26.9k Aufrufe
Gefragt in Plauderecke von mixmax Experte (2.2k Punkte)
Die Postbank will bis April die ITAN-Liste abschaffen und durch eine Chiptan ersetzen.
weiterhin soll noch die mobiletan nach wie vor gehen.

Ich bin wirklich stinksauer deshalb.
Wenn ich dann noch lese wie die ITAN-Liste von leuten als unsicher eingestuft wird ärgere ich mich noch mehr.
Mein Problem: Ich habe keine Lust mir einen Tangenerator zu kaufen, der zudem wieder ein weiteres Gerät ist bei dem dann wenn man es braucht vermutlich die Batterien leer sind.
Und Mobile Tan also die Tan ans Handy schicken geht überhaupt nicht, denn das bedeutet verliere ich mein Handy verliere ich meine Tanliste (welche ich eh nicht unterwegs mitnehmen würde, ich habe es noch nie so eilig mit einer Überweisung gehabt das ich noch bevor ich zu hause bin eine tan brauche)


Also die "alte" tanliste ohne eine durchnummerierung war natürlich etwas dämlich da wohl eine gut 1% oder 0,1% chance bestand eine richtige Tan zu erraten.
Aber die in folgenden Artikel aufgeführten Scenarien das die ITAN unsicher ist möchte ich mal weiter unten etwas auseinander nehmen:
www.ilex-recht.de/2010/phishing-deutsche-bank.html

Zitat:
Warum ist das iTAN-Verfahren heute unsicher?

"Eine iTAN-Liste ist jedoch schwerer zu tarnen und einem Dieb fällt stets die komplette Liste in die Hände."
Also abgesehen davon das ich meine Tanliste nicht mitnehmen würde, ein Chiptan-leser ist ja so viel besser zu tarnen als ein stück papier - und es fällt dem dieb auch nur eine unendlich große tanliste in die Hände... Verliere ich mein Handy das gleiche, die MobileTan ist doch eigentlich das gefundene Fressen bei einem Handy doch mal nähere informationen über dem Besitzer seine Bank einzuholen wenn sich die möglichkeit bietet.

"Anfang 2007 tauchten erstmals Phishing-Kits auf, die in der Lage waren, über die bereits genannte Man-in-the-middle-Attacke iTANs in Echtzeit für eigene Transaktionen zu benutzen."
Ja schön - ändert es nun etwas ob ich die Tan von einem Blatt papier abschreibe oder ob ich die von einer SMS lese oder aus einem Gerät, das die ITAN-Liste nun unsicher ist aber in dem Scenaria die Mobiletan sicher ist? nö denn der Angriff wäre genau so sicher erfolgreich.

"Bei einem Man-in-the-middle-Angriff schaltet sich ein auf dem Rechner des Bankkunden installierter Virus (ein sogenanntes „trojanisches Pferd“) automatisch ein, sobald der Online-Kunde eine Überweisung tätigen will. Der Virus tauscht im Hintergrund die Überweisungsdaten aus."
nun auch hier gilt das gleiche, wenn die Angreiferseite zeitgleich eine andere überweisung tätigt und mit den geforderten Daten von der Bank dann die "fake" überweisung auf dem Bildschirm flimmert ists auch wieder egal wo die Tan herkommt.

Also ich finde eine ITAN-Liste die ich gegebenenfalls einscannen und verschlüsselt auf einem Stick mitnehme immer noch sicherer als ein mobileTan, zumal ich mein Handy entweder nicht pinsperre und bei Kollegen die es tun sehe ich da es ein alltäglicher gebrauchsgegenstand ist die pin so oft eingeben wenn die mir was zeigen wollten, dass ich die von mehreren Kollegen schon daher kenne - hab leider ein sehr gutes Zahlengedächniss.

61 Antworten

0 Punkte
Beantwortet von doc-jay Experte (6.8k Punkte)
Ich benutze schon seit einigen Jahren das Smart-TAN-Verfahren.
Dazu muss ich meine Bank-Karte in ein Lesegerät stecken, einen Code, der mir von der Banking-Seie übermittelt wird, und die Empfängerkontonummer in das Gerät eingeben, und die dann generierte TAN in meine Bankingseite eingeben.
Die generierte TAN ist auch nur für wenige Minuten gültig, und da sie aus einem Code und der Empfängerkontonummer generiert wird auch nur für dieses Konto gültig. Damit mir nicht eine gefälschte Seite eine falsche Kontonummer unterschiebt tippe ich die Kontonummer auch nie von der Banking-Seite ab, sondern vom "Original", also z.B. von der Rechnung bzw. Rechnungsmail.
Damit landet das Geld dann wirklich auf dem richtigen Konto. Wenn das Geld durch eine Atacke auf einem anderen Konto landen soll, dann passt die abgefangene TAN nicht, und somit ist die Attacke im Sand verlaufen.
Nachteil ist natürlich, dass ich das Lesegerät benötige, aber da hält die Batterie schon seit einigen Jahren. Die Teile sind sehr energiesparend und geben nicht von jetzt auf sofort den Geist auf.

Bei SMS-TAN ist der nachteil klar, wenn man das Handy verliert. Aber auch eine Man-in-the-Middle-Attake kann funktionieren, denn auch wenn in der SMS die Empfängerdaten und der Betrag mitgeschickt werden, unser Gehirn ist nicht in der Lage auf die Schnelle z.B. Zahlendreher oder ein Komma an der falschen Stelle zu erkennen, oder mehr als 5 Ziffern gleichzeitig zu erkennen. Und da kann man schnell übersehen dass da eigentlich ein völlig falsches Empfängerkonto angegeben ist.

Die Papierlisten sind die unsicherste Methode, und nach Auskunft einer Fachanwältin einsame Spitze in Sachen Banking-Betrugsfälle.
0 Punkte
Beantwortet von mixmax Experte (2.2k Punkte)
... da sie aus einem Code und der Empfängerkontonummer generiert wird auch nur für dieses Konto gültig


ist in der tat sicherer (selbst wenn man einen trojaner drauf hätte). Ist zwar umständlicher also eine papierliste, aber immer noch besser als die Handylösung.

Für mich würde die Papierliste vollkommen ausreichen. Ich fürchte es ist wohl recht aussichtslos die banken davon abzuhalten die abzuschaffen da die anderen Verfahren von den meisten akzeptiert werden, dennoch habe ich meinen ärger darüber kund getan.
0 Punkte
Beantwortet von
mag vorsichtig behaupten dass ich mich auf dem gebiet auskenne,
da ich im electronic banking einer bank arbeite.

fakt ist: itan ist unsicher weil kunde eine man in the middle attacke
nicht unbedingt bemerken kann.
fakt ist: man in the middle funtkioniert nur wenn kunde eine
schadsoftware auf seinem rechner hat. da man als bank keinen
einfluss darauf hat, wie sicher der rechner eines kunden ist, muss
man ein verfahren schafften, (mit dem man-in-the middle attacken
zwar weiterhin möglich sind), bei dem der kunde aber durch das
handy oder den chiptan generator die manipulation aufdecken kann.

nun hab ich schon argument gehört, ja die rückmeldung vom
bankrechner zurück zum kunden kann manipuliert sein, also am
bankrechner steht überweisung von 10.000 euro auf betrügerkonto
54321 schmitz, auf chiptan generator wird dann wieder 10 euro auf
konto 12345 angezeigt. aber: tan ist mit offline chiptan generator mit
den daten 10 euro auf konto 12345 berechnet. gibt kunde die tan ein,
gibt er ja die tan am pc für den manipulierten auftrag 10.000 euro an
konto 54321 ein, dann sagt der bankrechner dazu: tan ist falsch!

die wenigen schadensfälle deutschlandweit mit neuen verfahren
gab es nur wegen unachtsamkeit des nutzers!

ein chiptan generator hat kartenleser + scanner verbaut -> preis 15
euro dürfte fair sein. ich sehe den preis als allgemeinkosten für
unsichere kundenrechner.
chiptan kenne ich seit 1,5 jahren noch kein kunde hat wegen
batterien problem.
0 Punkte
Beantwortet von mixmax Experte (2.2k Punkte)
hi bob

wird wohl darauf hinauslaufen das ich mir so ein ding besorge, weil handy hab ich nicht so den bezug zu.

das was du schreibst mit 10 euro angezeigt und 10000 euro überweisung wird getätigt - funktioniert das bei MTAN auch noch? weil dann wäre es sehr fadenscheinig ITAN abzuschaffen, MTAN aber zu lassen.
Da ja am Handy keine Daten aus der überweisung angegeben werden dürfte höchstens noch eine info in der SMS die man erhält eine zusätzliche sicherheit gegenüber itan ergeben.
0 Punkte
Beantwortet von Experte (1.9k Punkte)
Mich ärgert es auch.

Die Tan per SMS will ich nicht; mein Handy ist zum telefonieren da und peng; und: wieder einer mehr, der meine Nummer hat ...
Außerdem habe ich in letzter desöfteren kein Handy gehabt; defekt, zurückgeschickt usw...

Die iTan liegt neben dem Rechner in der Schublade. PIN im Kopf und gut ist. Zur Not könnte ich die Liste auch mitnehmen, aber Online-Banking ist doch eher was für zu Hause - oder ?

Das mit dem Zusatzgerät wäre ja ganz nett, aber egal, wie billig das Teil auch sein mag; ich finde es schon dreist, seine Kunden zu dem Kauf zu nötigen, wenn dieser kein Handy hat oder es nicht nutzen will dafür.
Aber die armen Banken nagen ja am Hungertuch, sodaß man die Geräte seinen Kunden nicht so bereitstellen könnte; wenn ich alleine an das ewige Gefälle denke, Guthabenzinsen - Sollzinsen, plus die bis vor kurzem horrenden Fremdkartengebühren, könnt ich bröckeln ...

Und so, hm, gegen Mai, Juni, da kommen dann in Marktsendungen und Nachrichten die neuen Maschen, wie man Handy-Tan und Geräte-Tan faked und die Leute abzockt, da wette ich drauf.

Mir ist bewußt, daß die Papierliste wohl die unsicherste Variante ist.
Aber auch hier ist es ein bankengemachtes Problem, denn wie kommen die beim Kunden an? Per 0815 Post; kein Einschreiben oder ähnliches, nein, normale Schneckenpost - die ja ach so sicher ist.
Die Handy-Tan ist mir die undurchsichtigste, deshalb lehne ich die ab.
Die Zusatzgeräte-Tan hat zumindest den Anschein, (erst mal) sicher zu sein.

Apropo Sicherheit; vorgestern ertappte ich meine Mutter, wie sie eine Telekomrechnung fortwerfen wollte. Ich schreddere sowas.
Denke ich an die supersicheren Abfragen der Telekom (ja ja, schon klar), wird mir anders; und so oft man es denen sagt, sie raffen es nicht.
Ich hatte es ja oft genug; ich rufe an, und nenne meine Kundennummer - und dann kommt unweigerlich die ganze Litanei, in der ich meine komplette Adresse "bestätigen" muß.
Sie begreifen einfach nicht: wenn ich die Kundennummer habe, die so gut wie nur auf der Rechnung steht, dann habe ich auch alles andere, was die "sicherheitstechnisch" abfragen. Egal, ob ich die Rechnung aus dem Briefkasten oder dem Mülleimer habe ...

Soll heißen: ich bin wirklich gespannt auf die ersten TV-Berichte, die uns erklären, wo das schwache Glied in der Sicherheitskette der Geräte-Tan zu finden ist.
0 Punkte
Beantwortet von
mimax,

auch in der sms steht drin:
für ihre überweisung von 10,00 euro an die ktonummer 12345 lautet die
tan:998877

die tan 998877 ist mathematisch berechnet und kann nur zu diesem
auftrag passen.

louzipher:
einen angeblichen knackversuch für chiptan gab es schon. allerdings
hat der eigentlich genau verdeutlicht, dass chiptan sicher ist, denn es
liegt an der mangelnden aufmerksamkeit des user, wenn sich auf dem
chiptan generator plötzlich etwas anderes tut als gewohnt und man
dann doch die tan eingibt.
0 Punkte
Beantwortet von
Bei SMS-TAN ist der nachteil klar, wenn man das Handy verliert.

Ich weiß nicht, aber ich glaube, hier macht sich manch einer wirklich zu viele Gedanken. Weiter oben kam das ja schon mal durch: Um mit dem Handy bzw. der dort zu sehenende PIN was anfangen zu können, muss man auch die übrigen Bankdaten der Person kennen - und das vorher. Oder sehe ich da was grundsätzliches falsch?

ein chiptan generator hat kartenleser + scanner verbaut -> preis 15 euro dürfte fair sein.i

Dazu bin ich schon der Meinung, dass der Kunde die Wahl haben sollte zwischen der kostenlosen iTAN oder dem kostenpflichtigen Kartenleser. Wenn nun die kostenlose Variante abgeschafft und dem Kunden die kostenpflichtige Lösung (mehr oder weniger) aufgedrängt wird, mag das viele sein, aber sicher nicht fair.

Außerdem habe ich in letzter desöfteren kein Handy gehabt; defekt, zurückgeschickt usw...

Ja, das kann passieren. Aber wenn ich SMS-TAN nutze, kümmer ich mich eben um ein Ersatzhandy - oder verzichte für diese Zeit eben aufs Online-Banking. Außerdem ist es doch nicht der Regelfall, dass man sein Handy regelmäßig zwei Wochen zur Reparatur schicken muss.

Apropo Sicherheit; vorgestern ertappte ich meine Mutter, wie sie eine Telekomrechnung fortwerfen wollte. Ich schreddere sowas.

Das spricht, finde ich, für meinen Eingangssatz: Wer keine Sorgen hat (oder Arbeit), macht sich welche. Ja, natürlich ist es sicherer, seine Rechnungen nicht einfach so wegzuwerfen. Aber wie groß ist die Gefahr denn wirklich? Klar, ab und an wird mit sowas tatsächlich Missbrauch betrieben, aber das ist doch nicht an der Tagesordnung. Ok, vielleicht sehe ich das anders, wenn ich mal auf die Nase falle, aber bisher jedenfalls komm ich auch so gut durchs leben. Ach ja, ich schmeiße gerade Rechnungen von Telekommunikationsunternehmen gar nicht erst weg - auch basierend auf schlechten Erfahrungen, wenn auch etwas anders geartet.
0 Punkte
Beantwortet von lutz1965 Profi (18.9k Punkte)
Hallo

wir z. B. bei der Sparkasse können ein ppar Handy-Nummern hinterlegen. Wenn wir dann eine Überweisung machen, können wir auswählen, auf welches Handy die TAN Nummer geschickt wird.

Einen TAN-Generator könnte mach bei der Sparkasse kaufen...fängt an ab 12 Euro.

Gruss

Lutz
0 Punkte
Beantwortet von mixmax Experte (2.2k Punkte)
Threat von falsch verstanden gelöscht da er persönlich wird.

Danke lutz,

ich bin noch am überlegen ob ich einfach nur die Bank mit dem Sparkonto wechsel ums denen "heimzuzahlen" - immerhin liegen da meine ganzen ersparnisse auf halde mit denen die Kohle machen.
Aber mein Girokonto - also das wo ich die TAN's hauptsächlich bräuchte, werde ich alleine schon deshalb behalten weils für zig einzugsermächtigungen etc schon eingetragen ist.
0 Punkte
Beantwortet von fritz-rudolf Experte (3.3k Punkte)
Hi,

wir z. B. bei der Sparkasse können ein ppar Handy-Nummern hinterlegen. Wenn wir dann eine Überweisung machen, können wir auswählen, auf welches Handy die TAN Nummer geschickt wird.


geht bei der Postbank definitiv auch. Perönlich finde ich die Handytans besser als die auf Papier. Und sicher ist das bestimmt, eine TAN speziell für eine bestimmte Überweisung mit "Verfallsdatum", Bestätigung der Empfängerdaten in der SMS, sofort in der Umsatzanzeige sichtbar und überprüfbar, Keine Zettelwirtschaft, keine neue Liste anfordern. Ich denke mal, 99% der Onlinebankingnutzer haben auch ein Handy im Haushalt.

Gruß FR
...