Postbank schafft itan-liste ab...

Question

Die Postbank will bis April die ITAN-Liste abschaffen und durch eine Chiptan ersetzen.
weiterhin soll noch die mobiletan nach wie vor gehen.

Ich bin wirklich stinksauer deshalb.
Wenn ich dann noch lese wie die ITAN-Liste von leuten als unsicher eingestuft wird ärgere ich mich noch mehr.
Mein Problem: Ich habe keine Lust mir einen Tangenerator zu kaufen, der zudem wieder ein weiteres Gerät ist bei dem dann wenn man es braucht vermutlich die Batterien leer sind.
Und Mobile Tan also die Tan ans Handy schicken geht überhaupt nicht, denn das bedeutet verliere ich mein Handy verliere ich meine Tanliste (welche ich eh nicht unterwegs mitnehmen würde, ich habe es noch nie so eilig mit einer Überweisung gehabt das ich noch bevor ich zu hause bin eine tan brauche)


Also die "alte" tanliste ohne eine durchnummerierung war natürlich etwas dämlich da wohl eine gut 1% oder 0,1% chance bestand eine richtige Tan zu erraten.
Aber die in folgenden Artikel aufgeführten Scenarien das die ITAN unsicher ist möchte ich mal weiter unten etwas auseinander nehmen:
www.ilex-recht.de/2010/phishing-deutsche-bank.html

Zitat:
Warum ist das iTAN-Verfahren heute unsicher?

"Eine iTAN-Liste ist jedoch schwerer zu tarnen und einem Dieb fällt stets die komplette Liste in die Hände."
Also abgesehen davon das ich meine Tanliste nicht mitnehmen würde, ein Chiptan-leser ist ja so viel besser zu tarnen als ein stück papier - und es fällt dem dieb auch nur eine unendlich große tanliste in die Hände... Verliere ich mein Handy das gleiche, die MobileTan ist doch eigentlich das gefundene Fressen bei einem Handy doch mal nähere informationen über dem Besitzer seine Bank einzuholen wenn sich die möglichkeit bietet.

"Anfang 2007 tauchten erstmals Phishing-Kits auf, die in der Lage waren, über die bereits genannte Man-in-the-middle-Attacke iTANs in Echtzeit für eigene Transaktionen zu benutzen."
Ja schön - ändert es nun etwas ob ich die Tan von einem Blatt papier abschreibe oder ob ich die von einer SMS lese oder aus einem Gerät, das die ITAN-Liste nun unsicher ist aber in dem Scenaria die Mobiletan sicher ist? nö denn der Angriff wäre genau so sicher erfolgreich.

"Bei einem Man-in-the-middle-Angriff schaltet sich ein auf dem Rechner des Bankkunden installierter Virus (ein sogenanntes „trojanisches Pferd“) automatisch ein, sobald der Online-Kunde eine Überweisung tätigen will. Der Virus tauscht im Hintergrund die Überweisungsdaten aus."
nun auch hier gilt das gleiche, wenn die Angreiferseite zeitgleich eine andere überweisung tätigt und mit den geforderten Daten von der Bank dann die "fake" überweisung auf dem Bildschirm flimmert ists auch wieder egal wo die Tan herkommt.

Also ich finde eine ITAN-Liste die ich gegebenenfalls einscannen und verschlüsselt auf einem Stick mitnehme immer noch sicherer als ein mobileTan, zumal ich mein Handy entweder nicht pinsperre und bei Kollegen die es tun sehe ich da es ein alltäglicher gebrauchsgegenstand ist die pin so oft eingeben wenn die mir was zeigen wollten, dass ich die von mehreren Kollegen schon daher kenne - hab leider ein sehr gutes Zahlengedächniss.

Answer 1

Du gehst auf deine Bankingseite. Dort gibst du ein Zielkonto an und einen Betrag. Bestätigst dies mit der Itan.
Wenn das nun "abgefischt" wird, hat derjenige Zeit sich mit deinen Daten anzumelden und mit der I-Tan eine x beliebige Überweisung zu tätigen.

Nicht bei der Postbank. Da sind die jeweiligen iTAN durchnummeriert und es folgt eine Aufforderung, welche iTAN zu verwenden ist. Somit ist jede TAN auch einer Überweisung zugeordnet.

mTAN und sicher? Ha! Wieso nicht gleich per E-Mail? SMS aus dem Umfeld können leichter ausgelesen werden als E-Mails von gMail!
Einfach mal mit den Suchbegriffen "fremde sms lesen" das Netz durchstöbern und staunen.


Die Sicherheit der TAN ist ja erst relevant, wenn der Login beim Onlinebanking ausspioniert wurde. Nun ist's passiert und der böse Dieb möchte eine Überweisung von 10.000 Euro nach Krachussistan durchführen. Er macht alles fertig, positioniert sich in deine Umgebung (2-6 km reichen) und lässt die SMS auf dein Handy schicken. Diese SMS snifft er mit und kann sie sofort nutzen. Du siehst nur eine SMS mit Überweisungsdaten, welche dir völlig fremd sind. Aber kann man dann noch reagieren? Sofort Absender anrufen und stornieren? Was machen, wenn man gerade im Freibad oder unter der Dusche ist?

Chip-Tan... Ich soll Geld für ein Gerät bezahlen, weil die Bank ein vorhandenes, kostenloses Verfahren einstellen möchte? Aus prinzip nicht! Nicht 1 Euro!
Sollte ich mal die TAN mitnehmen wollen (Reise etc) dann kann ich den Zettel gut knicken und versteckt aufbewahren, mit dem Handygroßen Generator ist nicht so gut möglich.

Es wäre Kundenfreundlich, dem Kunden die Wahl der Methode zu lassen. So kann jeder das wählen was für ihn optimal ist.
Kommt dem Kunden die iTAN-Liste abhanden ist's so als verliert er die EC-Karte für den TAN-Generator oder das Handy für mTAN.
Ja, ein Handy ist PIN-gesichert, aber verliert man es denn ausgeschaltet oder nur frei mit Tastensperre?
Ja, man könnte ein Handy und eine EC-Karte sperren (Tel: 116 116, kostenlos), aber bis man es merkt und sich vergewissert hat es nicht im Auto / Zuhause vergessen zu haben vergehen einige Stunden.

Answer 2

Für Vielnutzer, zB Aktienhandel über easytrade ist die Papierliste einfacher und bequemer und sicher seit über 15 Jahren.

Answer 3

Servus

Stimme besucherpete und iTAN-Nutzer zu, es sollte dem Kunden die Wahl überlassen bleiben - mit allen Konsequenzen wohlgemerkt. Mit welcher Arroganz und Selbstherrlichkeit in diesem Fall die Banken mal wieder auftreten ist vom feinsten.

Ich möchte hier mal einen anderen Punkt beleuchten: Von wegen das Ganze geschehe zum Schutz des Kunden, das ist eine fadenscheinige Aussage und nur bedingt richtig. Ich behaupte hier geht es schlicht mehr um den Schutz der Banken und weniger um den Schutz des Kunden. Denn je sicherer (angeblich) ein System gilt, desto eher liegt die Beweislast, wenn was schiefgeht, beim Kunden. Meine Meinung.

Zudem betreibe ich Homebanking schon seit BTX Zeiten und habe schon einige Programme, Systeme und Entwicklungen auf dem Gebiet miterlebt. Auch gehöre ich zu der (sehr kleinen) Gruppe Homebanking User, die prinzipiell kein Web Banking betreibt. Deshalb lache ich schon seit Jahren über jegliche Art von Phishing Mails die ich bekomme, weil mich deren Inhalt grundsätzlich nie betrifft. ;-) Für mich kam schon immer nur der Einsatz einer speziellen Software in Frage. Zudem ist die Datenbank meiner Software hochgradig verschlüsselt mit einem extrem starken Passwort. Im Web schaue ich mir allerhöchstens mal eben den Kontostand an, Überweisungen tätige ich dort grundsätzlich nicht. Alleine durch diese Tatsache fallen bei mir schon mal sämtliche populären Angriffstechniken ins Wasser.

Der TAN Generator ist schon eine sehr sichere Sache. Hat aber wieder den Nachteil, dass man für den erfolgreichen Angriff nur diesen in die Finger kriegen muss und dieser sonst durch nichts mehr abgesichert ist, soweit ich weiss. Und damit unterscheidet den Generator eig. nichts von der TAN-Liste was die Sicherheit angeht. D.h. das Ganze ist mit Generator auch nur solange so sicher, solange man auf den Generator genauso gut aufpasst wie auf die TAN Liste.

Wie auch immer. Egal ob TAN Liste, mTAN, iTAN oder jetzt TAN Generator mit Scanner: Jedes System hat Lücken und jedes System ist schlussendlich auch angreifbar, alles nur eine Frage des Knowhows und des Equipments. Alles steht und fällt mit der Disziplin des Benutzers und seinem Umgang mit sensiblen Daten und der davon betroffenen Technik.

Answer 4

Nicht bei der Postbank. Da sind die jeweiligen iTAN durchnummeriert und es folgt eine Aufforderung, welche iTAN zu verwenden ist. Somit ist jede TAN auch einer Überweisung zugeordnet.

Das ist normal beim iTAN, jedoch so nicht richtig und schon garnicht der Überweisung zugeordnet.
Ich versuche es dir nochmals zu erklären:

eine iTAN gibt es schon vor der Überweisung, somit ist sie auch keiner Überweisung zugeordnet. Das die über eine Nummer angezeigt wird, welche TAN du eingeben sollst, ist normal beim iTAN. Die TAN ist deshalb aber nicht an die Überweisung gebunden. Theoretisch könnte man diese also abfischen und für eine ganz andere Überweisung benutzen.
eine mTAN wird für einen Vorgang erzeugt und ist entsteht erst NACH der Anforderung eine Überweisung tätigen zu wollen. Daher ist die TAN an die Überweisung gebunden und kann nicht für einen anderen Vorgang missbraucht werden.

mTAN und sicher? Ha! Wieso nicht gleich per E-Mail? SMS aus dem Umfeld können leichter ausgelesen werden als E-Mails von gMail!
Einfach mal mit den Suchbegriffen "fremde sms lesen" das Netz durchstöbern und staunen.

Natürlich kann man das, wie man vieles theoretisch kann. Aber selbst wenn es einer machen sollte, bringt im das nichts, denn er kann damit alleine nichts anfangen.
Derjenige müsste vorher deine Onlinebanking daten schon ausspähen, dann eine Überweisung tätigen, die mTAN dafür von dir klauen (mit welcher Methode auch immer) und diese dann abschließen und selbst wenn er das geschafft haben sollte, bekommst du es dank der SMS auf deinem Handy mit und hast sehr gute Chancen rechtzeitig reagieren zu können.
Wenn man bedenkt, das die allermeisten Angriffe auf Onlinebanking über Masse geschehen und dabei nicht eine einzelne Person angegriffen wird, ist so ein Vorfall sehr sehr unwahscheinlich.
Ich will hier nicht mTAN als den heiligen, sichersten Gral des Onlinebanking darstellen, aber die meisten negativen ansichten darüber sind nunmal Vorurteile oder Unwissenheit über die Technik, das ist halt leider so (;

Answer 5

Scip schrieb am 27.01.2011 um 14:06 in A24:

Die TAN ist deshalb aber nicht an die Überweisung gebunden. Theoretisch könnte man diese also abfischen und für eine ganz andere Überweisung benutzen.

Das habe ich anders in Erinnerung. Die iTAN wird für einen ganzen bestimmten Vorgang exakt nur einmal von der Bank angefordert. Kann ich den Vorgang - aus welchem Grund auch immer - nicht abschliessen, oder gebe mehrmals die falsche TAN ein, dann verfällt diese iTAN und wird vom System nie wieder verwendet. Ich habe bei der Postbank die Möglichkeit, mir sogar eine TAN Historie anzeigen zu lassen wo man ganz exakt sehen kann, ob und wann eine TAN akzeptiert wurde oder nicht. Und wenn nicht steht der Grund dabei. Die iTAN wird also grundsätzlich als "Verbraucht" abgehakt, egal ob der Auftrag erfolgreich abgeschlossen wurde oder nicht.

Demnach stelle ich also zwei Dinge fest. 1) Ein iTAN ist sehr wohl an einen bestimmten Auftrag gebunden. Nämlich genau dann, wenn das System eine bestimmte iTAN zu einem Auftrag anfordert erfolgt die Kopplung an diesen. 2) Eine gephishte iTAN bringt dem Angreifer so mal komplett gar nichts. Denn die iTAN wurde bereits für einen Auftrag reserviert und somit ist die iTAN für den Angreifer völlig wertlos.

Man möge mich korrigieren wenn das nichts stimmt. bei der Postbank scheint es jedenfalls so zu laufen.

Answer 6

Njo, die meisten Angriffe finden über manipulierte Seiten statt.
Diese Seiten gaukeln dir vor, du würdest mit deiner Bank korrespondieren.
Gerade bei iTAN geht auch einiges über maschinelle Man-in-the-middle angriffe. Sprich: Was du an deinem Bildschirm für eine Überweisung siehst und welche im Hintergrund wirklich getätigt wird, sind oft 2 verschiedene Dinge.

Das eine iTAN für einen bestimmten Vorgang verwendet wird, ist so schon korrekt. Aber wenn dieser Vorgang irgendwo manipuliert wird, ist das der iTAN recht egal, da bei der Erstellung der iTAN ihr Verwendungszweck nicht vorgeschrieben wurde. Bei mTAN ist das nicht egal, vorallem da in der SMS auch nochmals Bankdaten und Betrag des Vorgangs enthalten sind und du somit solche Angriffe gegenprüfen kannst.

Angebl. soll es auch schon vorgekommen sein, das personen durch das "mithören" von iTANs den kompletten Bogen "geknackt" haben. In wie weit das allerdings mit Fakten zu belegen ist, ist mir unbekannt, weshalb ich es lieber mal als Grücht hier reinstelle.

Answer 7

Scip schrieb am 27.01.2011 um 14:38 in A26:

Gerade bei iTAN geht auch einiges über maschinelle Man-in-the-middle angriffe. Sprich: Was du an deinem Bildschirm für eine Überweisung siehst und welche im Hintergrund wirklich getätigt wird, sind oft 2 verschiedene Dinge.

Ist schon klar. Bei meinen Ausführungen ging ich auch nicht von Man-in-the-Middle aus. Es ging mir rein um die Tatsache - sofern ich das weiss - das einmal angeforderte iTANS an einen Auftrag gebunden sind und nie wieder verwendet werden können.

Spätestens bei Man-in-the-Middle-Attacks wäre jedes z.Z. verwendete System angreifbar. Bei mTAN oder chipTAN müsste dann aber auch noch die Unachtsamkeit des Benutzers hinzukommen, sprich wenn er die Kontroll-Daten nicht sorgfältig überprüft die ja bei mTAN oder chipTAN immer übermittelt werden.

Ich denke wir können hier mal grob zusammenfassen, dass mTAN und chipTAN zumindest dann iTAN überlegen ist, wenn der Benutzer die Kontrolldaten genauestens überprüft.

Angebl. soll es auch schon vorgekommen sein, das personen durch das "mithören" von iTANs den kompletten Bogen "geknackt" haben. In wie weit das allerdings mit Fakten zu belegen ist, ist mir unbekannt, weshalb ich es lieber mal als Grücht hier reinstelle.

Du meinst durch mathematische Verfahren aus einer handvoll iTANs alle anderen berechnen? Das würde ja aber bedeuten, alle TANs sind durch einen bestimmten Algorithmus miteinander verbunden? Erm... das halte ich doch ganz stark für ein Gerücht. Es wäre jedenfalls seitens der Banken mehr als dämlich die TAN-Listen nicht komplett zufallsbasiert zu erzeugen, wovon ich bis dato aber ausgehe.

Answer 8

Ich muss mich korrigieren.

Luke_Filewalker schrieb am 27.01.2011 um 13:34 in A23:

Und damit unterscheidet den Generator eig. nichts von der TAN-Liste was die Sicherheit angeht. D.h. das Ganze ist mit Generator auch nur solange so sicher, solange man auf den Generator genauso gut aufpasst wie auf die TAN Liste.

Das stimmt so wohl nicht. Da ich "noch" kein chipTAN nutze - ich werde erst dann auf chipTAN umsteigen wenn die Post sich endlich bequemt chipTAN auch über HBCI anzubieten - habe ich logischerweise noch Lücken. Es ist wohl so, dass der Generator, soweit ich das verstanden habe, aus Sicherheitstechnischer Sicht ziemlich unwichtig und jederzeit austauschbar ist. Tatsächlich ist die Bankkarte mit dem Chip der Sicherheitsfaktor in dieser Formel. So wie es aussieht, bilden bei der Generierung sowohl der Generator als auch die Bankkarte ein Einheit. Aufpassen muss man also primär auf die Karte - also wie gehabt.

Dadurch gewinnt für mich der chipTAN einen weiteren Punkt bei der Sicherheit und wäre damit auch mTAN überlegen welches ja theoretisch laut iTAN-Nutzer (A21) angreifbar ist durch sniffen der SMS - vorausgesetzt natürlich es wären auch die Logindaten ausgespäht worden. Ausserdem muss bei chipTAN wohl die Bankkarte einmalig über die Webseite der Bank fürs chipTAN Verfahren autorisiert werden, was ein weiterer Sicherheitsfaktor darstellt.

Was muss also passieren, damit das jeweilige System erfolgreich angegriffen werden kann? Ich erstelle mal eine kleine Übersicht nach meinem Wissen:

TAN
1. Zugangsdaten kompromittiert.
2. Eine beliebige TAN kompromittiert.

Herrlicher Phishing-Kandidat und heutzutage wohl das unsicherste Verfahren. Aber völlig uninteressant, da das klassische TAN wohl nirgends mehr verwendet wird.

iTAN
1. Zugangsdaten kompromittiert.
2. Es müsste die komplette TAN Liste kompromittiert sein, wenn man mal den letzten Absatz von A26 ausser Acht lässt.

Schon schwieriger, aber immer noch ein interessanter Kandidat für Phishing-Attacken.

mTAN
1. Zugangsdaten kompromittiert.
2a. Die mTAN müsste abgefangen und sofort verwendet werden (Faktor Timing)
ODER
2b. das Handy des Kunden müsste vorliegen.

Deutlich schwieriger und nicht tauglich für Massenangriffe wie TAN und iTAN da der Dieb hier äusserst gezielt eine ganz bestimmte Person angreifen müsste und zudem auch alles eine Frage des Timings wäre. Phishing fällt hier eig. komplett weg und Man-in-the-Middle dürfte durch die Kontrolldaten extrem schwer sein.

chipTAN
1. Zugangsdaten kompromittiert.
2. Die für chipTAN autoriserte Bankkarte des Kunden müsste vorliegen.
(3.) Möglicherweise müsste der Dieb auch den TAN Generator selbst in die Finger kriegen. Aber nur wenn der Generator auch in die einmalige Autorisierungsprozedur mit eingebunden ist, was ich zum jetzigen Zeitpunkt aber nicht weiss.

Sehe ich als ähnlich sicher wie mTAN mit dem Unterschied das hier gar nichts abgehört werden kann bzw. ein abhören der Daten ziemlich unkritisch wäre. Gerade durch den abhörsicheren TAN-Generator der komplett autark arbeitet - im Gegensatz zu mTAN - hat chipTAN wohl das interessanteste Sicherheitsmerkmal. Phishing fällt hier genauso weg wie bei mTAN. Zudem stehen auch hier Kontrolldaten zur Verfügung, die vor dem Abschluss des Vorgangs nochmal kontrolliert werden können was wiederum Man-in-the-middle "theoretisch" unmöglich machen dürfte.

Wenn man sich das mal so betrachtet, ist eig. keines der Systeme sicher, sobald es dem Dieb gelingt eines der Sicherheitsmedien wie TAN-Liste, mTAN (Handy) oder Chipkarte physisch in die Finger zu bekommen und zusätzlich die Zugangsdaten. Von daher gesehen wären eigentlich alle Systeme gleich gefährdet bzw. gleich sicher. Denn hier gilt dann das gleich wie auch für den Autoschlüssel, den Hausschlüssel usw. Anders sieht es dann aber mit dem Phishingpotential aus und was mögliche Massenangriffe angeht. Da haben mTAN und chipTAN ganz klar die Nase vorne was Sicherheit angeht. Wenn man dann noch realisiert, dass TAN, iTAN und theoretisch auch mTAN angegriffen werden könnte, ohne physischen Zugang zu den Sicherheitsmedien-Medien des Kunden zu haben, z.B. durch Phishing, Man-in-the-Middle Angriffe, gefakte Webseiten usw., chipTAN aber tatsächlich das einzige Sicherheitsmedium Medium wäre, bei dem ein physischer Diebstahl nötig wäre (Bankkarte) und bei dem ein abhören/mitlesen der Daten relativ unkritisch wäre, dann gewinnt eigentlich "laut Papier" das chipTAN Verfahren.

Answer 9

mTAN ist unsicherer als iTAN, weil jemand nur deine Kontozugangspin auspionieren muß, um dich zu schädigen. Wie das? Zugangspin gleich alles was es im Konto so an Infos zu lesen gibt. Adresse bekannt, Handtasche geklaut, Karte und Handy gleich mit. Egal ob mTAN oder handelsüblicher TAN-Generator, das Konto kann abgeräumt werden. iTAN - sowas ist damit unmöglich, wenn man die schön daheim beläßt, und weg schließt! Zudem kann so ein Händy nebst Geldkarte auch mal "ausgeborgt" werden. Gegen Überweisungen über westernunion kann man rechtlich nichts mehr tun... Alternative: 2. Handy, nur leider gibt es da die Anrufweiterschaltung, und wer das schalten kann, kann alles mit deinem Konto machen. Dazu muß nur die PIN zum Kontozugang bekannt sein. iTAN ist einfach sicherer!

Answer 10

@besucherpete

Übertrieben? GERADE bei der Telekom ... wenn einer sich n bösen Scherz erlauben will, bestellt er mit Deinen Daten aus dem Müll ein höherwertigeres Tarifpaket etc. - komm DA mal wieder raus aus der Story ...