2019 wird aus meiner Sicht sicherheitstechnisch ein potentieller Rückschritt

Hallo,
da in 2019 mehrere von mir benutzte Banken das Pin/Tan Verfahren abschaffen, muss ich neue Verfahren anwenden.
Ich möche mal darlegen, welches Verfahren ich gerne hätte und warum und dann fragen warum es das nicht gibt.


Am liebsten wäre mir ein HBCI/FinTS basierendes Verfahren durch die jeweilige Bank, dass Online im Browser oder mittels App startbar ist und eine "Bank-ausgestellte" Karte voraussetzt und einen zB Reiner RCT Leser. Dazu eine herkömmliche Pin-/Tan-Liste.

Warum!
Wenn man heute zB in Urlaub fährt und dort mittels Photo-Tan oder SMS-Tan Verfahren arbeiten will reicht jedem "Betrüger" die Pin um beim Zugriff auf Rechner und Handy Buchungen vorzunehmen, da zB die "Phototan" Geräte der Großen Banken PIN frei sind.
Vielleicht nehmen ja andere ihren Rechner und ihr Handy an den Strand oder sonstwo mit, ich finde ein "leider unsicherer Hotelzimmersafe" ist die bessere Wahl. Jedes Mal die Geräte bei der Rezeption abgeben ist illusorisch.
Das von mir oben beschriebene Verfahren (Reiner Chipkartenleser + Pin/Tan), dass manche Banken noch bis Ende des Jahres anbieten, verwendet, ist n.m.E. viel sicherer.
1. die visuelle Kontrolle, ob die Betrag und Empfänger stimmen passiert auf einem gesicherten Gerät, dass deutlich weniger angreifbar ist, als eine App auf einem Handy.
2. Die Tanliste kann ich hochverschlüsselt in einem KeyFault ablegen oder hochverschlüsselt mitnehmen, damit für "Diebe" weitestgehend unzugreifbar.
3. Einziger Nachteil ich muss das zusätzliche Gerät mitnehmen.
Die Banken bieten unisono als Alternative an, man könne FinTS/HBIC mittels Softwarelösung nutzen. Aber eigentlich erhöhe ich damit mein persönliches Risiko und die Bank zieht sich zurück.
Wer garantiert mir, dass Star Money oder BluePort(Banking+) oder ... nicht backdoors haben? Oder diese via "Updates" einschleusbar sind , oder sonstwie?

Rabobank bietet wenigstens ein Pin gesicherten TAN Generator an, dafür ohne Karte. Alles irgendwie suboptimal.

Was meint ihr ? Ich hasse den Gedanken mich auf Jahre auf diese aus meiner, vielleicht etwas paranoiden Sicht unsicheren neuen Verfahren einlassen zu müssen.

P.S. Vielleicht sollte ich ergänzen ich nutze seit zig Jahren Online-Banking und war auch im Software-Bereich lange tätig und verantwortlich

Die Thematik wurde doch schon x-mal angesprochen.
(grob die Punkte aber nochmals aufgeführt)

a.) (Kunden) Haftung: die liegt aktuell bei 50 Euro - Forensuche

b.) Software/App ist sicherer wie jeder Browser
c.) die Software/App ist über Passwort geschützt
d.) die Autorisierung per TAN ist von den Banken als sicher eingestuft
d1.) TAN-Generator gelten als sicher, sowohl mit USB-Anbindung als auch standalone (wobei alles auf Daten-Anzeige am Gerät umgestellt wird)
d2.) pushTAN funktioniert auf gerootet Geräten nicht (somit lt. Bank ausreichend abgesichert)

e.) papiergebundene/telefonische Aufträge sind viel unsicherer, da in 99% diese Funktion vom Kunden nicht gesperrt wurde.
e2.) der größte Unsicherheitsfaktor ist und bleibt der Mensch

Für mich ist die Verwendung einer Anwendungssoftware mit HBCI/FinTS wie z.B. Moneyplex sicherer als jede Browserlösung. Denn die Kommunikation über HBCI/FinTS ist abgesichert.

Es geht schon damit los, dass Du schreibst, "das Pin/Tan-Verfahren wird abgeschafft". Das ist - gelinde gesagt - völliger Blödsinn. Es werden lediglich völlig veraltete und durch und durch unsichere TAN-Typen abgeschafft.

Zu b) Die Aussage ist für mich barer Unfug. Die Updatefrequenz bei Browsern ist sehr hoch - sehr viel höher als die der meisten Bankprogramme. Für Hacker ist eine Manipulation eines Browsers sehr viel interessanter, als die eines Bankprogramms. Ganz einfach dessen, weil man den manipulierten Browser auf der ganzen Welt für alles und jedes einsetzen kann. Von Banking-Softwaren gibt es eine große Anzahl verschiedener mit einem jeweils überschaubaren Nutzerkreis. Wieso sollte man sich als Hacker die Mühe machen, für so wenig Durchdringung eine Software zu hacken? Bestimmt nicht. Zeigt sich auch daran, dass es schon viele viele Angriffe (erfolgreich) auf Browserbanking gegeben hat aber noch nie einen (weder erfolgreich noch versucht) auf Bankingsoftware.

zu c) Bei der Photo-TAN-App der Commerzbank und comdirekt und auch die der 1822direkt kann auf Wunsch mit einer PIN- oder FIngerprint-Zugangssperre eingeschaltet werden.

zu d) Die Banken stufen etwas so lange als sicher ein, wie das Kosten-Nutzen-Verhältnis stimmt. Ist auch logisch so. Wieso sollten sie mehr Geld in eine Sicherheit investieren, die heute "noch nicht nötig" ist? Es wird nirgends mehr Geld investiert, als zum Funktionieren eines Systems nötig ist. Solange es billiger ist, ein paar Schäden zu regulieren, als riesen Beträge in irgendwelche Sicherheitsveränderungen zu stecken, ist das durchaus OK. Zumal man heute nicht weiß, ob die vorauseilende vermeintliche Erhöhung der Sicherheit dann, wenn sie irgendwann gebraucht wird, so noch funktioniert und nutzbar ist, oder ob man zu einer Zeit, als man es nicht gebraucht hat, etwas entwickelt hat, was dann, als man es braucht, nicht mehr tauglich ist.

zu d2) Um sich nicht auf die "Trennung der Kanäle in iOS bzw. Android" verlassen zu müssen, sollte man halt nicht den TAN-Empfang auf dem selben Gerät durchführen, auf dem man den Auftrag abwickelt - egal ob SoftwareBanking oder Browserbanking oder gar AppBanking. Bei div. Konstellationen (smsTAN) ist dies ja auch ausdrücklich verboten. Bei anderen ist es zwar erlaubt (klar, sonst könnte man als Bank das von vielen Kunden gewünschte AppBanking nicht sinnvoll unterstützen), wenn man aber Bedenken mit der Sicherheit hat, sollte man es halt bleiben lassen. Sicherheit unter dem Aspekt von zwei verschiedenen Geräten: Maximal. Es ist noch nie irgend ein Versuch oder gar Problem aufgetaucht, wenn man die Kanaltrennung einfach durch zwei Geräte durchführt.

zu e) Das ist ja nun wirklich der am wenigsten von DIr hinterfragte und durchdachte Ansatz. Wenn Du eine TAN-Liste scannst, dann kannst Du sie gleich ins Schaufenster hängen. Bei dem Vorgang sind Geräte, Treiber, Scansoftware usw. in unüberschaubaren Mengen und Konstellationen beteiligt, von denen Du keine Ahnung hast, wie "brav" und sicher sie sind. Mindestens beim Scannen werden irgendwelche Temporärdateien irgendwo hin geschrieben und im schlimmsten Fall bei Fehlern nicht wieder gelöscht. Dann hast Du eine Grafikdatei. Die wird nun verschlüsselt. Hier gilt das Gleiche. Du weißt nicht, wie zuverlässig sowohl im Betrieb als auch von der Programmierung her das Verschlüsselungsprogramm ist. Und jedes Mal wenn Du das wieder entschlüsselst, steht wieder die entschlüsselte TAN-Liste im Speicher und im Grafikspeicher und kann da abgegriffen werden. Und selbst wenn das nicht passiert, kannst Du bei einer Listen-TAN niemals wissen, für welche Auftrag Du die TAN eingibst - da nicht verifiziert werden kann, welche Auftragsdaten beim Bankrechner angekommen sind und nun freigegeben werden. An Sicherheit des Konstrukts mit einer verschlüsselt gespeicherten gescannten TAN-Liste kann nur jmd glauben, der sich nur an der obersten Oberfläche damit beschäftigt hat.

Bei Bankzugängen gibt es ja vielfach nicht die Möglichkeit eines komplizierten ewig langen mit weißgott was für Zeichen versehenen Passworts - bei großen Häusern gibt es teils nur eine 5stellige rein numerische PIN. Jetzt kann man sofort das Schreien anfangen OGOTT WIE UNSICHER. Auch das wäre wieder reiner Unfug. Beim Kontozugriff ist ein komplexes Passwort (wie z.B. bei unserem verschlüsselten Scan) einfach nicht notwendig und auch nicht sinnvoll. Je länger und komplexer die PIN ist, um so eher wird der Kunde sie irgendwo abspeichern oder notieren - im klassischen Fall mit dem Haftie an Bildschirmrand oder auf dem Zettel unter der Schreibtischunterlage. Das will man natürlich nicht. Also sollte sie einfach und merkbar sein. Bei der 5stellig numerischen PIN hat man 100.000 Variationsmöglichkeiten - und genau DREI Versuche, sie einzugeben. Das ist absolut genug sicher. Beim Entschlüsseln Deines Scans braucht der Angreifer nur Deine Datei kopieren und kann dann in Ruhe alle möglichen Passwörter durchprobieren (lassen), bis er Erfolg hat. Das geht beim Bankrechner mit der PIN eben nicht. Nach dem dritten Mal ist Feierabend und der Zugang gesperrt.

Das von Dir vorgeschlagene Verfahren ist jedem "normalen" Kunden zu kompliziert und würde sicher nie Akzeptanz finden und würde, weil die meisten nicht damit zurecht kommen, riesen Support-Hotlines benötigen und trotzdem zu Kundenärger führen. Bevor sich Banken riesen Support und nochdazu verärgerte Kunden ans Bein binden, zahlen Sie lieber sehr viel geringere Summen zur Regulierung von eventuellen Schäden. Absolut logisch und OK. Sobald die Schäden zu hoch werden, wird dann was geändert. Auch OK.

Zu guter Letzt:

Listen-TANs sind von vorneherein unsicher, weil Du nicht wissen kannst, was Du da freigibst. Stichwort Man-in-the-Middle-Attack. Vergiß es.

Bankingsoftware ist - zumindestens bis heute - noch nie angegriffen worden, geschweige denn gab es hier Vorkommnisse. Einen Browser anzugreifen, den die halbe Welt nutzt ist sehr viel lukrativer als eine Banking-Software anzugreifen, die ein paar Tausend Kunden nutzen. Im Übrigen: Du musst immer darauf vertrauen, dass Dein IT-Gerät samt Betriebssystem und Software "gut" ist. Überprüfen kannst Du das heutzutage nicht mehr. Kein Mensch kann in die Tiefen von z.B. Windows schauen. Bei Linux wäre der Einblick zumindestens theoretisch möglich - praktisch auch nicht mehr wirklich durch closed Drivers usw. Und auch unter Linux hat man schon erlebt, dass üble Fehler über Jahrzehnte von niemandem gefunden wurden...

Eine Lösung, wie Du sie gerne hättest, gibt es im Übrigen. Bzw. zwei davon. Das erste ist das chipTAN-Verfahren. Im Einfachsten Fall mit einer GiroCard und einem TAN-Gernerator und Übertragung durch Flackergrafik. TAN kann nur erzeugt werden, wenn der Zugang zum Konto mit einer PIN erfolgt ist und die Karte vorliegt und im Leser steckt. In Österreich muß man noch eine Karten-PIN am Leser zusätzlich eingeben - das haben die Banken hierzulande nicht umgesetzt - meineserachtens richtig, weil es sonst wieder zu kompliziert und umständlich wird. Der Leser bekommt nach Absenden des Auftrags verschlüsselt die Auftragsdaten per Blinkcode übertragen, zeigt die beim Bankrechner angekommenen Eckdaten an und generiert eine TAN, die nur zu diesen Auftragsdaten paßt. Das System ist derzeit zumindest überall als unangreifbar anerkannt. Inzwischen wurde das weiterentwickelt zu chipTAN usb. Dabei fällt das Geblinke weg und es wird ein per usb angeschlossener Leser (für REINER Leser gibt's entsprechende Firmwareupdates) verwendet, der die Daten über usb bekommt und die TAN auf Knopfdruck per usb an den Rechner sendet. Das müßte doch ein Verfahren sein, wie es Dir vorschwebt?

Weiterhin arbeitet prinzipiell PhotoTAN der Commerzbank und comdirekt und 1822direktso, wie Du es gerne hättest (mit einer weiteren extra App-PIN).

Es gibt also durchaus Möglichkeiten. Aber man muß halt zu dem Anbieter gehen, der das anbietet, wenn man es unbedingt haben will. Du wirst nie eine Bank dazu bringen, etwas zu ändern, weil Du als Kunde es möchtest. Als Kunde kannst Du lediglich aus den angeboteten Möglichkeiten auswählen. Und das bedeutet dann eben Wechsel des Anbieters. Und was die DeuBa-Gruppe betrifft: Wer es sich leisten kann, dass sein HBCI-Rechner über 24 Stunden komplett die Beine breit macht, tut mir leid. Dass Die DeuBa-EDV miserabel ist, wurde ja schon von Vorständen und Vorstandsvorsitzenden öffentlich thematisiert, aber dass es so schlimm ist, ist wieder ein neues Highlight.

Ich bedanke mich für den Input.

Dass man seinen PC absichern muss - logo.
Dass man sein Handy absichern muss - logo.

Aber wie man weiß - gerade diese "Absicherungen" sind gut bekannte Angriffspunkte.

Was das Thema Papiertanlisten betrifft, finde ich, dass die Aussage "Man-in-the-middle"-Attack nicht greift wenn man via Reiner RCT aktueller Stand arbeitet - was mein Ansatz wäre.

Ich meinte mit Pin/Tan Verfahren das PapierlistenTan Verfahren. Die Argumente bzgl. des Scannen bzw Ver-/Entschlüsselungsausspähen kann ich nachvollziehen, aber, wenn man ernsthaft meint, dass könnte ein Problem sein, dann gäbe es noch ganz andere Stellen, wo man Risiken sehen muss und man kann sie auch lösen.

Das ChipTan Verfahren mit Karte nutze ich heute schon mit einer Bank, aber wenn man an mein Beispiel "Hotelsafe" denkt dann liegt dort u.a. die Karte und der Tangenerator und damit ist dieser Teil der 2FA offen wie ein Scheunentor (zumindest bei in D angebotenen Lösungen).
Ähnlich verhält es sich mit dem Phototan-Lesegerät dass zB die DeuBa anbietet, klar ist es eingerichtet für eine oder mehrere Kontenverbindungen, aber an das Hotelthema denkend, da nützt mir dann der Ansatz zumindest bezogen auf das was es an zus Sicherheit bringen soll, auch nichts.

Insgesamt stelle ich fest, dass dem Aspekt, dass in der FinTS/HBCI nutzenden Software( Starmoney, Fiducia o.ä. ) bewusst durch einen Entwickler oder unbewusst durch Angreifer Fehler/Backdoors/... sein könnten, bisher als nicht gegeben angesehen wurde. Ich nehm das mal als Ansicht zur Kenntnis, halte das aber für konzeptionell unvorsichtig.

Was die Papierüberweisungen betrifft sind wir uns eh wohl alle einig. Ähnlich hoffe ich bzgl. der "Unsicherheit" beim Telefonbanking.

@msa: Ist das so gemeint, dass Du die eigentliche Freigabe mit einer Listen-TAN vornehmen willst, nachdem die Auftragsdaten an einem extra Leser mit Karte "sicher" angezeigt wurden? Ja genau - und so was gibt es heute auch schon! Aber ab 2019 nicht mehr.

Die Wahl einer oder vieler Bankenverbindungen(wie in meinem Fall) geschieht nicht primär nach "Online-Banking" Aspekten.

Insofern muß man/ich immer mit den Gegebenheiten der jeweiligen Banken umgehen.

Ich finde es halt bedauerlich, dass dieses FinTS/Chipkarten +Pin +Tanlisten Verfahren, dass es zB aktuell bei der DeuBa gibt, zukünftig nicht mehr gibt. Ein Verfahren dass aus meiner sehr persönlichen (offensichtlich zB von dir nicht geteilten) Sicht die Summe meiner "Anforderungen" z Zt am optimalsten Erfüllen würde. Aber klar, ich kann es mir nicht backen .

Was das Thema von "Pin"-Losem Zahlen betrifft ist das in Nordeuropa seit längerem Normalität. Da dort n.m.E. Betrags- und "Tagesgrenzen" definiert werden können bzw sind, ist das Verlustrisiko diesbezüglich wesentlich überschaubarer.
Wobei wir konsternieren müssen, die zus. Konfigurationsmöglichkeiten bei nordischen Banken gehen weit über das hinaus was in D geboten wird - zB automatische zus. Überweisungsauslösung in Abhängigkeit der Betragshöhe auf ein Unterkonto nach einer Barzahlung via Karte.

Für mich stellt sich halt die Frage, ob ich bankenindividuell je nach Angebot eines derer Standard-Online-Banking Angebote nutze oder ob ich doch zu einer der Softwarelösungen und dann via FinTS buche, was bei der Mehrzahl möglich sein sollte. Einen Tod muss man sterben

Ich versteh in Diskussion das Hotelsafe-Beispiel überhaupt nicht, Tillmann.
Wenn dort die TAN-Karte oder der TAN-Leser liegt, warum liegt denn dort nicht nicht die TAN-Liste? Die man dann leider sogar unbemerkt kopieren könnte, was mit einer Chipkarte ja nun nicht geht.