iTAN-Verfahren unsicherer als von Banken behauptet

Interessantes bei Heise von der RWTH Aachen


http://www.heise.de/newsticker/meldung/63249

Vor allem mal wieder schön allübergreifende Aussagen

Das ist es ja... Ist nix neues und kann mir nicht vorstellen, dass es jemand in der Form behauptet hat, es sei denn man fragt einfach mal zum Ultimo am Schalter nach

Ist doch wieder klasse - erstmal Panik machen "alles doch unsicher!!!" und behaupten, die Kunden würden sich in trügerischer Sicherheit wiegen... ich freu mich schon auf die Kundenanrufe. Für uns sind diese "bahnbrechenden Erkenntnisse" ja nichts Neues, nur wenn ein unsicherer Kunde das sieht, dann fühlt er sich natürlich hintergangen, zumal ja für die iTAN auch kräftig Öffentlichkeitsarbeit betrieben wird.

Sorry Leute,

die Einführung der i-TAN ist die eigentliche PR Masche! Sie hat noch nie dazu getaugt, das eigentliche Problem zu beheben. Das eigentliche Phishing wird nur erschwert (und auch nur erschwert, nicht unmöglich!) Und als Schutz vor anderen Szenarien hat es auch noch nie getaugt.
Bei der Erweiterung der FinTS 3.0 Spec. wurde bei einer der Varianten wenigsten dieses Manko "ausgehebelt". Hier gibt es die Möglichkeit der Bankensignatur auch im FinTS Dialog mit PIN und TAN. Nur Brauche ich dann auch keine iTAN mehr.

Gruß

Holger

d0pa-Meldung:
Freitag 26. August 2005, 18:19 Uhr
Forscher: Online-Banking auch mit «iTAN»-Verfahren nicht sicher
z.B. hier:
http://www.handelsblatt.de/psh…index.html

/edited wg. Fullquote

Wenn ich hier so manches lese, genau wie in der Presse, wird mir echt schlecht !

Jeder weiss immer alles besser, alles ist schlecht, aber KEINER hat konkrete GUTE Vorschläge !

Wenn wir als Bank das ITAN Verfahren nicht einsetzen, schreit jeder danach und es heißt mal wieder, schau mal da die Bank hat keinen Bock Geld aus zu geben !

Führen wir es ein, dann heißt es, dass es nichts bringt, ist unsicher wie kann man sowas nur machen !

Wir als Bank wissen, dass die Einführung des ITAN Verfahrens keinen 100%tigen Schutz bietet, dass weiss jeder der im Internet arbeitet ! Aber wir tun was für die Sicherheit ! Und wir geben eine Menge Geld für diese aus !

Aus meiner Sicht, bringt das ITan Verfahren einiges, denn 98% der Betrugsfälle beruhen auf Trojanern, die beim Abschicken der Überweisung die TAN speichern und mitschneiden ! Dies wird über das ITAN Verfahren "momentan" dann nicht mehr möglicvh sein ! Auch wenn jetzt wieder jeder was anderes erzählt, ich weiss die meisten kennen sich viel viel besser aus, auch wenn die niemals bei einer Bank gearbeitet haben ^^

Wir Banken werden immer als Idioten hingestellt, dass wir keine Ahnung haben, dass wir uns nicht informieren etc. ! Sowas finde ich traurig, denn es werden Millionen jedes Jahr für diese Geschichte ausgegeben !

Wenn Ihr konkrete "GUTE" Vorschläge habt, wie man das OB 100% sicher macht, bin ich für diese offen !

Aber zum Glück haben die Banken keine Sicherheitsberater, die beispielsweise die Bundesregierung etc. beraten

Die Frage die sich immer stellt ist realtiv einfach ! Kosten - Nutzen Rechnung in Verbindung mit "einfachem OnlineBanking"

klar können wir Online Banking 100% Sicher machen, in dem der Kunde Anfangs eine Pin Eingibt, eine persönliche Chipkarte einlegt und nochmal eine Randommässige Frage gestellt bekommt.

Nur wenn ich 3 Stunden benötige um mich ins Online Banking einzuwählen und muss vorher 400 Euro dafür ausgeben, damit ich die Hardware habe, dann kann dies nicht im Interesse und der Bank liegen !

Es ist sehr schwierig hier einen sinnvollen Konsenz zu finden ! Ich denke die ITan ist ein guter und erster Schritt.

Das der Kundenrechner immer die erste Anlaufstelle ist, das wissen wir auch, muss aber auch dem Kunden klargemacht werden !

Ich telefoniere täglich mit sehr vielen Kunden und mir stehen die Haare zu berge, wenn ich höre das ein Großteil der Kunden keine Firewall haben, zwar einen Virenscanner, den aber nie aktuell gehalten !

Ich denke das Bewusstsein der Kunden MUSS mehr geweckt werden und die Kunden müssen begreifen, dass es zu 99% deren verschulden ist !

Habe ich eine anständige Firewall und einen anständigen Virenscanner und öffne nicht jede unbekannte Mail etc. ist dem schon sehr viel geholfen !

Man darf das Problem "unsicheres OnlineBanking" nicht NUR auf die Bank abwälzen, sonden MUSS den Kunden klarmachen, dass diese genau so viel tun müssen wie wir, aber leider in 90% der Fälle NICHTS tun !

Die Medien schreien immer das die Bank nichts tut, aber niemand spricht vom Kunden ! Und dies ist der größte Fehler, der bei jeder Berichtserstattung gemacht wird !

ROFL Gutes Beispiel, so habe ich das noch nicht gesehen

Hier mal was erfreuliches zu dem Thema

https://www.a-i3.org/index.php…5&Itemid=1

Es wird doch auch positiv gesehen

Hm,
wenn sie so auf die Postbank eingehen sollten sie auch sagen das der Phisher nur die HBCI-PIN/TAN Schnittstelle ansprechen müsste und dort jede erphiste noch unbverbrauchte TAN-Nummer gültig ist.

Siehe www.postbank.de/itan



Soviel auch zum Thema Sicherheitsuntersuchungen von Experten

Ich will hier der PB nichts unterstellen, aber die Formulierung lässt so nicht erkennen das mit Aktivierung des iTAN Systems durch den Kunden die Softwareschnittstelle nicht mehr nutzbar ist....
Korrekturen erwünscht und vor allem ERHOFFT!