds eh alles regulieren, was nicht absolut grobe Fahrlässigkeit ist.

Ich halte es für bedeutend wahrscheinlicher, dass du die optische Anzeige des TAN Generators nicht mit den Daten der Überweisung abgleichst und über dieses IN DER PRAXIS angewandte Verfahren betrogen werden kannst.
 
Zuletzt bearbeitet:
Es geht hier nicht um Paranoia noch um real Angst das etwas passiert. Es geht um theoretische Angriffsmöglichkeien als Gedankenspiel und die Überlegung welche Variante man in der Praxis bevorzugt.
 
Theoretische "Angriffsmöglichkeiten" für die praktische Nutzung?

Was willst du denn noch? Die Karte kann gesperrt werden, der Chip kann nicht kopiert werden. Für den Zugriff auf das Online Banking gibt es max. 3 Versuche bei mindestens einer Million Möglichkeiten?

Es scheint den Controllern der Banken sicher genug zu sein, die Schäden sind wohl zu vernachlässigen bzw. gar nicht vorhanden.

Außerdem ist das Chip TAN Verfahren auch losgelöst vom Login zu betrachten. Wenn du mehr Sicherheit willst, dann nimm HBCI, aber da könnte auch jemand bei dir einbrechen.

Da kannst du auch gleich eine weitere Girokarte bestellen, die dann bei dir in der Wohnung bleibt.
 
Zuletzt bearbeitet:
Eben, die Online PIN ist auch mit 5 Stellen als Sperre stark genug, außerdem kannst Du ja wie gesagt nach einem Verlust das Online Banking selbst sperren, z.B. indem Du dreimal die falsche Pin eingibst, dann kann sich auch niemand mehr einloggen bis Deine Bank es wieder freigeschaltet hat und bei der Gelegenheit kann sie die alten Karte gleich fürs Chip TAN Verfahren sperren, dann musst Du nach Erhalt der neuen Karte diese nur wieder für Chip TAN freischalten, was Du ja sowieso musst und gut ist. Die Daten für den Online Zugang dürfen eben nicht zusammen mit der Karte verloren gehen, also auch keineswegs zusammen aufbewahrt werden und leider ist es eben meist nur die Pin die wirklich geheim ist, da eben bei den meisten Banken die Kontonummer als Username verwendet wird.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

thommy86
EC Karte verloren, was tun?
2
Antworten
21
Aufrufe
9.887
iks-deh
iks-deh

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz