26.9k Aufrufe
Gefragt in Plauderecke von mixmax Experte (2.2k Punkte)
Die Postbank will bis April die ITAN-Liste abschaffen und durch eine Chiptan ersetzen.
weiterhin soll noch die mobiletan nach wie vor gehen.

Ich bin wirklich stinksauer deshalb.
Wenn ich dann noch lese wie die ITAN-Liste von leuten als unsicher eingestuft wird ärgere ich mich noch mehr.
Mein Problem: Ich habe keine Lust mir einen Tangenerator zu kaufen, der zudem wieder ein weiteres Gerät ist bei dem dann wenn man es braucht vermutlich die Batterien leer sind.
Und Mobile Tan also die Tan ans Handy schicken geht überhaupt nicht, denn das bedeutet verliere ich mein Handy verliere ich meine Tanliste (welche ich eh nicht unterwegs mitnehmen würde, ich habe es noch nie so eilig mit einer Überweisung gehabt das ich noch bevor ich zu hause bin eine tan brauche)


Also die "alte" tanliste ohne eine durchnummerierung war natürlich etwas dämlich da wohl eine gut 1% oder 0,1% chance bestand eine richtige Tan zu erraten.
Aber die in folgenden Artikel aufgeführten Scenarien das die ITAN unsicher ist möchte ich mal weiter unten etwas auseinander nehmen:
www.ilex-recht.de/2010/phishing-deutsche-bank.html

Zitat:
Warum ist das iTAN-Verfahren heute unsicher?

"Eine iTAN-Liste ist jedoch schwerer zu tarnen und einem Dieb fällt stets die komplette Liste in die Hände."
Also abgesehen davon das ich meine Tanliste nicht mitnehmen würde, ein Chiptan-leser ist ja so viel besser zu tarnen als ein stück papier - und es fällt dem dieb auch nur eine unendlich große tanliste in die Hände... Verliere ich mein Handy das gleiche, die MobileTan ist doch eigentlich das gefundene Fressen bei einem Handy doch mal nähere informationen über dem Besitzer seine Bank einzuholen wenn sich die möglichkeit bietet.

"Anfang 2007 tauchten erstmals Phishing-Kits auf, die in der Lage waren, über die bereits genannte Man-in-the-middle-Attacke iTANs in Echtzeit für eigene Transaktionen zu benutzen."
Ja schön - ändert es nun etwas ob ich die Tan von einem Blatt papier abschreibe oder ob ich die von einer SMS lese oder aus einem Gerät, das die ITAN-Liste nun unsicher ist aber in dem Scenaria die Mobiletan sicher ist? nö denn der Angriff wäre genau so sicher erfolgreich.

"Bei einem Man-in-the-middle-Angriff schaltet sich ein auf dem Rechner des Bankkunden installierter Virus (ein sogenanntes „trojanisches Pferd“) automatisch ein, sobald der Online-Kunde eine Überweisung tätigen will. Der Virus tauscht im Hintergrund die Überweisungsdaten aus."
nun auch hier gilt das gleiche, wenn die Angreiferseite zeitgleich eine andere überweisung tätigt und mit den geforderten Daten von der Bank dann die "fake" überweisung auf dem Bildschirm flimmert ists auch wieder egal wo die Tan herkommt.

Also ich finde eine ITAN-Liste die ich gegebenenfalls einscannen und verschlüsselt auf einem Stick mitnehme immer noch sicherer als ein mobileTan, zumal ich mein Handy entweder nicht pinsperre und bei Kollegen die es tun sehe ich da es ein alltäglicher gebrauchsgegenstand ist die pin so oft eingeben wenn die mir was zeigen wollten, dass ich die von mehreren Kollegen schon daher kenne - hab leider ein sehr gutes Zahlengedächniss.

61 Antworten

0 Punkte
Beantwortet von
Ihr seit ja mutig oder Experten,ich nutze kein Internet für Bankaufträge oder ähnliches. Mache alles über die alten Methode,hingehen zur Sparkasse od. Bank, an einen
Automaten od. Personal und los gehts. Denke immernoch das es am sichersten ist.
Muss ehrlich schreiben, um was ihr Euch da "unterhaltet" sind für mich "böhmische Dörfer".Sorry.
Aber mal ehrlich,ist denn der Weg zur Sparkasse-od. Bank zu weit um seine finz. Geschäfte zu erledigen? Denkt mal an unsere Eltern od. Großeltern,wie die es gemacht haben.
Ich kann mich noch erinnern,huuchh,meine Kontoauszüge werden ausgedruckt und da standen zig Leute ringsum und staunten mit.

ja,so wars.

biene
0 Punkte
Beantwortet von luke_filewalker Experte (3.3k Punkte)
Moin

@Biene55
Prinzipiell ist das ja okay, nur ist das keine universelle Lösung für die Allgemeinheit. Die meisten haben - so wie ich - schlicht keine Zeit und zugegebenermassen auch keine Lust extra zur Bank zu fahren und dort evtl. auch noch warten zu müssen. Ist sicher eine Frage des Standpunktes; meine Freizeit ist mir jedenfalls definitiv zu schade um in irgendeiner Bank evtl. in einer Schlange stehen zu müssen, die Zeit kann ich wirklich sinnvoller nutzen. Und selbst wenn keine Leute vor mir wären, der ganze "manuelle" Vorgang dauert um einiges länger als mich zuhause mal eben kurz in mein Banking Programm einzuloggen und dort eine Überweisung zu tätigen.

Sicher haben unsere Grosseltern das noch "klassisch" gemacht. Man darf aber auch nicht vergessen, dass sich seit der Zeit unserer Grosseltern eine ganze Menge verändert hat. Gesellschaftlich, politisch, industriell, was die allgemeine Wirtschaft angeht usw. Diese Änderungen betreffen u.a. den täglichen Ablauf unseres Alltags und es hat kaum noch jemand Zeit. Alles wird (kaputt)optimiert, verbessert, beschleunigt, effizienter gemacht usw. usf. Selbst wenn man die modernen Methoden nicht braucht, kommt man früher oder später nicht mehr drumherum, denn die Umgebung verändert sich ständig. Als Berufstätiger hat man sogar meist gar keine Wahl. Diese Veränderungen betreffen natürlich auch den Umgang der Menschen mit Geld und Banken und schon längst ist Homebanking keine Randerscheinung mehr, sondern ein immer grösser werdender Posten für die Banken. Jetzt stell Dir mal vor, alle würden es wieder so machen wie Du und auf Homebanking verzichten, was glaubst was dann los wäre? Die Banken könnten den Ansturm gar nicht mehr bewältigen. Der Zug dürfte abgefahren sein, das wäre in unserer "modernen" Leistungsgesellschaft gar nicht mehr möglich, behaupte ich mal.

Ich persönlich hab in den letzten 15 Jahren (glaub ich) keine Bank mehr von innen gesehen. ;-) Es gibt definitiv Dinge da ziehe ich auch den persönlichen Umgang mit Menschen dem Computer vor. Ein Auto würde ich z.B. prinzipiell nicht im Internet kaufen usw. Aber irgendwelche 0815 Standard Bank Aufträge wie sie alltäglich vorkommen, gehören ganz sicher nicht dazu. Solche "Details am Rande" müssen Zuhause "nebenher" laufen.
0 Punkte
Beantwortet von luke_filewalker Experte (3.3k Punkte)
@MixMax
MixMax schrieb am 21.01.2011 um 00:35 in A14:

wird wohl darauf hinauslaufen das ich mir so ein ding besorge, weil handy hab ich nicht so den bezug zu.

Ich behaupte mal, so gehts dem grössten Teil der Prä-Handy-Generation. Ich verwende das handy ganz klassisch zum telefonieren, mehr muss das Teil nicht können. ;-) So ist mir z.B. auch chipTAN deutlich "sympathischer" als mTAN. Leider dauert es bei der PB noch bis April bis die chipTAN via HBCI zur Verfügung stellen und das ist für mich eine Grundvoraussetzung, da ich Web-Banking (also über Browser) grundsätzlich ablehne.

Seit ich in Deinem Thread die erste Antwort schrieb, hab ich mich recht intensiv mit dem Thema befasst und mir auch so einen Generator geholt um mal zu sehen, wie das technisch abläuft. Auch wenn ich immer noch der Meinung bin, die Entscheidung sollte dem Kunden überlassen bleiben, so sehe ich inzwischen chipTAN als echte Alternative zu iTAN und auch mTAN. Unna auch wenn mir persönlich die Sicherheit noch nicht weit genug geht. Ich hätte gerne noch diese Merkmale bei chipTAN:

[list][*]Pin für das HHD Modul im Chip. Nicht zu verwechseln mit dem Gerät mit Display und Tastatur in das die Karte gesteckt wird!
[*]Einbeziehung des "TAN Generators" in die Autorisierung unter Verwendung eines bereits Autorisierten Sicherheitsmediums wie z.B. bereits vorhandener Generator oder iTAN. Das sollte eig. problemlos möglich sein, denn so wie es aussieht, hat jeder Generator eine abrufbare Seriennummer.[/list]

Ansonsten: Leider bin ich im Internet bereits an die Grenze gestossen, was die Banken über chipTAN an Informationen "herausrücken". Was mir noch fehlt sind Details zur TAN Generierung im Chip selbt. Alles was man findet sind sehr allgemeine Informationen. Was ich z.B. lange gesucht habe ist die Info, ob die eigene Bankekarte, also der Chip, mit in die Generierung mittels eines individuellen Merkmals mit einfliesst. Dem ist wohl so, das habe ich z.B. auch als grundlegendes Sicherheitsmerkmal so erwartet. Aber sonst finden sich keine technischen Details. Mich würde z.B. interessieren, mit welchen Krypto Verfahren da gearbeitet wird, wenn das jemand weiss...
0 Punkte
Beantwortet von sutadur Experte (3.6k Punkte)
Ihr seit ja mutig oder Experten ...

Weder das eine noch das andere, wir beschreiten einfach nur andere Wege.

Aber mal ehrlich,ist denn der Weg zur Sparkasse-od. Bank zu weit um seine finz. Geschäfte zu erledigen?

Ganz ehrlich? Ja. Die Zeit, die dabei draufgeht, kann man m.E. sinnvoller nutzen. Aber das ist eine persönliche Entscheidung und die kann jeder so fällen, wie er mag.

Denkt mal an unsere Eltern od. Großeltern,wie die es gemacht haben.

Klar, das war sicher was anderes. Aber es war auch eine andere Zeit. Und die Zeiten ändern sich nun mal - und damit auch die Möglichkeiten.
0 Punkte
Beantwortet von
Moin Moin,
seit 2 Jahren bin ich bei der Volksbank. Bei der Kontoeröffnung habe ich kostenlos[u] einen TAN- generator erhalten.
Das System ist einfach. In den TAN- Generator stecke ich die EC- Karte. Dann gebe ich 2 Zahlenkombinationen (Code und Data) ein, die mir vom System (also online von der Bank) vorgegeben werden. Der Data- Wert besteht hauptsächlich aus der Konto- nr. des Zahlungsempfängers. Daraus wird bankseitig und im TAN- Generator die TAN generiert, die ich dann eingeben muss. Das System vergleicht seinen mit dem von mir eingegebenen Wert. Sind beide gleich, wird die Überweisung ausgeführt. Wenn nicht die Überweisung abgebrochen.
Einfach toll.
Warum der Kunde bei einem kostenlosen Girokonto nun den Generator kaufen muss, ist nicht nachvollziebar. Wahrscheinlich haben die Banken eine neue Einnahme- Quelle entdeckt.
Dabei müssten Sie nach der Finanzkrise unbedingt was für ihr Image tun.
Und was tun sie? Wie immer abzocken!!!!!!!!!!!!
0 Punkte
Beantwortet von fritz-rudolf Experte (3.3k Punkte)
@Biene55

bei dem Vergleich Filiale vs. Homebanking da gibt es auch noch folgendes zu bedenken:

Gebühren, Öffnungszeiten, Fillialschließungen, Verfügbarkeit auf dem flachen Land, Bank-Wahlmöglichkeiten, eigene Arbeitszeiten, Anzahl der Transaktionen, Banklaufzeiten, Handyaufladen, Kontrolle von Geldeingängen usw.

Dabei sind viele Sachen, die Oma und Opa gar nicht tangiert haben. Monatsanfang Geld geholt, Geld in der Schublade oder der Kaffeekanne, Einkauf im Dorfladen mit Bargeld, auf Arbeit mit dem Fahrrad und die 2x Quellebestellungen im Jahr per Nachnahme...

Wenn man alleine an Interneteinkäufe denkt und ich mir vorstelle für jeden Kauf über Ebay, Amazone, BOL und Co. einen Ü-Trager ausfüllen und zu Bank schaffen....oder die heutigen Tankbeträge bar bezahlen (hier gehts sicher mehr un Karte und nicht Homebanking, aber das war bei den Großeltern ja auch noch kein Thema)

Ich möchte EC-Karte und Homebanking ehrlich gesagt nicht mehr missen. Und wegen Gefahr, unsere Sparkasse haben sie vor ein paar Jahren 3x innerhalb von einem halben Jahr überfallen. Was meinst du, mit welchem Gefühl ich da die Tageseinnahmen eingezahlt habe ;-) (ja heuite kann man darüber wieder lachen)

Gruß FR
0 Punkte
Beantwortet von
Ich möchte EC-Karte und Homebanking ehrlich gesagt nicht mehr missen.

Um das noch weiter zu treiben probiere ich seit kurzem aus, ob man auch ohne ec-Karte durch den Alltag kommt und stattdessen mit Kreditkarte bezahlt. Das Ergebnis ist noch recht durchwachsen ...
0 Punkte
Beantwortet von luke_filewalker Experte (3.3k Punkte)
@Fritz
Stimmt, die Öffnungszeiten ist der nächste Punkt. Bei den meisten Banken sind die Öffnungszeiten grundsätzlich so, das ich schon mal keine Zeit hätte. Zudem gibts dann, gerade bei der Sparkasse, auch noch Ausnahmen an bestimmten Tagen und nicht einheitliche Öffnungszeiten für jeden Tag in der Woche. Bei der Postbank ist das wenigstens konstant von-bis und zudem bei den Finanzcentren (zumindest meins hier) bis zu einer Zeit Abdnes, wo auch ich ab und an mal die Chance hätte, direkt vorbeizugehen wenn das nötig wäre. Da hab ich bei der Sparkasse schon mal komplett verloren. Und am Samstag kenne ich keine Bank die offen hat, ausser Postbank.

Wenn ich mir das so ansehe, dann habe ich das Gefühl, Banken bzw. Filialen sind nur für Rentner, Schüler oder Leute mit Urlaub gedacht. Was bitte macht der normale Berufstätige? Chancenlos. Also bleibt ja nur Homebanking, selbst wenn ich es anders haben wollte ginge es schlicht nicht.
0 Punkte
Beantwortet von luke_filewalker Experte (3.3k Punkte)
Abdnes=Abends <-Sauklaue ;)
0 Punkte
Beantwortet von luke_filewalker Experte (3.3k Punkte)
Noch etwas zur "Vereinfachung" der TAN-Handhabe durch den chipTAN Generator: ich muss ganz klar sagen, für mich ist das ein Rückschritt in Sachen Komfort. Der Umgang mit dem Generator ist für mich jetzt deutlich aufwendiger als noch mit iTAN, da ich die iTAN-Liste früher jeweils einmalig im Bankprogramm hinterlegt habe. So konnte das Programm bei jeder Überweisung direkt die TAN abrufen, ohne das ich damit was zu tun hatte. Zudem ist die Datenbank hochgradig verschlüsselt und damit um Welten sicherer als jedes Stück Papier. Selbst wenn die Liste in einem Tresor lagern würde, würde ich die verschlüsselte Version jederzeit vorziehen.

Für die meisten ist der Umgang mit dem Generator natürlich komfortabler als mit der klassischen Liste. Ich sage mit Absicht für die meisten. TAN-Listen einscannen und verschlüsseln oder mit Banking Programm mit verschlüsselter Datenbank zu arbeiten ist nicht der Normalfall, sondern eher die exotische Ausnahme bei den Benutzern. Das hängt aber auch ganz klar mit dem Grundwissen zusammen was Sicherheit und Verschlüsselung angeht und mit dem Sicherheitsbewusstsein das bei den meisten eh nicht sonderlich ausgeprägt ist, um es mal ganz diplomatisch zu formulieren. ;-) Man merkt das schon wenn man mal die Hotline einer Bank bezüglich Homebanking braucht. Die Damen und Herren dort kennen fast alle nur den Umgang mit dem Browser. Es kostet jedes Mal Zeit und Nerven denen klar zu machen, dass ich kein Web-Banking betreibe sondern ausschliesslich eine Software über HBCI Protokoll. "Ja da können wir Ihnen nicht helfen, bitte wenden Sie sich an den Hersteller des Programmes". Unisono. Würden sehr viel mehr Menschen spezielle Software einsetzen, würden die Damen und Herren im Support der Banken auch deutlich besser oder überhaupt mal darauf geschult sein.

Klingt komisch und egoistisch, aber im Prinzip ist das ganze gut für mich. Solange nur eine kleine Randgruppe spezialisierte Software einsetzt, kommen die Gauner schon nicht im grossen Stil auf die Idee diese Software ins Visier zu nehmen. Sollen die sich ruhig auf die breite Masse der Web-Homebanker konzentrieren. ;-]

Es nützt alles lamentieren nichts, wir kommen um chipTAN nicht drumherum. Die TAN-Liste ist ein Auslaufmodell und dieses Jahr werden wohl die meisten Banken umstellen. Und wenn man das ein paar Mal gemacht hat, ist der ganze Vorgang mit TAN Generator eig. auch ziemlich simpel, es ist einfach "anders" als bisher.

@siggi_hh
Ich stimme mit Dir zum Teil überein. Ich behaupte mal, dass was die Banken jetzt durch den Wegfall der ganzen TAN-Listen Maschinerie/Logistik einsparen an Personal, Maschinen usw., dürfte locker reichen jeden Kunden kostenlos mit einem Generator zu versorgen. Allerdings muss ich auch ganz klar sagen, mir ist das Plus an Sicherheit durchaus die 12,- Euro Wert die ich bei der Postbank Filiale dafür gezahlt habe. Bei manchen Sparkassen gibts so ein Teil schon für 10,- Euro und manche haben sogar Aktionen laufen, bei denen die ersten x-Tausend Umsteller den Generator umsonst kriegen. Ich sage es mal so, zumindest mich überzeugt das chipTAN Verfahren so weit, dass ich kein Problem damit habe den kleinen Obolus für den Generator zu löhnen.
...