Bericht: SMS-TANs bei Online-Banking unsicher

[PCGH-Redaktion]

Jetzt ist Ihre Meinung gefragt zu Bericht: SMS-TANs bei Online-Banking unsicher

SMS-TANs erfreuen sich bei Online-Banking-Nutzern großer Beliebtheit - zu Unrecht, wie derzeit auf dem Chaos Communication Congress festgestellt wird. So demonstrierten Redner auf dem Congress beispielsweise, wie sich Kurznachrichten mit der TAN-Verifizierung abfangen lassen - doch es gibt sichere Alternativen.

Bitte beachten Sie: Der Kommentarbereich wird gemäß der Forenregeln moderiert. Allgemeine Fragen und Kritik zu Online-Artikeln von PC Games Hardware sind im Feedback-Thread zu veröffentlichen und nicht im Kommentarthread zu einer News. Dort werden sie ohne Nachfragen entfernt.

Zurück zum Artikel: Bericht: SMS-TANs bei Online-Banking unsicher

 

[ΔΣΛ]

Da benötigt es keinen Hellseher um zu erfahren das Handys/Smartphones unsicher sind, habe sowieso nie verstanden warum dies eingeführt worden ist, wahrscheinlich auf druck der Handybetreiber, durch wehemente Lobbyarbeit.

 

[Rapante_Rapante]

Nein, weil beim Verfahren mit der TAN Liste die Bank in der Regel haften musste wenn es zu Missbrauch kam, jetzt liegt das Sicherheitsrisiko verstärkt beim Kunden bzw. der Kommunikation zwischen Kunde und Bank (ungesichertes WLAN etc). Die ganze Umstellung nützte leider nur den Banken.

 

[NiXoN]

wenn man sich nicht ganz dämlich anstellt haben diese auch eine gewisse Sicherheit und wenn ich mich recht entsinne wurde SMS-TAN quasi als Verbessung des i-TAN-Verfahrens (durchnummerierte Liste mit der Abfrage einer bestimmten Nummer) einfegührt.
Zum Thema mit dem TAN Generator kann ich sagen, dass ich mehrere Bildschirme habe bei denen das Ding total abkackt. Auch der Kontakt mit der Bank hat da nicht wirklich viel Abhilfe schaffen können.

Welches Verfahren ist denn nun das Beste? Die Kohle auf der Bank abholen und in einem separaten Tunnel direkt zum Händler/ Kreditor bringen ? (und natürlich nicht erwischen lassen )

Nein, weil beim Verfahren mit der TAN Liste die Bank in der Regel haften musste wenn es zu Missbrauch kam, jetzt liegt das Sicherheitsrisiko verstärkt beim Kunden bzw. der Kommunikation zwischen Kunde und Bank (ungesichertes WLAN etc). Die ganze Umstellung nützte leider nur den Banken.

Seit wann gehen SMSen über WLAN? Soweit ich weiß doch immernoch über GSM.

 

[Rapante_Rapante]

SMS TAN ist keine Verbesserung gegenüber iTAN, technisch gesehen eher ein Rückschritt.

Am besten Überweisungen nur per Papier bzw. Lastschrift.


SMS ja, aber die Kommunikation mit der Bank am PC geht gern mal über WLAN.

 

[Abductee]

Ich bin über den SMS-TAN ganz froh.
Mir sind schon mehrmals TAN-Listen abgelaufen und musste dann immer eine Neue anfordern.

 

[NiXoN]

okay, da gehe ich mit, aber unsichere WLANs sind halt immer etwas problematisch. Außerdem ist da natürlich auch die Reichweite des WLAN ein nicht zu unterschätzdender Faktor (ohne jetzt rassistische Vorurteile verbreiten zu wollen, aber da scheiden chinesische Hacker schon erstmal aus )

 

[Blackvoodoo]

Kapier ich nicht ganz. Wenn ich eine Überweisung mache schickt mir die Bank EINE Tan, die gebe ich ja gleich ein und klicke auf OK. Somit ist doch die Tan gebraucht und für andere unbrauchbar. Was daran ist nun unsicher?

 

[SilentMan22]

wenn man sich nicht ganz dämlich anstellt haben diese auch eine gewisse Sicherheit und wenn ich mich recht entsinne wurde SMS-TAN quasi als Verbessung des i-TAN-Verfahrens (durchnummerierte Liste mit der Abfrage einer bestimmten Nummer) einfegührt.
Zum Thema mit dem TAN Generator kann ich sagen, dass ich mehrere Bildschirme habe bei denen das Ding total abkackt. Auch der Kontakt mit der Bank hat da nicht wirklich viel Abhilfe schaffen können.

Ich weiß ja nicht wie es bei deinem TAN-generator aussieht, aber normalerweise gibt es dafür eine 2.Methode, nämlich per manueller Eingabe, das optische Verfahren ist kein muss.

Da benötigt es keinen Hellseher um zu erfahren das Handys/Smartphones unsicher sind, habe sowieso nie verstanden warum dies eingeführt worden ist, wahrscheinlich auf druck der Handybetreiber, durch wehemente Lobbyarbeit.

Nein, wurde auf Druck der Banken eingeführt.

Das mit den unsicheren WLAN ist übrigens kompletter Blödsinn, SMS kommen doch nicht per Internetanschluss über DSL und werden dementsprechend nie über ein WLAN gesendet.

 

[Rapante_Rapante]

[ ] Thematik verstanden.

 

[keinnick]

Das mit den unsicheren WLAN ist übrigens kompletter Blödsinn, SMS kommen doch per Internetanschluss über DSL und werden dementsprechend nie über ein WLAN gesendet.

Dennoch ist das mit dem unsicheren WLAN nicht kompletter Unsinn. Schließlich muss der Angreifer ja auch (zeitnahen) Zugriff auf Deinen Banking-Account haben und an den Zugang muss er irgendwie ran kommen. Wenn er Betreiber des WLAN-Hotspots ist oder die Daten an einem ungesicherte Hotspot abgreifen kann, macht es ihm die Sache schon bedeutend einfacher.

Dir als Angreifer bringt es schließlich nix, eine TAN, die darüber hinaus nur für diese eine Transaktion gültig ist, zu kennen, wenn Du bei "meiner" Bank nur die Loginmaske siehst.

 

[SilentMan22]

Nunja, natürlich. Aber das hat doch nichts mit dem SMS-Tan zu tun.

 

[Pu244]

Das ist doch schon relativ alt, das mTAN Verfahren sollte man nicht benutzen, der TAN Generator ist mMn die beste Wahl. (auch wenn er in letzter Zeit spinnt und ich es manuell eingeben muß)

Kapier ich nicht ganz. Wenn ich eine Überweisung mache schickt mir die Bank EINE Tan, die gebe ich ja gleich ein und klicke auf OK. Somit ist doch die Tan gebraucht und für andere unbrauchbar. Was daran ist nun unsicher?

Ein Virus der sowohl deinen PC als auch dein Smartphone infiziert (gab es schon, nannte sich glaube ich Zeus). Wenn du deine Überweisung eingibst, gebe ich verdeckt meine ein. Wenn du eine TAN bekommst ist es in Wirklichkeit meine. Nun kommt das Täuschungsmanöver, du gibt auf der gefächschten Bankseite meine TAN ein und ich sage dir das alles in Ordnug ist, ich gebe sie ein, du loggst dich aus und ich bin um dein Überweisungslimit reicher (bzw. abzüglich die "Gebühr" für den "Finanzagenten"). Bis du deine Kontoauszüge Offline überprüfst vergeht hoffentlich noch etwas Zeit...

Ist genau so passiert.

EDIT: das ist die Version bei der ich nur deinen PC infizieren muß, der Zeus Trojaner hat den Vorteil das ich beliebig viele Überweisungen ausführen kann und dir so alles nehmen kann.

Ich bin über den SMS-TAN ganz froh.
Mir sind schon mehrmals TAN-Listen abgelaufen und musste dann immer eine neue anfordern.

Faule Leute wie du sind der Grund das der Müll eingeführt wurde bzw. das es auch sonst haufenweise Sicherheitslücken gibt.

 

[Andy188]

Was daran ist nun unsicher?

An dieser einen Transaktion ist nichts unsicher, man kann sich dann aber über deine Nummer Tans für weitere Überweisungen zukommen lassen.
So habe ich es zumindest verstanden...

Allerdings ist halt die Frage, bin welchen Geldbeträgen wir hier reden. Hat man sein komplettes erspartes auf seinem Konto? Oder nur so ein paar Euro von Gehalt? (was aber auch schon schlecht wäre...). Außerdem würde doch die Bank haften, wenn man alles nach Vorschrift gemacht hat und nur Opfer ist!?

 

[keinnick]

Das ist doch schon relativ alt, das mTAN Verfahren sollte man nicht benutzen, der TAN Generator ist mMn die beste Wahl. (auch wenn er in letzter Zeit spinnt und ich es manuell eingeben muß)

Auch der wurde vor Jahren schon ausgehebelt: chipTAN-Verfahren der Sparkassen ausgetrickst | heise Security

 

[Commander_Phalanx]

Ich bin über den SMS-TAN ganz froh.
Mir sind schon mehrmals TAN-Listen abgelaufen und musste dann immer eine neue anfordern.

Sehe ich ebenso, bin absolut froh dass es per SMS-TAN so problemlos von Statten geht und möchte das nicht mehr missen.

Faule Leute wie du sind der Grund das der Müll eingeführt wurde bzw. das es auch sonst haufenweise Sicherheitslücken gibt.[\QUOTE]

Es zwingt dich doch niemand die SMS-TAN zu nutzen, gibt ja Alternativen.

 

[Rapante_Rapante]

Außerdem würde doch die Bank haften, wenn man alles nach Vorschrift gemacht hat und nur Opfer ist!?

Eben nicht, deswegen wurde das ja eingeführt.

 

[DerLachs]

Eben nicht, deswegen wurde das ja eingeführt.

Letztens in der c't stand, dass man nur bei grober Fahrlässigkeit (z.B. keine AV-Software) "schuldig" ist. Die Banken sind da also nicht komplett raus, sofern das stimmt.

 

[NiXoN]

Ich weiß ja nicht wie es bei deinem TAN-generator aussieht, aber normalerweise gibt es dafür eine 2.Methode, nämlich per manueller Eingabe, das optische Verfahren ist kein muss.

da ich meistens mehere ÜWs nacheinander tätige und mein tolles Gerät bereits seit 2 Jahren "leere Batterien" anzeigt bin ich kein Feund von der manuellen Methode. Noch dazu muss ich ehrlich sagen dass der Schrott mit den IBAN-Kram und den 1.000 Stellen langen Zahlen auch nicht wirklich dazu beiträgt dass man in Ruhe die ganzen Dinge eingeben und prüfen kann. Für jmd der im Monat nur 2 ÜWs tätigt ist das sicher nicht so wild, aber der kann das auch am Automaten tun und braucht sich lediglich um seine pers. Sicherheit während seines Aufenthalts außer Haus bzw. in der Bank zu sorgen.

Ich hab aber zum Bsp auch von Leuten gelesen, die sich nur CallYa Karte mit nem Uralt-Handy nur fürs Banking zugelegt haben. Da jedoch sowohl das Handy als auch der PC kompromittiert sein müssen ist es in dem Fall schwieriger wenn nicht gar unmöglich, zumal die CallYa Nr. nur beim Banking bekannt sein sollte und nicht im öffentlichen Umlauf

 

[Pu244]

Außerdem würde doch die Bank haften, wenn man alles nach Vorschrift gemacht hat und nur Opfer ist!?

Jein,
die Bank wird wohl versuchen sich damit rauszureden das ihr Systen absolut sich ist und es an deiner Dummheit gelegen hat. Das zu vor Gericht wiederlegen kann dauern und selbst wenn du gewinnst stehst du einige Zeit ohne Geld da (geplatzte Überweisungen, Ärger mit dem Vermieter usw.).

Auch der wurde vor Jahren schon ausgehebelt: chipTAN-Verfahren der Sparkassen ausgetrickst | heise Security

Gut,
Sammelüberweisungen sind seit jeher problematisch da am Ende keiner mehr so richtig weiß was wohin gegeangen ist. Sogesehen ist ds nichts neues, man sollte diese Funktion mMn nur bei Minibeträgen nutzen. Wichtig sind die Einzelüberweisungen und da ist SEPA ja problematisch.

Es zwingt dich doch niemand die SMS-TAN zu nutzen, gibt ja Alternativen.

Rate mal wer am Ende dafür aufkommen muß.

Irgend ein omminöser Fond der von jemandem gestiftet wurde?

Die Banken reichen das ganze irgendwie an ihre Kunden weiter - AUCH AN MICH !!!