Postbank schafft itan-liste ab...

Question

Die Postbank will bis April die ITAN-Liste abschaffen und durch eine Chiptan ersetzen.
weiterhin soll noch die mobiletan nach wie vor gehen.

Ich bin wirklich stinksauer deshalb.
Wenn ich dann noch lese wie die ITAN-Liste von leuten als unsicher eingestuft wird ärgere ich mich noch mehr.
Mein Problem: Ich habe keine Lust mir einen Tangenerator zu kaufen, der zudem wieder ein weiteres Gerät ist bei dem dann wenn man es braucht vermutlich die Batterien leer sind.
Und Mobile Tan also die Tan ans Handy schicken geht überhaupt nicht, denn das bedeutet verliere ich mein Handy verliere ich meine Tanliste (welche ich eh nicht unterwegs mitnehmen würde, ich habe es noch nie so eilig mit einer Überweisung gehabt das ich noch bevor ich zu hause bin eine tan brauche)


Also die "alte" tanliste ohne eine durchnummerierung war natürlich etwas dämlich da wohl eine gut 1% oder 0,1% chance bestand eine richtige Tan zu erraten.
Aber die in folgenden Artikel aufgeführten Scenarien das die ITAN unsicher ist möchte ich mal weiter unten etwas auseinander nehmen:
www.ilex-recht.de/2010/phishing-deutsche-bank.html

Zitat:
Warum ist das iTAN-Verfahren heute unsicher?

"Eine iTAN-Liste ist jedoch schwerer zu tarnen und einem Dieb fällt stets die komplette Liste in die Hände."
Also abgesehen davon das ich meine Tanliste nicht mitnehmen würde, ein Chiptan-leser ist ja so viel besser zu tarnen als ein stück papier - und es fällt dem dieb auch nur eine unendlich große tanliste in die Hände... Verliere ich mein Handy das gleiche, die MobileTan ist doch eigentlich das gefundene Fressen bei einem Handy doch mal nähere informationen über dem Besitzer seine Bank einzuholen wenn sich die möglichkeit bietet.

"Anfang 2007 tauchten erstmals Phishing-Kits auf, die in der Lage waren, über die bereits genannte Man-in-the-middle-Attacke iTANs in Echtzeit für eigene Transaktionen zu benutzen."
Ja schön - ändert es nun etwas ob ich die Tan von einem Blatt papier abschreibe oder ob ich die von einer SMS lese oder aus einem Gerät, das die ITAN-Liste nun unsicher ist aber in dem Scenaria die Mobiletan sicher ist? nö denn der Angriff wäre genau so sicher erfolgreich.

"Bei einem Man-in-the-middle-Angriff schaltet sich ein auf dem Rechner des Bankkunden installierter Virus (ein sogenanntes „trojanisches Pferd“) automatisch ein, sobald der Online-Kunde eine Überweisung tätigen will. Der Virus tauscht im Hintergrund die Überweisungsdaten aus."
nun auch hier gilt das gleiche, wenn die Angreiferseite zeitgleich eine andere überweisung tätigt und mit den geforderten Daten von der Bank dann die "fake" überweisung auf dem Bildschirm flimmert ists auch wieder egal wo die Tan herkommt.

Also ich finde eine ITAN-Liste die ich gegebenenfalls einscannen und verschlüsselt auf einem Stick mitnehme immer noch sicherer als ein mobileTan, zumal ich mein Handy entweder nicht pinsperre und bei Kollegen die es tun sehe ich da es ein alltäglicher gebrauchsgegenstand ist die pin so oft eingeben wenn die mir was zeigen wollten, dass ich die von mehreren Kollegen schon daher kenne - hab leider ein sehr gutes Zahlengedächniss.

Answer 1

Nachtrag: Und das mit mTAN + HBCI + Postbank + Starmoney kann ich direkt bestätigen dass das funktioniert.

Answer 2

@Luke Filewalker

Nachtrag: Und das mit mTAN + HBCI + Postbank + Starmoney kann ich direkt bestätigen dass das funktioniert.

Ich meinte, dass die PB HBCI mit chiptan unterstützen wird. Das ist nämlich z.Z. bei MS-Money nicht der Fall. Man kann im Administrator für Hombankingkontakte
( http://www.ddbac.de/EU.Down.shtml )
nur zwischen iTan und mTan wählen. chiptan steht (noch) nicht zur Verfügung und da ich meine iTans verbraucht habe, bin ich auf mTan angewiesen. Das funktioniert ja auch, aber nur unter der Gefahr, dass mal mit dem (einzigen) vorhandenen Handy was passiert, oder es mit meiner Frau unterwegs / auf Reisen ist.
Deshalb hätte ich die chiptan gerne für die Finanzsoftware...

Gruss hac004

Answer 3

Moin

hac004 schrieb am 18.02.2011 um 12:28 in A52:

Ich meinte, dass die PB HBCI mit chiptan unterstützen wird. Das ist nämlich z.Z. bei MS-Money nicht der Fall.

Hat mit MS-Money zumindest zur Zeit nichts zu tun. Selbst wenn es MS-Money unterstützen würde, müsste das ja erstmal die PB unterstützen.

Und was MS-Money angeht, so wie es aussieht (grad mal nachgeschaut) wurde bereits 2008 der Vertrieb und kurz darauf wohl auch die Weiterentwicklung eingestellt und diesen Januar folgte dann auch der Support. Also fraglich ob das überhaupt noch chipTAN Support bekommt, vermutlich kaum vom Hersteller selbst. Unter diesen Umständen wäre die Überlegung nach einer Alternative zu schauen ganz sinnvoll, nicht nur wegen chipTAN. Meine Meinung.

nur zwischen iTan und mTan wählen. chiptan steht (noch) nicht zur Verfügung und da ich meine iTans verbraucht habe, bin ich auf mTan angewiesen.

So gehts mir auch und vielen anderen ebenfalls. ;-)

Ansonsten werde ich auch auf chipTAN umstellen sobald verfügbar. Je mehr ich mich mit chipTAN beschäftige, desto besser "gefällt" es mir. Ich hab noch nicht alle Infos die ich will, aber bis jetzt überzeugt mich chipTAN. Sogar eines meiner Wünsche in A33 ist bereits jetzt schon möglich wie ich durch Versuche herausbekommen habe: das absichern des HHD-Moduls im Chip mittels selbst vergebener PIN. Damit wäre die Karte selbst bei Diebstahl für den Dieb wertlos, wenn er nicht auch noch die HHD PIN dazu hätte. Allerdings bin ich mir über diesen Punkt noch nicht ganz im klaren. Ausserdem lässt sich das auch nicht mit jedem TAN-Generator aktivieren und man muss dann auch noch wissen wie es geht. Ich versuche gerade herauszufinden ob das aktivieren des PIN-Locks irgendwelche unbekannten "Nebenwirkungen" hat. Falls es keine gibt, dann wäre das ein weiterer Pluspunkt für chipTAN. Denn wenn man dann mal zusammenzählt was alles für einen erfolgreichen Angriff zusammenkommen müsste, sind alle anderen Verfahren weit abgeschlagen...

Answer 4

Endlich mal eine fundierte Begründung zur Finanzsoftware. Nur wer sie nicht kennt, kann eine Begründung wie Besucherpete schreiben!

Oder auch, weil man sie kennt. Auch ich habe durchaus schon die eine oder andere Bankingsoftware genutzt, bin aber letztich wieder dazu übergegegangen, darauf zu verzichten. Es kommt dabei auch darauf an, was man macht oder wie intensiv man die Funktionen nutzt. Wenn man es benötigt, spricht ja nichts dagegen, aber wenn es nur um "einfache" Bankgeschäfte geht (was sicher bei den meisten Anwendern der fall ist), ist das völlig überdimensionert.

Answer 5

besucherpete schrieb am 21.02.2011 um 10:39 in A54:

Es kommt dabei auch darauf an, was man macht oder wie intensiv man die Funktionen nutzt. Wenn man es benötigt, spricht ja nichts dagegen,

Stimme Dir durchaus zu. Natürlich ist das auch eine Frage des Nutzen/Kosten-Verhältnisses und was man wirklich an Funktionen braucht. Für die meisten Benutzer genügt das Angebot der Funktionen des Web-Bankings völlig.

aber wenn es nur um "einfache" Bankgeschäfte geht (was sicher bei den meisten Anwendern der fall ist), ist das völlig überdimensionert.

Bei mir geht es auch nur um "einfache" Bankgeschäfte, trotzdem käme für mich Web-Banking grundsätzlich nicht in Frage und zwar unter keinen Umständen. Und das ist neben sachlichen Argumenten auch eine Frage des Standpunktes. Für mich heisst es immer Security-first, gerade bei Geld. Mit einem Programm mit dem ich im Internet surfen oder Flash-Spielchen daddeln kann oder Chatten oder in Foren diskutieren oder shoppen kann usw. ist für mich grundsätzlich kein Programm mit dem ich auch noch Banking betreibe. Das halte ich strikt getrennt. Zudem ist für mich eine spezialisierte Software um einiges komfortabler und auch darauf will ich nicht mehr verzichten. Überdimensioniert was Funktionen angeht? Streite ich nicht ab. Aber nicht was Sicherheit angeht, hier ist das absolute Mindestvoraussetzung für mich und kein bisschen überdimensioniert.

Answer 6

Ergänzung zu A53 letzter Absatz:

Vorsicht! Das ganze hat tatsächlich Nebenwirkungen und zwar insofern das der Postbank Server schlicht keine TANs mehr akzeptiert. Das Aktivieren des PIN Schutzes ist nicht nur ein PIN Schutz, sondern verändert offenbar den Algorithmus der TAN Generierung. Momentan heisst es also, Finger weg von der Funktion, falls noch jemand rausgefunden haben sollte wie es prinzipiell geht. ;-)

Answer 7

Ich habe mich übrigens mit der Bank so geeinigt das die mir den Reader bezahlt haben da ich schon seit über 20 jahren kunde bin und die Postbank auch wollte das ich weiter kunde bleibe ^^


Auch ist direkt das eingetreten was ich befürchtet habe - der Tanreader funktioniert - meistens oder sagen wir mal in 50% der Fälle, die Tastatur ist so überempfindlich das die mal von selber eine zahl schreibt und mal überhaupt nicht reagiert (ist so ein ding mit Sensorfolie, scheinbar reagiert das auf dem verbleibenden Fingerabdruck gerne nochmal)
Dann gibts ja normalerweise so eine Lichtorgel mit der man vom Bildschirm das gerät einen Code scannen läßt. Nachdem ich die Größe richtig eingestellt habe, hat es beim ersten mal funktioniert, beim zweiten mal gerade habe ich ca 10 minuten versucht den ChipTan Reader auf das feld zu halten und er hats nicht erkannt, vielleicht liegts daran das jetzt Tag ist und mein Monitor nicht so super grell einstelle.

Also durfte ich eine ca 8 stellige zahl am gerät eingeben und dann die Kontonummer (wohlgemerkt die Karte auf der die drauf steht war im gerät eingelegt - warum muss ich die von hand eingeben?)
Das Gerät hat daraufhin nur "Umbuchung" angezeigt und den Betrag musste ich eingeben, ich frage mich aber ob ich bei einer Überweisung auch die Kontodaten des Empfängers eingeben muss wenn das mit der Scanzeile vom ChipTan nicht anständig funktioniert.

p.s. ich hab einen Touchscreen - nun versuch mal den Einlesevorgang durchzuführen und gleichzeitig ständig die maus bewegen damit der Reader nicht den Touchscreen aktiviert - da es ein kapazitiver Touchscreen ist, reagiert der auch wenn man nur 2 mm vor der Scheibe bleibt - also Touchscreen deaktivieren und funktioniert trotzdem nicht.

fazit - 30 minuten für eine Umbuchung, 10 minuten bericht bei SN schreiben.

<ironie>Technik die begeistert</ironie>

ich will die einfache iTanliste zurück...

Answer 8

Servus MixMax

MixMax schrieb am 23.03.2011 um 10:50 in A57:

die Tastatur ist so überempfindlich das die mal von selber eine zahl schreibt und mal überhaupt nicht reagiert (ist so ein ding mit Sensorfolie, scheinbar reagiert das auf dem verbleibenden Fingerabdruck gerne nochmal)

Hast vermutlich den Kobil opTAN Touch? Ich hab den TAN Optimus comfort, das ist die gleiche Ausführung aber mit klassischer Tastatur. Ich stand auch vor dem gleichen wie Du in der PB Filiale, da sagte mir einer der Angestellten ich solle lieber den mit klassischer Tastatur nehmen. Er meinte auch der sieht zwar nicht so schick aus, aber funktioniert problemlos und so ist es auch. Das Ding macht was ICH will und nicht was ES will. ;-)

ich frage mich aber ob ich bei einer Überweisung auch die Kontodaten des Empfängers eingeben muss wenn das mit der Scanzeile vom ChipTan nicht anständig funktioniert.

Das scheint Bank-abhängig zu sein bzw. abhängig vom Geschäftsvorfall. Weiss ich grad nicht auswendig, aber ich meine mich erinnern zu können das beim manuellen chipTAN Vorgang bei einer Überweisung bei der PB Startcode, BLZ, Konto und Betrag abgefragt werden. Aber ich hab das auch nur probiert um zu wissen wie es geht, denn der optische Weg funktioniert bei mir völlig problemlos. Allerdings hab ich auch keinen Touchscreen.

ich will die einfache iTanliste zurück...

Was den früheren Komfort angeht, stimme ich sofort zu. chipTAN ist für mich deutlich umständlicher/unkomfortabler als iTAN. Was Sicherheit angeht: auf gar keinen Fall will ich die zurück! Vor allem nachdem was ich bisher über chipTAN weiss. Lieber etwas unkomfortabler aber dafür erheblich sicherer. Bei Geld hört der Spass auf: Security first.

Answer 9

Zum Thema mTan eine vielleicht interessanter Artikel des BSI:

Neue Schadsoftware liest mTAN-Nummern mit
Bonn, 04.03.2011.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist darauf hin, dass eine neue Schadsoftware-Variante zurzeit Smartphones angreift, um mTAN-Nummern für das Online-Banking mitzulesen.

Der Angriffsweg führt zunächst über eine Infektion des PCs mit einer speziellen Schadsoftware. Ruft der Nutzer mit dem infizierten PC eine Online-Banking-Webseite auf, werden zusätzliche Felder oder Nachrichten eingeblendet. In der Optik der Webseite der Bank gehalten, fordern diese den Nutzer dazu auf, seine Mobilfunknummer sowie sein Handymodell oder die IMEI-Nummer (International Mobile Equipment Identity) einzugeben, um einen Link für ein angeblich notwendiges Zertifikats-Update zu erhalten. Mit dem Link, den der Nutzer daraufhin per SMS erhält, lädt er jedoch eine Schadsoftware auf sein Smartphone, die bei künftigen Online-Transaktionen die mTAN mitliest. So können Angreifer zum Beispiel Überweisungen manipulieren und auf fremde Konten umleiten.

weiteres...

Answer 10

dann also (@A 59) doch gleich...

...die chip-tan! Ich hab dazu auch den tanJack optic SR mit klassischer Tastatur. bei Bedienung:
Null Problemo ;-)

greats