Postbank schafft itan-liste ab...

Question

Die Postbank will bis April die ITAN-Liste abschaffen und durch eine Chiptan ersetzen.
weiterhin soll noch die mobiletan nach wie vor gehen.

Ich bin wirklich stinksauer deshalb.
Wenn ich dann noch lese wie die ITAN-Liste von leuten als unsicher eingestuft wird ärgere ich mich noch mehr.
Mein Problem: Ich habe keine Lust mir einen Tangenerator zu kaufen, der zudem wieder ein weiteres Gerät ist bei dem dann wenn man es braucht vermutlich die Batterien leer sind.
Und Mobile Tan also die Tan ans Handy schicken geht überhaupt nicht, denn das bedeutet verliere ich mein Handy verliere ich meine Tanliste (welche ich eh nicht unterwegs mitnehmen würde, ich habe es noch nie so eilig mit einer Überweisung gehabt das ich noch bevor ich zu hause bin eine tan brauche)


Also die "alte" tanliste ohne eine durchnummerierung war natürlich etwas dämlich da wohl eine gut 1% oder 0,1% chance bestand eine richtige Tan zu erraten.
Aber die in folgenden Artikel aufgeführten Scenarien das die ITAN unsicher ist möchte ich mal weiter unten etwas auseinander nehmen:
www.ilex-recht.de/2010/phishing-deutsche-bank.html

Zitat:
Warum ist das iTAN-Verfahren heute unsicher?

"Eine iTAN-Liste ist jedoch schwerer zu tarnen und einem Dieb fällt stets die komplette Liste in die Hände."
Also abgesehen davon das ich meine Tanliste nicht mitnehmen würde, ein Chiptan-leser ist ja so viel besser zu tarnen als ein stück papier - und es fällt dem dieb auch nur eine unendlich große tanliste in die Hände... Verliere ich mein Handy das gleiche, die MobileTan ist doch eigentlich das gefundene Fressen bei einem Handy doch mal nähere informationen über dem Besitzer seine Bank einzuholen wenn sich die möglichkeit bietet.

"Anfang 2007 tauchten erstmals Phishing-Kits auf, die in der Lage waren, über die bereits genannte Man-in-the-middle-Attacke iTANs in Echtzeit für eigene Transaktionen zu benutzen."
Ja schön - ändert es nun etwas ob ich die Tan von einem Blatt papier abschreibe oder ob ich die von einer SMS lese oder aus einem Gerät, das die ITAN-Liste nun unsicher ist aber in dem Scenaria die Mobiletan sicher ist? nö denn der Angriff wäre genau so sicher erfolgreich.

"Bei einem Man-in-the-middle-Angriff schaltet sich ein auf dem Rechner des Bankkunden installierter Virus (ein sogenanntes „trojanisches Pferd“) automatisch ein, sobald der Online-Kunde eine Überweisung tätigen will. Der Virus tauscht im Hintergrund die Überweisungsdaten aus."
nun auch hier gilt das gleiche, wenn die Angreiferseite zeitgleich eine andere überweisung tätigt und mit den geforderten Daten von der Bank dann die "fake" überweisung auf dem Bildschirm flimmert ists auch wieder egal wo die Tan herkommt.

Also ich finde eine ITAN-Liste die ich gegebenenfalls einscannen und verschlüsselt auf einem Stick mitnehme immer noch sicherer als ein mobileTan, zumal ich mein Handy entweder nicht pinsperre und bei Kollegen die es tun sehe ich da es ein alltäglicher gebrauchsgegenstand ist die pin so oft eingeben wenn die mir was zeigen wollten, dass ich die von mehreren Kollegen schon daher kenne - hab leider ein sehr gutes Zahlengedächniss.

Answer 1

Die Postbank führt hier offenbar ein relatv neues Verfahren ein, ohne Rücksicht auf bereits bestehende sichere Möglichkeiten bei anderen Online-Banken.
Besonders nachteilig wirkt sich das für user aus, die mehrere Konten bei verschiedenen Banken führen (müssen).
Beispiele: Deutsche Bank; Co.Bank (nicht Comdirect), LBB usw... verwenden HBCI-Karte mit Kartenleser.
Diba - Key, iTan; Sparkassen chiptan... usw.
Verwendet man ausserdem eine Finanzsoftware für die Buchhaltung, wie MS-Money, Starmoney, Quicken u.ä. benötigt man nun zusätzlich zum HBCI-Kartenleser mit HBCI-Karte, chiptan-Leser/Generator, iTan-Liste das Handy für die Postbank mTan usw.
Geht das Handy unterwegs verloren (Diebstahl...) oder ist defekt, sind keine Onlinebuchungen mehr möglich bis ein neues Handy zur Verfügung steht und angemeldet ist. Ich konnte bisher keine Angaben über diesen Fall in der PB-Seite finden.
Es wäre m.M. für die PB ein Leichtes, mTan und chiptan parallel im HBCI zu ermöglichen.
Meine betreuten Kunden sind stinksauer!

Answer 2

hac004 schrieb am 17.02.2011 um 14:07 in A41:

Die Postbank führt hier offenbar ein relatv neues Verfahren ein, ohne Rücksicht auf bereits bestehende sichere Möglichkeiten bei anderen Online-Banken.

"Neu" ist relativ. Das Verfahren an sich gibts wohl schon seit ein paar Jahren. Nur führt es die PB halt jetzt stufenweise ein, wie auch andere Banken.

Es wäre m.M. für die PB ein Leichtes, mTan und chiptan parallel im HBCI zu ermöglichen.

mTAN über HBCI funktioniert bez. PB in Starmoney bereits jetzt schon völlig problemlos. chipTAN über HBCI wird bei der PB Mitte April folgen, laut PB.

Naja, wie immer tut sich die PB halt schwer, aktuelle Verfahren Zeitgleich auch via HBCI einzuführen. Auf das HBCI Chipkarten-Verfahren habe ich z.B. Jahrelang gewartet, bis ich dann den folgenden Text auf der PB Seite fand:

Andere Banken nutzen HBCI (Homebanking Computer Interface) mit Chipkarte. Wieso nutzt die Postbank dieses sichere Verfahren nicht?

Das HBCI Verfahren gewährleistet eine sichere und verschlüsselte Übertragung von Transaktionen zwischen dem Kunden und dem jeweiligen Kreditinstitut. Es ist jedoch nur in Verbindung mit der Verwendung einer speziellen Finanzsoftware (z.B. StarMoney, Quicken, Wiso Mein Geld) nutzbar. Mit dem Internet-Browser kann man das HBCI Verfahren mit Chipkarte nicht verwenden.

Nach unseren Untersuchungen sind Postbank Kunden derzeit nicht gewillt, die Anschaffung eines Secoders (Nachfolger des HBCI-Kartenlesers) und die jährliche Nutzungsgebühr für eine HBCI-Chipkarte zusätzlich zu zahlen. Postbank Kunden wünschen sich möglichst kostenlose Verfahren wie z. B. die kostenlose mobileTAN.

[sub]Quelle: www.postbank.de/privatkunden/pk_mobiletan_schuetzt_fragen.html[/sub]

Siehe auch A40, HBCI hat für die PB offenbar keine besondere Relevanz wie es aussieht, es werden immer zuerst die Web-Schnittstellen angepasst. Die Leute mit Starmoney und Co. "dürfen" sich wie immer in Geduld üben. :-(

Answer 3

mTAN über HBCI funktioniert bez. PB in Starmoney bereits jetzt schon völlig problemlos. chipTAN über HBCI wird bei der PB Mitte April folgen, laut PB.

Dann wird es hoffentlich auch für HBCIFM99 (=MS-Money) mit DDBAC unterstützt.
Solange werde ich es noch aushalten!

Für die Beseitigung der von mir vor 2 Jahren beim PB-Support gemeldete Softwarelücke im Firefox benötigten die IT-Spezialisten bei "fieberhafter Arbeit" länger als ein dreiviertel Jahr! (Übrigens auch die Deutsche Bank)

Von der geplanten Umstellung wusste ich bisher nichts, und die PB hat selbst auf meine Anfrage nicht darauf verwiesen..
Dein Wort in Gottes Gehörgang!

Gruss hac004

Answer 4

@LukeFilewalker,
das mit dem Obulus kannst Du auch gut finden.
Ich aber nicht. Da gab es doch einmal einen Prozess gegen die Deutsche Bank, wo das Gericht der Bank untersagt hatte, sich das "Guten Morgen" bezahlen zu lassen".
Es geht doch immer weiter Euro für Euro.
Ich gehöre zu den Trottel, die immer ein deutliches Guthaben auf dem Konto haben. Und wenn es bei einer Anschaffung (z.B.) mal in den Keller geht, dann darf ich die höchsten Zinsen bundesweit berappen.
Irgendwo mus ja mal Schluss sein!!!!!!

Answer 5

Aber mal ehrlich,ist denn der Weg zur Sparkasse-od. Bank zu weit um seine finz. Geschäfte zu erledigen?

In unserem Dreckskaff beduetet ein Gang zur Bank:
- entweder mindestens 20 Minuten Parkplatsuchen mit anschließender Zahlung am Automaten; dank oftmals vorhandener langer Schlangen sind die 15-Minuten Beschränkungen einfach nicht zu packen = Knolle
- oder man stellt sich direkt knollenträchtig hin

So oder so; ein Bankbesuch ist mit dem Geschenk eines Tickets verbunden.

Tja, und was die Großeltern angeht; ich habe leider keinen Platz für ein Pferd und die Tierarztkosten, außerdem wä#re das rechtstressig fürs Tier ... ;)

Answer 6

machs wie ich:

Wechsel die Bank....

Answer 7

Die Leute mit Starmoney und Co. "dürfen" sich wie immer in Geduld üben.

Das ist manchmal der Preis den man zahlen muss, wenn man unbedingt ein vermeintlich besseres Werkzeug nutzen möchte. :o)

Answer 8

besucherpete schrieb am 18.02.2011 um 09:24 in A47:

Das ist manchmal der Preis den man zahlen muss, wenn man unbedingt ein vermeintlich besseres Werkzeug nutzen möchte.

Nicht "vermeintlich", es ist das bessere Werkzeug. ;-)

[list][*]Alleine aus Komfortgründen habe ich nicht die geringste Lust für jedes Konto und jede Bank mich mit zig verschiedenen Web Oberflächen herumzuschlagen. Ich habe so nur eine Oberfläche mit der ich alle Konten auf die gleiche Weise verwalten kann, selbst ein Paypal-Konto und die Geldkarte.
[*]Dazu kommen noch Kontenübergeifende Aktionen die überhaupt erst mit einer Finanzsoftware möglich sind. z.B. übergreifende Reports oder auch eine simple Suche in den Transaktionen aller Konten.
[*]Dann wäre da noch der Datenschutz/Privatsphäre. Bei Browsern wird i.d.R. jeder Mist protokolliert. Wenn man sich nicht um das löschen der Cookies, Verläufe usw. kümmert, hinterlässt man einem möglichen Angreifer möglicherweise interessante Informationen. Und selbst wenn es gar nicht gleich um einen Angriff geht, wann, was und wie ich Bewegungen in meinen Konten durchführe, geht ausser mir absolut niemand etwas an. In einer Finanzsoftware ist dazu noch die Datenbank verschlüsselt, d.h. auch alle Protokolle sind automatisch gesichert und damit die Privatsphäre geschützt. Selbst wenn mir der Rechner geklaut werden sollte.
[*]Und bewusst als letztes führe ich den wichtigsten Grund an: Sicherheit. Der allergrösste Teil der Gauner konzentriert sich auf Schachstellen der Browser, weil Hinz und Kunz nunmal Web-Banking betreibt. Der "Markt" bei Finanzsoftware ist für die Gauner einfach uninteressant. Zudem gibt es beim Browser gleich eine ganze Batterie an möglichen Schwachstellen wie z.B. manipulierte Bilder, Filme, Sicherheitslücken in Flash, Shockwave usw. Beim Firefox bietet sich durch das offene Plugin-System sogar eine wahre Fundgrube für die Gauner wo sie ansetzen können. Immer wieder kommt es vor, dass Plugins angeboten werden, die Daten klauen oder andere Schweinereien veranstalten. Denn selbst Mozilla ist es inzwischen unmöglich geworden, wirklich jedes der zigtausenden Plugins genau unter die Lupe zu nehmen. Eine Finanzsoftware hat zwar auch Abhängigkeiten, aber deutlich weniger als ein Browser und ist damit ganz automatisch deutlich sicherer, mal ganz abgesehen vom Manipulations-Schutz, den einige Hersteller zusätzlich in ihre Software integriert haben.[/list]

Answer 9

Luke Filewalker hat geschrieben:

Eine Finanzsoftware hat zwar auch Abhängigkeiten, aber deutlich weniger als ein Browser und ist damit ganz automatisch deutlich sicherer, mal ganz abgesehen vom Manipulations-Schutz, den einige Hersteller zusätzlich in ihre Software integriert haben.

Genau das sind auch die Gründe, weshalb ich die Finanzsoftware verwende!

Endlich mal eine fundierte Begründung zur Finanzsoftware. Nur wer sie nicht kennt, kann eine Begründung wie Besucherpete schreiben!

Gruss hac004

Answer 10

@hac004
Scheint so, anders kann ich mir solche Aussagen auch nicht erklären.

hac004 schrieb am 17.02.2011 um 16:38 in A43:

Dann wird es hoffentlich auch für HBCIFM99 (=MS-Money) mit DDBAC unterstützt.
Solange werde ich es noch aushalten!

DDBAC sagte mir nichts, grad mal nachgeschaut. Dazu kann ich also keine Aussage machen.

Für die Beseitigung der von mir vor 2 Jahren beim PB-Support gemeldete Softwarelücke im Firefox benötigten die IT-Spezialisten bei "fieberhafter Arbeit" länger als ein dreiviertel Jahr! (Übrigens auch die Deutsche Bank)

Hachja, wem sagst Du das, willkommen im Club. Ich habe z.B. Ende 2009 an den Hersteller eines semi professionellen Netzwerk Powermanagers, also vereinfacht ausgedrückt eine über Netzwerk konfigurierbare und schaltbare Steckdosenleiste, einen Hinweis über eine Sicherheitslücke in der CGI-Schnittstelle per Mail mitgeteilt. Diese Lücke erlaubt es, mit einem Gast-Zugang die einzelnen Steckdosen zu schalten. Normal darf ein Gast nur den Status sehen, aber nichts schalten oder ändern. Es hat zig Mails benötigt, bis mich der Techniker überhaupt mal ernst nahm. Erst als ich ihm anbot, dass direkt vorzuführen indem er mal eben eines seiner Testgeräte Online stellt, erst dann hat er sich mit den Programmierern zusammengesetzt und das selbst versucht. Dann kam eine Entschuldigung seitens der Firma und ein Danke für die Meldung, sie konnten es nachvollziehen. Seitdem gab es 2 Firmwareupdates und ich kann mit meinem eigenen Steuerprogramm was ich dafür schrieb - mit dem ich das überhaupt erst entdeckte - über den Gastzugang noch immer alle Ports schalten, es hat sich diesbezüglich also nichts getan!

Das sind aber im Vergleich zu Deiner Sicherheitslücke Peanuts, Deine finde ich schon sehr viel bedenklicher, denn da gehts schliesslich direkt "ans Eingemachte". Da fragt man sich insgesamt, wozu man Lücken überhaupt noch melden soll, wenn sich die Herren "Experten" nicht angesprochen fühlen oder dann ewig dazu brauchen. :-(

Von der geplanten Umstellung wusste ich bisher nichts, und die PB hat selbst auf meine Anfrage nicht darauf verwiesen..

Welche meinst jetzt, die bez. chipTAN?

Dein Wort in Gottes Gehörgang!

Ohne Gewähr! Das mit HBCI und April hab ich von der PB Seite.