Onlinebanking: Experten warnen vor MTAN-Verfahren

PCGH-Redaktion

PCGH-Redaktion

Kommentar-System
Teammitglied
Jetzt ist Ihre Meinung gefragt zu Onlinebanking: Experten warnen vor MTAN-Verfahren

Verbraucherschutz und das Bundeskriminalamt haben noch einmal vor der Verwendung des MTAN-Verfahrens gewarnt, das beim Onlinebanking zum Einsatz kommt. Aufgrund der Angreifbarkeit von Smartphones ist die SMS-Übermittlung nicht sicher. Grundsätzlich wird empfohlen, dass man seine Bankgeschäfte mit einem TAN-Generator erledigt.

[size=-2]Bitte beachten Sie: Der Kommentarbereich wird gemäß der Forenregeln moderiert. Allgemeine Fragen und Kritik zu Online-Artikeln von PC Games Hardware sind im Feedback-Unterforum zu veröffentlichen und NICHT im Kommentarthread zu einer News. Dort werden sie ohne Nachfragen entfernt. Sollten Sie Fehler in einer News finden, schicken Sie diese bitte an online@pcgameshardware.de mit einem aussagekräftigen Betreff.[/size]


lastpost-right.png
Zurück zum Artikel: Onlinebanking: Experten warnen vor MTAN-Verfahren
 
Ich hab eine extra Karte fürs Banking, und ein kleines Gerät mit Display, die zusammen - mit einem Passwort - für jeden Login einen neuen Einmalcode generieren.

Hab bis heute keine Ahnung, wie das genau geht^^
 
Süß! Die sind ja mal ganz schnell. Ich hab meine Bank schon vor einem Jahr aufgeklärt, dass ich so einen Mist nicht haben will und wie man's angreifen kann. Nicht dass das wen interessieren würde...
 
Es wird im allgemeinen mal Zeit, das Europa und Weltweit ,dieser sich ausbreitenden Pest von Internetbetrügern ,mehr polizeiliche Ressourcen bei Ermittlung und Know How entgegengeworfen werden ,und diese Typen mit drakonischen Strafen belegt werden

Um hier unmissverständlich ein Zeichen zu setzen. Ansonsten gehen wir irgendwann alle noch vor die Hunde, gefördert durch die eigene Infrastruktur und dieser miesen Subjekte
 
So ein großes Problem sehe ich da ehrlich gesagt, bei vernünftigem Umgang, nicht.

Es ist doch, wie im Text beschrieben, so, dass diese TAN's nur einmal (und normaler Weise auch nur innerhalb von 1-2 Minuten) gültig sind. Wenn man also eine Überweisung tätigen möchte und eine TAN anfordert kommt diese per SMS. Sollte dann nach Eingabe der TAN die Meldung kommen, diese sei falsch gewesen, wartet man 5min und guckt, ob etwas abgebucht wurde.
SOLLTE dieser Fall eintreten, kann man SOFORT die Bank informieren. Ansonsten ist man sicher - selbst wenn es sich um einen TAN-Diebstahl gehandelt haben sollte. Als Vorsichtsmaßnahme kann man dann aber bereits darüber nachdenken, das Smartphone neu aufzusetzen und die Online-Banking-Zugangsdaten zu ändern. Spätestens wenn das beim 2. Versuch noch einmal passiert sollte man dann m.M.n. auch die Bank informieren.
Aber auch beim 2. Anlauf: Wenn nicht innerhalb von wenigen Minuten eine Abbuchung geschieht ist man sicher.

Anders bei TAN-Bögen (wie auch im Artikel beschrieben). WENN hier TAN's geklaut werden merkt man das als Nutzer definitiv erst zu spät.
Bleiben noch die TAN-Generatoren: Vorerst sicher, aber dahinter steckt ein Algorithmus, der mit Sicherheit geknackt werden KANN. Ob und wann weiß man nicht, aber WENN, dann steckt man richtig tief in der sch****.

Im Endeffekt ist kein Verfahren sicher - das alte Überweisungsformular schon gar nicht. Das hat lediglich den Vorteil, dass man händische Arbeit hat und somit ein Massen-Diebstahl aufwendig ist.

Vorsichtiger Umgang ist so oder so geboten. Und auf den Luxus des Online-Banking möchte ich nicht mehr verzichten. die luxuriöseste Variante ist für mich das mTAN-Verfahren, und das Risiko dort sehe ich hier als deutlich geringer an, als es gesagt wird. Vor allem das mit der der Schadenskontrolle. Um hier völlig unerwartet "ausgeraubt" zu werden müssen die Leute neben den Onlinebanking-Zugangsdaten auch noch das System der Bank oder des Telekommunikations-Providers knacken. Sonst würde ich jedes Mal eine SMS kriegen - und könnte die Bank sofort informieren.

Dass man generell so vorsichtig sein muss ist schade. Aber das Betrifft Onlinebanking mit mTAN nicht anders, als sonstige Geldgeschäfte auch.
 
Artikel schrieb:
Aufgrund der Angreifbarkeit von Smartphones ist die SMS-Übermittlung nicht sicher.
Zum Vergrößern anklicken....
Tja, Pech wenn man fürs Banking ein Smartphone benutzt. Ich nutze immer noch mein altes GT-S5230 dafür.

^ Übrigens das beste Beispiel für Pauschalisierungen. Als ob jeder ein Smartphone hätte...
 
FrozenFlame6 schrieb:
So ein großes Problem sehe ich da ehrlich gesagt, bei vernünftigem Umgang, nicht.

Es ist doch, wie im Text beschrieben, so, dass diese TAN's nur einmal (und normaler Weise auch nur innerhalb von 1-2 Minuten) gültig sind. Wenn man also eine Überweisung tätigen möchte und eine TAN anfordert kommt diese per SMS. Sollte dann nach Eingabe der TAN die Meldung kommen, diese sei falsch gewesen, wartet man 5min und guckt, ob etwas abgebucht wurde.
SOLLTE dieser Fall eintreten, kann man SOFORT die Bank informieren. Ansonsten ist man sicher - selbst wenn es sich um einen TAN-Diebstahl gehandelt haben sollte. Als Vorsichtsmaßnahme kann man dann aber bereits darüber nachdenken, das Smartphone neu aufzusetzen und die Online-Banking-Zugangsdaten zu ändern. Spätestens wenn das beim 2. Versuch noch einmal passiert sollte man dann m.M.n. auch die Bank informieren.
Aber auch beim 2. Anlauf: Wenn nicht innerhalb von wenigen Minuten eine Abbuchung geschieht ist man sicher.
Zum Vergrößern anklicken....

Das Problem sind nicht TANs, die man selbst angefordert hat und die abgefangen werden - sondern TANs, die der Angreifer selbst anfordert und von denen man ggf. gar nichts mitbekommt.

Anders bei TAN-Bögen (wie auch im Artikel beschrieben). WENN hier TAN's geklaut werden merkt man das als Nutzer definitiv erst zu spät.
Zum Vergrößern anklicken....

WENN. Bislang hat sich noch niemand in meine Schublade geha(c)kt - und wenns einer macht, würde ich das sicherlich eher mitbekommen, als so mancher die Umtriebe seiner neuesten App. Desweiteren nützt einem ein TAN-Block alleine noch gar nichts, man braucht noch die PIN, die man beim gleichen Angriff nur äußerst schwer erbeuten kann.
Beim Angriff aufs Smartphone gibt es dagegen mehr als genug Leute, die das mittlerweile auch für Online-Banking nutzen -> Beide Zweige der Doppel-Authentifizierung können an einer Stelle abgegriffen werden. Und das auch noch von jedem beliebigen Punkt des Erdballs.
(und den lokalen Kriminellen kann man es überhaupt nicht mehr einfacher machen: PIN-Eingabe beobachten, Smartphone aus der Hand reißen => uneingeschränkter Zugang zum Konto)

Ich persönlich erachte Block-TANs jedenfalls bis auf weiteres als die sicherere Variante, solange man die PIN nicht mit dazu (oder überhaupt irgendwo hin) schreibt.

@Generator-Nutzer:
Sind die eigentlich Kundenspezifisch, oder hat man einen universellen Generator, der auf Basis jeder Karte jeweils passende Codes erzeugt? Letzteres fände ich auch schon wieder fragwürdig, zumindest wenn die normale EC-Karte zum Einsatz kommt, da es so weiterhin möglich ist, das Code-Werkzeug auf normaler Straße zu klauen bzw. mit bekannten Methoden zu kopieren.
 
Warum konnte man nicht alles beim alten lassen?

Für Überweisungen sicher verwahrt den Zettel mit den Tans und sobald alle benutzt waren ab zur Bank neuen zettel holen?
Das war sooo viel einfacher und sicherer.

Ich hatte mich für den Tangenerator entschieden, das Ding ist aber so kacke, dass man es auf den Bildschirm drücken muss und die Helligkeit vom Monitor immer auf Max stellen muss, dass das Ding den Code erkennt.
Total bescheuert das ganze, dass das mit dem Handy knackbar ist war mir irgendwie im vornerein klar.
 
Nun eine TAN Nummer werde ich auch immer erhalten bei einer Online Überweisung. Ist und bleibt für mich ein guter Weg. Generieren tut es ja schon das Kreditinstitut.
 
Deswegen hab ich auch ein Handy (ein richtiges), zum telefonieren(!) und fürs Onlinebanking und kein Rumspiel-Phone wo die Sicherheitslücken größer sind als ein Scheunentor und die Akku-Laufzeit nicht in Tagen oder Wochen sondern in Minuten angegeben werden^^
 
Irgendwie versteh ich das Problem nicht. :ugly:

Was will ein Angreifer mit einer mir während einer Überweisung zugeschickten MTAN? Die MTAN zählt doch eh nur für die von mir vorher festgelegte Transaktion. :what:

FrozenFlame6 schrieb:
Anders bei TAN-Bögen (wie auch im Artikel beschrieben). WENN hier TAN's geklaut werden merkt man das als Nutzer definitiv erst zu spät.
Zum Vergrößern anklicken....
Naja, einen Zettel mit Zahlen drauf klaut man aber zumindest nicht übers Internetz. Davon ab sind MTANs eigentlich nur für eine bestimmte Transaktion gültig, ein Angreifer könnte daher eh nichts damit anfangen. Es müsste also ein Angriff sein, der es dem Angreifer ermöglicht die hinterlegte Handynummer unbemerkt ändern (gegen seine austauschen) zu können. Er muß ja nicht nur an eine gültige MTAN kommen, sie muß auch zu seiner gewünschten Transaktion passen.

Ich zb. nutze ein eigenes Konto fürs Onlinebanking. Darauf wird regelmäßig Geld überwiesen (Dauerauftrag), und was an bestimmten Terminen zu viel drauf ist geht automatisch (ebenfalls Dauerauftrag) wieder zurück. Einmal den Ausgaben (inkl. finanziellen Spielraum) angepasst, ist später quasi kein manueller Eingriff in diese Routine nötig. Es gibt also immer nur relativ kurze Zeitfenster in denen man überhaupt etwas (und dann immer nur rel. wenig) von diesem Konto stehlen kann. Auch sehr sinnvoll zb. für das EC-Kartenkonto (wer es sicher mag zahlt sowieso IMMER in BAR!!!;) ). Und einen Dispo o.ä. gibts bei diesem Konto natürlich nicht.

Den meisten Nutzern ist die Sicherheit diesbezüglich aber auch egal. Man erfüllt gerade genug Kriterien das die Bank für "Bankraub" haftet, und fertig. Ich kenne Leute die regelmäßig Käufe/Überweisungen von dem Smartphone aus machen, auf das auch die MTAN geschickt wird. Is ja erstmal kein Problem, aber die speichern auch das Onlinebanking-Login im Browser. Und ich wette sowas machen nicht wenige Nutzer.

Wen dann das Smartphone geklaut (gefunden!) wird, dann hoffentlich von einem (dummen) Dieb der die Simkarte wegwirft und das Gerät resettet. ^^
 
ebastler schrieb:
Ich hab eine extra Karte fürs Banking, und ein kleines Gerät mit Display, die zusammen - mit einem Passwort - für jeden Login einen neuen Einmalcode generieren.

Hab bis heute keine Ahnung, wie das genau geht^^
Zum Vergrößern anklicken....

Ich nehme an, du meinst HBCI. Das ist das Verfahren, auf das ich umgestellt habe, als die TAN-Listen abgeschafft wurden :-| Das erschien mir als das sicherste und vor allem komfortabelste. Nachteil: mal schnell eine Überweisung oder Kontostandskontrolle vom Büro aus fällt flach, weil es an die Software gebunden ist. Aber dafür ist es eben wie schon gesagt sicher.
 
Nein, keine Software.
Ich habe einen Account, und für Login und Überweisungen muss ich jeweils mit Karte, Gerät (das keinerlei Verbindung zum Rechner oder sonst irgendwas hat) und einem Pin ein Einmalkennwort generieren.

Am Rechner läuft alles über die HP meiner Bank.
 
Soweit ich nichts missverstanden habe, müssten doch für einen solchen Gelddiebstahl SOWOHL meine Login-Daten ALS AUCH mein Smartphone (durch Schadsoftware) in der Hand von Kriminellen sein, damit was passieren kann.
Aber selbst wenn dies passiert, sollte man doch irgendwelche seltsamen Abbuchungen bemerken, die man zurückbuchen kann.
Zu diesen Angriffen kann es aber fast nicht kommen, wenn man ein gescheites Passwort hat (z.B. mit Passwortgenerator generiert), welches regelmäßig geändert wird, einen guten Virenschutz mit aktuellen Datenbanken hat und man mal nachdenkt bevor man wild auf irgendeinen Mist klickt im Internet bzw. Programme oder Apps installiert O.o
 
INU.ID schrieb:
Irgendwie versteh ich das Problem nicht. :ugly:

Was will ein Angreifer mit einer mir während einer Überweisung zugeschickten MTAN? Die MTAN zählt doch eh nur für die von mir vorher festgelegte Transaktion. :what:


Davon ab sind MTANs eigentlich nur für eine bestimmte Transaktion gültig, ein Angreifer könnte daher eh nichts damit anfangen. Es müsste also ein Angriff sein, der es dem Angreifer ermöglicht die hinterlegte Handynummer unbemerkt ändern (gegen seine austauschen) zu können. Er muß ja nicht nur an eine gültige MTAN kommen, sie muß auch zu seiner gewünschten Transaktion passen.
Zum Vergrößern anklicken....

Richtig. Das heißt, er müsste sogar unbemerkt die Überweisungsdaten die man zum überweisen eingegeben hat in SEINE Daten umtauschen, BEVOR man die abschickt (per Mauslick oder Enter). Dann natürlich die MTAN auf SEIN Handy bekommen.


Aber davon mal abgesehen, ist es bei meiner Bank gar nicht möglich, irgendetwas vom Onlinebanking Login im Browser zu speichern. Ich MUSS die IMMER per Hand eingeben und nicht nur auf Login klicken.
 
GxGamer schrieb:
Ich trauere immer noch der Papierliste hinterher.
Das die Mtans abgerufen werden können hab ich mir auch von vornherein gedacht. Für sensible Informationen finde ich eine Papierliste die in meiner Schublade versteckt ist, bedeutend sicherer als eine SMS die durch halb Deutschland wandert.
Zum Vergrößern anklicken....

Gibt es immer noch. Man muss sie nur selbst bezahlen ( 1€ inkl Porto für 100 Stück )
Nutze ich noch Heute :)
 
Einloggen o. Registrieren zum Antworten.

Ähnliche Themen

PCGH-Redaktion
News Microsoft Anti-Trust-Verfahren: Die Ruhe vor dem Sturm
Antworten
0
Aufrufe
68
PCGH-Redaktion
PCGH-Redaktion
PCGH-Redaktion
News Enshrouded: Entwickler warnen vor Sicherheitsrisiko
Antworten
5
Aufrufe
777
Robi-LV426
R
PCGH-Redaktion
News Bekannter Modder in Sorge: "Warner Bros. droht mit der Zerstörung meines Youtube-Kanals"
Antworten
19
Aufrufe
850
G4mest3r
G4mest3r
PCGH-Redaktion
News Warner Games: Der Singleplayer-Erfolg von Hogwarts Legacy ist nicht genug
2
Antworten
22
Aufrufe
1K
OldboyX
O
PCGH-Redaktion
News Geforce RTX 4080 Super: MSI Expert-Grafikkarte mit Affenkönig abgelichtet
Antworten
0
Aufrufe
154
PCGH-Redaktion
PCGH-Redaktion
Oben Unten
Zurück