Vergleich mTAN bei Deutsche Bank und VR Bank

Abi

Benutzer

Geschlecht: keine Angabe
Beiträge: 13
Dabei seit: 11 / 2008

Betreff:

Vergleich mTAN bei Deutsche Bank und VR Bank

· Gepostet: 16.12.2009 - 03:34 Uhr · #1

Hallo,

mir ist aufgefallen, daß bei der VR Bank beim mTAN nur die Konto Nr. und der Betrag zum Vergleich enthalten ist. Bei der Deutschen Bank dagegen sind Empfänger, Konto, BLZ und Betrag mit enthalten, was aus meiner Sicht zur Kontrolle einfacher ist.

Daß die BLZ im Nachinein durch den Täter geändert wird, ist unwahrscheinlich. Aber was meint ihr als Fachleute, welches der beiden Varianten "sicherer" wäre?

Gruß
Abi

Captain FRAG

Benutzer

Geschlecht: keine Angabe
Herkunft: Westfalen
Beiträge: 5096
Dabei seit: 05 / 2003

Betreff:

Re: Vergleich mTAN bei Deutsche Bank und VR Bank

· Gepostet: 16.12.2009 - 08:40 Uhr · #2

Solange der Betrüger bei der Deuba weiterhin einfach das klassische TAN-Verfahren nutzen kann (Zugriff über HBCI-Schnittstelle ist nur über einfache TAN möglich), hilft die SMS-TAN nur dann wenn er (der Betrüger) dumm ist.
Trifft aber wohl nicht jeden, bzw. weiss ich nicht genau wie hoch die Hürde der Aktivierung ist.

Raimund Sichmann

Benutzer

Geschlecht: keine Angabe
Beiträge: 8221
Dabei seit: 08 / 2002

Betreff:

Re: Vergleich mTAN bei Deutsche Bank und VR Bank

· Gepostet: 16.12.2009 - 09:00 Uhr · #3

Hallo Abi,

interessante Frage. Wenn der User "mitspielt", also wirklich den Auftrag prüft und nicht sein iPhone zum Onlinebanking und Empfang der SMS nutzt, sind beide Verfahren imho gleich sicher, weil die Kontonummer und Betrag als Kriterium bereits völlig reicht. KISS-Prinzip halt. 2 Kondome übereinander gezogen sind ja bekannterweise auch nicht sicherer

.
Aber das mutiert dann wieder zur Glaubensfrage.

Gruß
Raimund

Holger Fischer

Benutzer

Geschlecht:
Herkunft: Korschenbroich
Alter: 53
Beiträge: 6194
Dabei seit: 02 / 2003

Betreff:

Re: Vergleich mTAN bei Deutsche Bank und VR Bank

· Gepostet: 16.12.2009 - 09:47 Uhr · #4

Hallo Raimund,

für die Praxis hast Du vermutlich bei der Einzelauftrag recht. Aber da die Sicherheit der mobilen TAN vom Auftragsbezug und dessen Kontrollmöglichkeit abhängt, ist in der Theorie jede zusätzliche Information zum Auftrag ein zusätzlicher Sicherheitsgewinn, da jede dieser Komponenten für eine potentielle Manipulation wegfällt.

Ich halte den Sicherheitsgewinn für theoretisch, da zuviele Informationen dazu verleiten, diese Informationen nicht mehr genau oder eventuell gar nicht mehr zu vergleichen.

Gruß

Holger

Zimmi

Benutzer

Geschlecht: keine Angabe
Herkunft: RLP
Beiträge: 540
Dabei seit: 05 / 2008

Betreff:

Re: Vergleich mTAN bei Deutsche Bank und VR Bank

· Gepostet: 16.12.2009 - 11:40 Uhr · #5

Ich persönlich halte es sogar für "gefährlicher", dass der Name mit aufgeführt wird. Die Kunden könnten dazu neigen, eher auf den Namen zu achten und nicht auf die Bankverbindung, welche maßgeblich ist. Lässt der Trojaner den Namen bewusst identisch und ändert nur die Bankverbindung, fällt es vielleicht nicht auf. Gefährlich in Gänsefüßen, da die Sicherheit eh sehr stark vom Kunden abhängig ist. Wer alle Informationen prüft, ist bei beiden Verfahren m.E. gleich sicher.

Raimund Sichmann

Benutzer

Geschlecht: keine Angabe
Beiträge: 8221
Dabei seit: 08 / 2002

Betreff:

Re: Vergleich mTAN bei Deutsche Bank und VR Bank

· Gepostet: 16.12.2009 - 19:29 Uhr · #6

Genau das ist der Punkt, Holger. Die Empfänger-Kontonummer ist inzwischen der einzige Punkt, der eine Rolle spielt, der Name bringt keinen Sicherheitsgewinn, sondern könnte aktiv der Verschleierung dienen.
Alles eitel Theorie, aber wenigstens haben die Deuba Kunden jetzt die Wahlmöglichkeit

Gruß
Raimund

Abi

Benutzer

Geschlecht: keine Angabe
Beiträge: 13
Dabei seit: 11 / 2008

Betreff:

Re: Vergleich mTAN bei Deutsche Bank und VR Bank

· Gepostet: 16.12.2009 - 21:34 Uhr · #7

Hallo,

das mit der Verschleierung vom Empfänger Namen habe ich net mit gerechnet. Aber der Trojaner könnte dies ändern, so wie Zimmi schrieb. Dann ist die Variante von der VR Banken vor zu ziehen. Die BLZ könnte aber schon mit drauf

Einfach mal intessehalber, auch wenn das sehr unwahrscheinlich ist, aber technisch evtl. möglich:

Könnte ein Bankmitarbeiter in der Technik eine Onlineüberweisung so manupulieren, daß es den Anschein hat, als hätte der Bankkunde selbst die Überweisung durch geführt? Immerhin wenn der Kunde noch das normale TAN Verfahren verwendet, müssen die TAN irgendwo im System verwaltet werden?? Könnte da ein Mitarbeiter zugreifen und es im Extremfall mißbrauchen? Selbst wenn die IP mitgelolggt wird, ist es erst einmal ein großer Aufwand zu rechercheiren, von welchem Anschluß diese Tat begangen wurde...

Gruß
Abi

Captain FRAG

Benutzer

Geschlecht: keine Angabe
Herkunft: Westfalen
Beiträge: 5096
Dabei seit: 05 / 2003

Betreff:

Re: Vergleich mTAN bei Deutsche Bank und VR Bank

· Gepostet: 16.12.2009 - 22:09 Uhr · #8

Der gemeine Bankmitarbeiter kann die technischen System nicht manipulieren.
Aber: Wenn einer speziell dich betrügen wollte, geht das viel einfacher. Ein Beleg ist immer die einfachste Variante, insbesondere eine händische Unterschrift ist schnell gefälscht. Zumal es ja so nette Vorlagen im Form von Unterschriftsproben gibt.
Praktisch ist das aber langweilig. Ein Betrug macht nur Sinn, wenn ich (als Insider) eine nicht vollständig geschützte Lücke finde und dort ein Betrag verfügbar ist, von dem ich den Rest meines Lebens leben kann.

Abi

Benutzer

Geschlecht: keine Angabe
Beiträge: 13
Dabei seit: 11 / 2008

Betreff:

Re: Vergleich mTAN bei Deutsche Bank und VR Bank

· Gepostet: 17.12.2009 - 02:54 Uhr · #9

Bei Promis oder Multimillionäre gibt z. B. ein Betrag, von dem man Leben kann. Ist es überhaupt möglich, auf einen Schlag 2.000.000 Euro zu überweisen? Oder gibt es in solchen Fällen ein Limit bzw. Meldepflicht?

Gruß
Abi

derblacky

Benutzer

Geschlecht: keine Angabe
Herkunft: Sachsen
Beiträge: 291
Dabei seit: 07 / 2005

Betreff:

Re: Vergleich mTAN bei Deutsche Bank und VR Bank

· Gepostet: 17.12.2009 - 08:24 Uhr · #10

Wie die einzelnen Banken ihre internen Kontrollen gestalten (auch bei "VIP"- Kunden) kann von Bank zu Bank unterschiedlich sein. Eine allgemeingültige Aussage kann man daher nicht treffen. Grundsätzlich gibt es aber unterschiedliche Möglichkeiten, solche Konten mit einem "erweiterten" Schutz zu versehen. Weitere Details gibt es zumindest von mir dazu nicht

Tschau
Majo

Zimmi

Benutzer

Geschlecht: keine Angabe
Herkunft: RLP
Beiträge: 540
Dabei seit: 05 / 2008

Betreff:

Re: Vergleich mTAN bei Deutsche Bank und VR Bank

· Gepostet: 17.12.2009 - 08:50 Uhr · #11

Zitat geschrieben von Abi

Könnte ein Bankmitarbeiter in der Technik eine Onlineüberweisung so manupulieren, daß es den Anschein hat, als hätte der Bankkunde selbst die Überweisung durch geführt? Immerhin wenn der Kunde noch das normale TAN Verfahren verwendet, müssen die TAN irgendwo im System verwaltet werden?? Könnte da ein Mitarbeiter zugreifen und es im Extremfall mißbrauchen? Selbst wenn die IP mitgelolggt wird, ist es erst einmal ein großer Aufwand zu rechercheiren, von welchem Anschluß diese Tat begangen wurde...

Gruß
Abi

*Kicher* Nix für ungut. Aber das ist die selbe Logik wie: Hm tschuldigung, ich hab nen Fehler in der Überweisung gemacht, können Sie die nochmal stoppen? Klar, ich stell den Fuß auf die Leitung

Aber im Ernst. PIN und TAN kann kein Bankmitarbeiter abfragen, wozu auch?

Abi

Benutzer

Geschlecht: keine Angabe
Beiträge: 13
Dabei seit: 11 / 2008

Betreff:

Re: Vergleich mTAN bei Deutsche Bank und VR Bank

· Gepostet: 18.12.2009 - 01:55 Uhr · #12

@derblacky:
Ich glaube kaum, daß die Multimillionäre einen besonderen Schutz haben. Es gibt mit Sicherheit einige Mitarbeiter, die über die Namensuche einfach aus Interesse den Kontostand nachschauen... Bei Bekannten wird das schon mal gemacht. Harte Aussage, aber intern läuft es leider so! Ähnlich wenn ein Kd. anruft und über Telefonbanking einen hohen Betrag überweisen möchte. Das wird auch unter den Kollegen kommuniziert, obwohl diese mit der eigentlichen Arbeit gar nicht im Zusammenhang stehen. Also Datenschutz usw.

@Zimmi:
Sagen wir mal so, selbst die PIN für die EC Karte muß technisch gesehen irgendwo gespeichert werden. Ein "normaler" Bank MA hat natürlich kein Zugriff. Aber evtl. die im Rechnezentrum. Ist aber, so weit ich weiß, kein Mißbrauch entstanden.

Letztendlich hätte ich an eure Stelle ebenfalls solche "Sicherheitsrisiken" nicht preis gegeben. Sonst würde das Image der Firma geschädigt. Es ist ein Unterschied was nach außen an die Öffentlichkeit kommuniziert wird, und was intern. Interne sind interessanter, weil diese Variante weniger gefiltert ist.

Bin aber mit diesem Forum sehr zufrieden. Vor allem wenn es um die neutrale Sichtweisen der Techniken fürs OB geht. Großes Lob an euch!!

Gruß
Abi

derblacky

Benutzer

Geschlecht: keine Angabe
Herkunft: Sachsen
Beiträge: 291
Dabei seit: 07 / 2005

Betreff:

Re: Vergleich mTAN bei Deutsche Bank und VR Bank

· Gepostet: 18.12.2009 - 07:50 Uhr · #13

Zitat

Ich glaube kaum, daß die Multimillionäre einen besonderen Schutz haben. Es gibt mit Sicherheit einige Mitarbeiter, die über die Namensuche einfach aus Interesse den Kontostand nachschauen...

Wie schon geschrieben, es gibt da (evtl. von Bank zu Bank unterschiedlich, aber zumindest bei uns im Haus) Möglichkeiten.

Tschau
Majo

ottoager

Benutzer

Geschlecht: keine Angabe
Herkunft: Saxony
Beiträge: 679
Dabei seit: 09 / 2003

Betreff:

Re: Vergleich mTAN bei Deutsche Bank und VR Bank

· Gepostet: 18.12.2009 - 08:05 Uhr · #14

Hallo,

es gibt schon Möglichkeiten, das zu lösen. Heutzutage speichert m.W. kaum einer mehr Passwörter im Klartext. Wenn der Kunde seine Start-PIN zwangsweise in eine selbst erdachte PIN ändert, wird vom neuen Passwort ein Hashwert gebildet, und dieser dann beim Betreiber gespeichert, nicht die PIN.

Loggt sich ein Kunde dann mit der PIN ins Online-Banking ein, wird nach dem selben Algorithmus wieder der Hash errechnet und mit dem gespeicherten Hashwert von der Start-PIN-Änderung verglichen. Stimmt beides überein, wird die eingegebene PIN als gültig angesehen.

Da sich mit dem Hashwert zwar die PIN prüfen, aber nicht aus ihm errechnen lässt, ist sichergestellt, dass nur der Kunde reinkommt und keiner, der Zugriff auf die zentral gespeicherten Hashes erlangt.

Otto

Zimmi

Benutzer

Geschlecht: keine Angabe
Herkunft: RLP
Beiträge: 540
Dabei seit: 05 / 2008

Betreff:

Re: Vergleich mTAN bei Deutsche Bank und VR Bank

· Gepostet: 18.12.2009 - 08:53 Uhr · #15

Zitat geschrieben von Abi

@Zimmi:
Sagen wir mal so, selbst die PIN für die EC Karte muß technisch gesehen irgendwo gespeichert werden. Ein "normaler" Bank MA hat natürlich kein Zugriff. Aber evtl. die im Rechnezentrum. Ist aber, so weit ich weiß, kein Mißbrauch entstanden.

Um mal beim Thema Online-Banking zu bleiben. Auch die Leute im Rechenzentrum kommen nicht an die PIN, weil dazu einfach der Bedarf fehlt.
Wer als Kunde seine PIN vergisst, bekommt eine neue bestellt und hat die in 2-3 Arbeitstagen im Briefkasten. Es macht überhaupt keinen Sinn, über 3 Ecken den Bankberater, dann den RZ Kundenbetreuer und dessen Programmverantwortlichen mit dem Heraussuchen einer PIN zu stressen. Von Datenschutzgesetzen mal abgesehen.