Guten Morgen Kragenbär,
Zitat geschrieben von kragenbär
Diese Darstellung erleichtert die Kontrolle und verringert das Risiko, dass der Nutzer den 10 stelligen, monolithischen Zahlenblock nicht gewissenhaft kontrolliert.
Ich stimme dir zu, aber - aus der Praxis kann ich dir versprechen - von 10 Nutzern kontrolliert maximal 1 Person die Daten, die der TAN-Generator anzeigt. Ansonsten wird hektisch auf "OK" gedrückt, bis endlich (!) die TAN erscheint. Der Rest ist nur Schmuck am Nachthemd. Ist bei smsTAN übrigens genauso, der Inhalt wird meist nicht gelesen und mitnichten *akribisch* kontrolliert. Das ist auch oft der Grund für Sperren, weil versehentlich ältere SMS geöffnet werden, die noch auf dem Smartphone vorhanden sind - und schwupps wird eine alte TAN nochmals eingegeben, diese ist dann natürlich verbraucht und somit falsch. Ist ein kleiner Exkurs, aber soll verdeutlichen, dass eine gewissenhafte Kontrolle leider an der Realität vorbei geht, weil so gut wie niemand es tut. Darum würde in meinen Augen auch eine Anzeige der 22 Stellen in 4er Blöcken nichts ändern.
Zitat geschrieben von kragenbär
2) Es stellt sich mir die Frage, inwiefern der Faktor 10 oder 22 stellige IBAN zumindest theoretisch eine Sicherheitsrelevanz aufweist.
Das ist ein wenig OT, aber Sicherheit ist ja immer ein Thema. Theoretisch hast du also möglicherweise Recht, wobei die Konstellation "gleiche Kontonummer bei einer anderen Bank" das Ganze ins Reich der Unmöglichkeit schickt. Allerdings möchte ich kurz auf das Thema "Trojaner" und Betrug eingehen, einfach einen kleinen Einblick in die momentane Situation - da in diesem Thema laufend Bewegung ist, mag das in ein paar Monaten anders aussehen.
Im Moment sind die Tage, in denen ein Trojaner eine Überweisung im Hintergrund manipuliert und so große Beträge z.B. ins Ausland verschoben hat, vorbei. Aktuelle Betrügereien laufen ganz anders - zwei Beispiele.
1. Es ist wirklich ein Trojaner im Spiel. Der Nutzer meldet sich im Online-Banking an und erhält einen Hinweis, es sei versehentlich eine große Summe auf sein Konto überwiesen worden, die ihm aber gar nicht zustehe. Er möge diese doch bitte sofort zurück überweisen. Die fälschliche Gutschrift ist sowohl in den Umsätzen des Bankings zu sehen, ebenso steht netterweise gleich ein Button "Rücküberweisung" zur Verfügung. Der Nutzer klickt also frohgemut auf den Button und überweist die Summe. In seinem TAN-Generator stehen natürlich die korrekten Daten - also z.B. 5000 EURO an IBAN XY - für den Nutzer okay, denn es handelt sich ja eindeutig um die falsche Gutschrift. In Wirklichkeit hat diese Gutschrift natürlich niemals stattgefunden, und der Nutzer löst die schadhafte Überweisung von seinem Konto selbst aus. Eine akribische Kontrolle der Daten im Display des TAN-Generators hätte hier also nichts gebracht, egal wie viele Stellen angezeigt werden.
2. Das große Thema "Microsoft-Anrufe". Wenn du das in die Suchmaschine deiner Wahl eingibst, bekommst du massenhaft Artikel dazu. Kurz: Ein Betrüger ruft an, gibt sich als Mitarbeiter von Microsoft aus und teilt dem Nutzer mit, dass sein PC mit diversen Viren und Trojanern verseucht sei. Er könne dies aber in Ordnung bringen. Als Erstes bringt man den Nutzer nun dazu, dem Betrüger per Fernwartung Zugriff auf den Rechner zu gestatten. Der zeigt dem Nutzer dann diverse "Nachweise" der Verseuchung und "Echtheitszertifikate", die beweisen sollen das er wirklich von Microsoft ist. Dann wird auf dem Rechner ohne Zutun des Nutzers Schadsoftware installiert - und dann geht's ans Online-Banking. Es gibt verschiedene Varianten, aber oft ist es so, dass der Nutzer für die Bereinigung des Rechners zahlen soll. Der Betrüger sorgt dafür, dass der Nutzer sich im Online-Banking einloggt und danach TAN-Nummern erzeugt (chipTAN) oder vorliest (smsTAN, pushTAN). Auch hier würde eine Kontrolle der Daten nicht helfen, weil der Betrüger ja glaubhaft versichert, dass die Zahlungen rechtmäßig sind...
Du siehst, es geht heute nicht mehr um Manipulation im Hintergrund, sondern um ein widerliches Spiel mit Ängsten und Gutgläubigkeit von Menschen. Die Betrüger machen sich meist nicht mehr die Mühe technischer raffinierter Angriffsmöglichkeiten, sondern setzen da an, wo die Schwachstelle sitzt - VOR dem Rechner. Darum bleiben deine Sorgen wirklich nur Theorie, zumindest momentan. Wenn die Menschen weiterhin bereitwillig Zugangsdaten, TAN und persönliche Daten in irgendwelche Formulare eintasten oder gar am Telefon rausgeben, dann haben wir keine Chance, EGAL wie gut die Sicherheitsmedien sind.
Sorry für den etwas längeren Exkurs, aber mir war das wichtig.