Vor ein paar Jahren wurde einem aufgrund der großen Sicherheitsmängel ja tunlichst davon abgeraten. Wie sieht das eigentlich heute aus? Hat sich die Lage verbessert oder eher verschlimmert?
Unsicher ist nur das, was die Banken und Sparkassen dem unbedarften Kunden vorzugsweise zum Online-Banking anbieten, nämlich Verfahren bei denen auf die eine oder andere Art eine TAN eingegeben werden muss.
Das HBCI Verfahren mit HBCI Chipkarte ist - sofern die Karte nicht dupliziert wird oder fahrlässig mit der PIN umgegangen wird - seit über 20 Jahren eines der, wenn nicht das sicherste der Welt.
Gruß
HH
Ich finde auch, dass man Online-Banking wesentlich sicher bezeichnen kann als so manch anderes Verfahren im Web (z.B. E-Mail). Ich selbst nutze für verschiedene Banken die Software Star Money (gab es früher oft umsonst). Das erspart mir den Zugang über Webbrowser, wo man leicht Opfer von Phishing-Attacken werden kann. Das Verfahren, wo die TAN mit der EC-Karte in einem speziellen Kartenleser generiert wird, betrachte ich als extrem schwer zu knacken („Achten Sie auf das Display!“). Bei der mTAN per SMS aufs Handy würde ich allerdings nach Möglichkeit auf den Einsatz eines Smartphones verzichten. Es kommt auch immer darauf an, was die Banken konkret für Sicherheitsmechanismen anbieten (die ING-DiBa arbeitet z.B. noch immer mit TAN-Listen im Wertpapierbereich, bei der Commerzbank geht es mit HBCI über USB-Stick).
Was ist denn daran unsicher? Wenn PIN und TAN nicht in die falschen Hände gelangen, kann dabei überhaupt nichts passieren und der einzige, der dafür sorgen kann, DAß sie in falsche Hände gelangen können, ist der Anwender selber. Das macht nicht das Verfahren unsicher, sondern den Anwender und der kann auch seine Chipkarte verschluren oder seinen Rechner so verwahrlosen lassen, daß sich böse Buben Zugang dazu verschaffen können und am Ende auch das mTAN-System (das bei nüchterner Betrachtung keinen Deut sicherer ist als das alte TAN-System) „unsicher“ ist.
Du hast von IT keine Ahnung und das merkt man mal wieder.
Und wieder einmal wäre es hilfreich, wenn Du Argumente vorbringen würdest, anstatt persönlich zu werden. Also nur zu: erkläre, was am TAN-Verfahren unsicher ist, wenn PIN und TAN nicht in die falschen Hände geraten - wie z.B. durch Ausspähen, durch Manipulation des Rechners oder durch anderes Fehlverhalten des Anwenders.
Moin,
in dieser Woche berichtete die Augsburger Zeitung (wieder mal) von einer Methode, wie das mTAN-Verfahren ausgehebelt werden kann, indem sich der Angreifer eine „identische“ SIM-Karte besorgt und so die mTAN auf sein Handy umleitet, ohne dass der Eigentümer das bemerkt.
Wie das gehen soll, wird leider nicht beschrieben, ich kann es jedenfalls nicht nachvollziehen. Ich spinne mal vor mich hin und spiele den Übeltäter:
Auf meinem Handy geht eine „umgeleitete“ mTAN ein. Üblicherweise stehen dort die Kontonummer des Empfängers, der Betrag und eben die TAN. Was fange ich nun damit an? Wie löse ich eine Überweisung von dem mir immer noch unbekannten Absenderkonto auf mein Konto aus? Und wie schnell muss ich dieses Konto löschen, damit mir keiner draufkommt?
Gruß Ralf
Das ist ja wohl auch Absicht, damit es nicht allzu viele Nachahmer gibt.
Die einfachste Variante wäre doch wohl die, dass ein MIM vorhanden ist und die gesamte Transaktion gefaked wird, in diesem Fall darauf vertrauend, dass der Bankkunde nur schnell die TAN abtippt, aber die anderen Daten nicht abgleicht.
Gruß
HH
Das Argument, dass immer der User Schuld ist, weil er seinen Rechner nicht vor Schadsoftware bewahrt ist, ist nur ein Argument der Banker. Oftmals kann der User dafür nämlich rein gar nichts. Und ein sicheres Onlinebanking-System zeichnet sich eben dadurch aus, dass es völlig unabhängig davon weiterhin keinen illegalen Zugriff erlaubt. Das ist für die TAN Verfahren so nicht gegeben.
Gehen wir mal ein paar Punkte für Onlinebanking mit aktueller HBCI Chipkarte und Cl3 Lesegerät durch
- Ist es möglich die PIN/TAN mittels Keylogger oder anderer Software abzugreifen? Antwort: Nein, denn die Eingabe der PIN erfolgt auf einem Secure Pinpad. TANs gibt es gar nicht. Eine Software im Computer kann diese PIN nicht auslesen oder ausspähen.
- Ist es möglich, die Transaktion nach der Signierung zu faken? Antwort: Nein, denn ein böser Programmierer hat überhaupt keinen Zugriff auf die entsprechenden Keys. Die Verschlüsselung/Signierung erfolgt bei diesem Verfahren nämlich gar nicht im Computer des Nutzers.
- Erhält der Nutzer ein Risiko dadurch, dass er seine PIN/TAN in schadhafte Software eingibt? Nein, denn eine Schadsoftware erhält keinen Zugriff auf die Eigenschaften des Cl3 Lesegeräts oder der HBCI Karte, was für die Erzeugung einer validen Transaktion notwendig ist. TANs sind wiederum nicht vorhanden (Der User wird zudem allein schon dadurch geschützt, dass die meiste Phishing Software die Eingabe einer TAN verlangt).
- Kann ein MIM somit einen erfolgreichen Angriff starten? Nein.
- Erhält der User ein Risiko dadurch, dass er seine HBCI Chipkarte verliert (und die PIN nur im Kopf hat)? Nein, denn allein mit der Chipkarte hat niemand Zugriff auf die relevanten Daten und Routinen!
- Wird die Methode mit HBCI Chipkarte unsicher, wenn mein eigener Rechner virendurchseucht ist? Nein.
Das ist der Stand der Dinge, selbst über 20 Jahre nach Einführung dieses Systems, und ich könnte zig weitere Argumente hier anführen. Das Verfahren mit HBCI Chipkarte und Cl3 Leser wird nur dann unsicher, wenn die Karte geklaut/dupliziert wird und der Hacker gleichzeitig die PIN in Erfahrung bringen kann. Ein Szenario, was ziemlich unwahrscheinlich ist, wenn man die HBCI Karte nicht mit sich durch die Gegend schleppt (Für die anderen Leser hier: Die HBCI Chipkarte ist eine separate Karte, nicht identisch mit der EC Karte). Da gehen im übrigen alle Experten d’accord. Nur die Banker haben - aus wohlbekanntem Grund - eine andere Sicht auf „Sicherheit“.
Und nun gib du doch die Antworten für alle TAN Verfahren.
Gruß
HH
(obiger Absatz entfernt, da er gegen die Netiquette verstoßen hat und einen User diskriminiert, Nadine_Boehnke, 26.10.15)
1 Like
Moin,
gibbet datt auch für Normalos? Wer weiß denn, was ein MIM ist…
die anderen Daten nicht abgleicht
Dann wäre der Schutz ja mehr als simpel: Den Leuten sagen, dass sie sich die Nachricht anschauen sollen. Warum schreiben die Redakteure das dann nicht?
Abgesehen davon: Mir konnte noch keiner sagen, wohin die Nachricht verschwindet, die die Bank an mich geschickt hat. Wenn der Sender nciht weiß, dass 2 gleiche SIM-Karten existieren, kann er ja wohl nicht eine davon auswählen.
Gruß Ralf
das ist denen gesagt worden…
MIM heißt Man-in-the-Middle und es gibt da auch ne nette Wikiseite dazu
(Das dient hier aber nur ein Beispiel).
Gruß
HH
apropos 
Für was hast du denn dein Diplom bekommen 
?
es gibt nette Provider, die bei Dual/Multikarten automatisch die immer zuletzt eingeloggte Karte als SMS Zielort auswählen … Der Support bei diesem Provider konnte mir auf Nachfrage auch nicht erzählen, wie man dieses nette Feature abbestellen kann …