SMS-TAN geknackt - was kommt als nächstes?

 
Pi²
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Nordbayern
Beiträge: 62
Dabei seit: 07 / 2004
Betreff:

SMS-TAN geknackt - was kommt als nächstes?

 ·  Gepostet: 08.03.2011 - 17:37 Uhr  ·  #1
Hallo zusammen,

die Sicherheit bei SMS-TAN scheint ja nach den aktuellen Trojanern für Symbian, WindowsMobile und Blackberry nicht mehr sooo hoch zu sein. Doch wie geht es weiter? Worauf stürzen sich die bösen Buben als nächstes, wenn z.B. keiner mehr SMS-TAN nutzt?? Die Hürden bei ChipTAN scheinen mir recht hoch zu liegen.

Wäre der nächste logische Schritt nicht einfach mal die HBCI-Datei von einer Diskette/einem Stick inkl. passender PIN zu klauen? Ich glaube auch, dass dieses System in erster Linie von Firmenkunden genutzt wird - da würde sich eine Überweisung doch noch eher lohnen, als bei einem popeligen Privatkonto mit ein paarhundert Euros drauf!

Aber ich habe bislang noch nie davon gehört, dass HBCI-Daten verschwunden wären.

Wie ist eure Meinung dazu??

Gruß Pi²
Michael Döring
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 1495
Dabei seit: 07 / 2008
Betreff:

Re: SMS-TAN geknackt - was kommt als nächstes?

 ·  Gepostet: 08.03.2011 - 18:07 Uhr  ·  #2
Alles sehr schwierig heutzutage.
Sobald es einen Trojaner für eine Software gibt, der einfach im Ausgangskorb in der Software Datenbank die Aufträge manipuliert haben wir die nächste Dimension erreicht.
Das ist ein weites Feld würde T. Fontante vielleicht sagen :)
Holger Fischer
Benutzer
Avatar
Geschlecht:
Herkunft: Korschenbroich
Alter: 53
Beiträge: 6167
Dabei seit: 02 / 2003
Betreff:

Re: SMS-TAN geknackt - was kommt als nächstes?

 ·  Gepostet: 08.03.2011 - 20:00 Uhr  ·  #3
Hi Pi²,

bevor hier ein Unbedarfter etwas falsch hinein interpretiert:
Die SMS TAN ist keineswegs geknackt!

Was man im MOment beobachten kann, sind verschiedene Angriffsversuche, die versuchen potentielle Schwachstellen im Konstrukt für ein Massenangriff auszutesten. Genau hier ist aber das "Problem" bei der aktuellen Vorgehensweise.
Derzeit versuchen die Angreifer die Eingabe am PC mit dem Empfang auf dem Handy zu synchronisieren. Das funktioniert sicherlich bei ausgesuchten Angriffen, bei den heute üblichen Massenangriffen ist das schon deutlich aufwendiger.

Was hier abläuft ist auch kein knacken der SMS TAN, sondern alles bekannte Methoden. Das Problem sind die Smartphones, die ja nicht anderes als ein PC im Hemdtaschenformat sind. Da man auf einem solchen Handy auch Software laufen lassen kann, kann man auch ein Handy mit einem Trojaner befallen. Mit einem alten Handy hat man z.B. hier nichts zu befürchten.
Da diese Szenarien auch bekannt sind, gibt es auch in den Onlinebanking Vereinbahrungen die Regelung, dass die mobile TAN nicht auf dem selben Endgerät genutzt werden darf. Denn dann würde für den Angreifer die Problematik mit der Synchronisation des Angriffs entfallen.

Unabhängig davon zeigen diese Versuche meiner Meinung nach schon, dass die Tage der mobilen TAN gezählt sind.

Zur HBCI Diskette (das das Verfahren vornehmlich von Firmenkunden genutzt wird ist übrigens ein hartnäckiges Gerücht) :
Ja ist ein denkbares Szenario. Aber der Markt hierfür ist für den Angreifer zur Zeit noch viel zu klein und dafür zu aufwendig.
Es ist viel einfacher Millionen von Browsern zu infizieren und für 50 - 60 Banken die Masken mit zu transportieren, als einen völlig zerpflückten Softwaremarkt anzugreifen, den man erstmal verstehen muss!
Ähnlich wie bei Linux oder Mac OS gilt auch hier: solange mit den anderen Lösungen leichter Opfer zu finden sind, sind diese Systeme dadurch sicher, dass sie nicht durch die Masse genutzt werden.

Ein Browserangriff ist international möglich. Eine Software greife ich in einem sehr begrenzten nationalen Markt an.

Viele Grüße

Holger
Pi²
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Nordbayern
Beiträge: 62
Dabei seit: 07 / 2004
Betreff:

Re: SMS-TAN geknackt - was kommt als nächstes?

 ·  Gepostet: 09.03.2011 - 17:18 Uhr  ·  #4
Erstmal danke für eure Antworten - und sorry wegen des provokativen Titels! ;-) Es ist schon richtig - die SMS-TAN ist genausowenig geknackt, wie das iTAN-Verfahren. Aber bei letzterem findet man leider genügend gutgläubige User, die 10 oder mehr TANs auf Anforderung eingeben. Oder den Usern wird vorgegaukelt, der Zugang sei gesperrt und sie müssten diesen mit der TAN Nr. xyz wieder freischalten. Derweilen wird damit eine Überweisung getätigt....

Ich gebe Holger völlig recht, wenn er schreibt, dass hier erstmal Tests laufen. Aber würde jemand, der viele iTANs in ein Fenster reintippt nicht auch glauben, dass an seinem Handy was aktualisiert werden muss, damit SMS-TAN weiterhin funktioniert? Dass die Tage der SMS-TAN gezählt sind, kann ich nur unterstreichen!

Bei der HBCI-Diskette habe ich aber größere Bedenken. Ich glaube, es ist völlig egal, mit welcher Software ein User sein Homebanking macht. "Mein Trojaner" würde bei jeder eingelegten Diskette oder jedem angeschlossenen USB-Stick nach Dateien suchen mit der Endung .key oder .rdh oder wie auch immer die üblicherweise heissen. Jetzt brauche ich noch die passende PIN. Das sollte über einen Keylogger möglich sein. Vielleicht lese ich noch aus, welche Banking-Software der User nutzt, damit ich für seine Daten möglichst auch die gleiche verwende. Wenn ich hier ins Forum gucke, sind das ja nicht so viele. Und dann habe ich vollen Zugriff aufs Konto wann immer ich will.

Oder habe ich einen Denkfehler??

THX

Stefan
croconmedia
 
Avatar
 
Betreff:

Re: SMS-TAN geknackt - was kommt als nächstes?

 ·  Gepostet: 12.08.2011 - 17:49 Uhr  ·  #5
Ich muss ganz ehrlich sagen, dass normale Tanlistenverfahren mit der bisherigen Tanliste und den 50-100 Tan Nummern ist doch eigentlich ein Sicheres ( wenn der Systemnutzer auch die nötige Sorgfalt in Bezug auf die Sicherheit seines eigenen Systemes legt). Denn die Liste kann ich wegschliessen, fertig.

Das SMS Tan Verfahren ist so ziemlich das dümmste, was man sich hätte ausdenken können ( wenn auch leider für viele Kunden dies leider notwendig ist ).

Inbesondere die jüngere Generation die ich mit Smartphones rum hantieren sehe und jedes auch nur erdenkliche App installiert, deren Quellen teilweise mehr als bedenklich sind, sind doch nun das Ziel.

Es ist ein einfaches auf einem Smartphone mit dem richtigen App eingehende SMS abzufangen und umzuleiten.

Mich würde es nicht wundern, wenn dieses SMS Tan Verfahren einen schnelleren Tod erleidet, als man sich jetzt noch vorstellen möchte.

Transaktionsnummern gehören NICHT aus das Handy oder Smartphone, die gehören in die abschliessbare Schreibtischschublade oder in den Tresor.

Die Banken machen sich durch dieses neue SMS Tan Verfahren so angreifbar, wie noch nie.

Da kann man nur mit dem Kopf schütteln, wer sich das ausgedacht hat.
Michael Döring
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 1495
Dabei seit: 07 / 2008
Betreff:

Re: SMS-TAN geknackt - was kommt als nächstes?

 ·  Gepostet: 12.08.2011 - 18:35 Uhr  ·  #6
Zitat geschrieben von croconmedia
Ich muss ganz ehrlich sagen, dass normale Tanlistenverfahren mit der bisherigen Tanliste und den 50-100 Tan Nummern ist doch eigentlich das sicherste. Die Liste kann ich wegschliessen, fertig.

Sorry aber das ist seit sehr sehr langer Zeit die dümmste Aussage, die ich hier gelesen habe.
Der Rest deines Beitrags übrigens ebenfalls und zwar komplett, wollte hier nur nicht zuviel dummes Zeugs zitieren.

Bevor du weiter hier solch einen Unsinn verbreitest solltest du dir erst einmal einiges anlesen! Das empfehle ich DRINGEND!
Dies hier ist ein Fachforum und keine Plattform für Selbstdarstellung.
croconmedia
 
Avatar
 
Betreff:

Re: SMS-TAN geknackt - was kommt als nächstes?

 ·  Gepostet: 12.08.2011 - 18:58 Uhr  ·  #7
Dear Michael,

bei allem nötigen Respekt, ich kenne schon diese ganzen Berichte über das alte Tanverfahren. Zur Genüge ! Fakt ist jedoch, dass es immer um Datendiebstahl geht. Sprich, auf dem Kundenrechner ist etwas vorhanden, das spioniert oder der gesamte Datenstrom wird zu einem Spiegel umgeleitet.

Es geht hierbei fast immer um Trojaner. Denkt ihr allen Ernstes, nur weil ihr die TAN jetzt auf das Smartphone umleitet und ihr somit einen weiteren Kanal hinzufügt, wird das ganze Spiel sicherer ? Ernsthaft ?

Wenn ich mit meinem System Banking betreibe, habe ich dafür zu sorgen, dass es sicher ist ... richtig ?

Mir ist natürlich klar, die Kunden die ihr habt, installieren sich Dinge aus dem World Wide Web und hinterher ist es so, dass sie nicht wussten was sie getan haben oder vollkommen unschuldig sind.

Klar auch, durch die ganzen Verbraucherverbände und Kritik an den bestehenden Systemen werdet ihr in die Pflicht genommen, das ganze Handling noch sicherer zu machen.

Aber euch ist noch nicht gewahr, was ihr euch mit diesem SMS Tan Verfahren eingehandelt habt. Wir sprechen uns wieder wenn es flächendeckend eingesetzt wird und wenn die ersten Cross-Apps raus sind, die Kundenrechner und Smartphone infiltriert haben. Die Banken stellen ja bereits um.

Die Aussage ist im Übrigen nicht dumm, ich sehe nur die Verpflichtung mein System "sicher" zu halten, bei mir, nicht bei euch.

Aber gut, ich weiss natürlich auch, dass eure Kunden ein ganz andere Verständnis über die Sicherheit Ihrer Systeme haben.

So nehmt Ihr die Kunden immer weiter aus der Pflicht, für die Sicherheit Ihrer Systeme zu sorgen, und es werden mehr Kuriositäten aus dem Internet installiert und noch mehr Apps auf dem Smartphone.

Das wird bald richtig lustig werden. Derartige Systeme führen wir hier im Ausland erst garnicht ein.

Was kommt als nächstes ? VASCO Nummerngenerator wie wir es aus der Schweiz kennen ? Oder sogar zusätzlich zum bestehenden System ?

Aber Du siehst schon anhand Deiner Reaktion, wie sehr sich doch das Denken geändert hat, was man als sicheres Online-Banking-Verfahren bezeichnet, aufgrund der Gegebenheiten wie Kunden mit Ihren Daten und vor allen mit Ihren Systemen umgehen.

Wenn ich ausserdem manchmal von Kunden höre, dass Ihr zuständiger Berater ihnen diverse Programmupdates persönlich als eMail zuschickt ohne digitale Signatur anstatt Programmupdates per Post auszuliefern, muss man sich auch nicht wundern, dass Phishing auch immer noch so wunderschön fruchtet.

Wie man es auch dreht und wendet, es wird wieder ein neues System geben welches dieses SMS Tan Verfahren ablöst und wieder und wieder ... und wieder.
Michael Döring
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 1495
Dabei seit: 07 / 2008
Betreff:

Re: SMS-TAN geknackt - was kommt als nächstes?

 ·  Gepostet: 12.08.2011 - 19:07 Uhr  ·  #8
Also zum einen stimme ich mit dir völlig überein, dass wir in Deutschland dem Endkunden zuviel Verantwortung abnehmen. Es wird zuviel auf die Banken verschoben. Damit wird wieder einmal dort Verantwortung weg genommen, wo sie eigentlich ganz gut aufgehoben wäre, um der tendenziell abnehmenden Verantwortung für sein eigenes Handeln nicht weiter Vorschub zu leisten.
Soweit volle Zustimmung.

Aber du kannst nicht allen Ernstes die TAN-Liste als das sicherste Verfahren bezeichnen? Den vorsichtigsten Menschen kann einmal ein Man-in-the-middle-Trojaner unterfleuchen, sie müssen nicht einmal selbst Schuld daran sein. Eine 4köpfige Familie kann doch nicht ernsthaft mehrere PC's kaufen, nur damit einer davon ja nicht durch ungeschickte Kinderhände versehentlich verseucht werden kann.
Dann sollte das Verfahren doch wenigstens dem Benutzer die Möglichkeit bieten, eine Manipulation des Auftrags vor Unterschrift zu erkennen, oder? Und das sehe ich mit chipTAN und smsTAN definitiv gegeben und mit TAN-Liste nicht.

Und falls du das nicht weißt: Derzeit blocken die Onlinebanking-Apps alle Transaktionen beim smsTAN Verfahren. Damit ist es derzeit rein theoretisch also nicht möglich, am selben Gerät einen Auftrag zu erfassen und die TAN zu empfangen.
croconmedia
 
Avatar
 
Betreff:

Re: SMS-TAN geknackt - was kommt als nächstes?

 ·  Gepostet: 12.08.2011 - 19:17 Uhr  ·  #9
Sorry, das alte HBCI PIN/TAN Verfahren ist natürlich nicht das "sicherste" Verfahren.

Wenn das herauszulesen war, ist es natürlich nicht wahr, so war es nicht gemeint ;)

Dem würde ich natürlich die verteilte elektronische Unterschrift und/oder/mit EBICS vorziehen, keine Frage. Die EU am besten noch dazu auf der Chipkarte !

Ja mir ist klar, dass Du derzeit nicht dieselben Geräte verwenden kannst für SMS-Tan um einen Auftrag zu erfassen und diesen dann mit der TAN freizugeben. Daher nannte ich ja Cross-Apps, die im übrigen bereits entwickelt werden und entwickelt sind ( Cloud Architektur , Systeme die Firmenmitarbeiter einsetzen lokal auf Desktop Systemen und auf Ihrem z.B. Blackberry Smartphone - die machen uns hier im Ausland ganz schön Kopfzerbrechen ).

Sorry, hatte es dann wohl falsch ausgedrückt ;)
croconmedia
 
Avatar
 
Betreff:

Re: SMS-TAN geknackt - was kommt als nächstes?

 ·  Gepostet: 12.08.2011 - 19:36 Uhr  ·  #10
Ich korrigier den Passus, ich sehe in der Tat ich habe "sicherste" geschrieben.

Mea Culpa.
Michael Döring
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 1495
Dabei seit: 07 / 2008
Betreff:

Re: SMS-TAN geknackt - was kommt als nächstes?

 ·  Gepostet: 12.08.2011 - 19:41 Uhr  ·  #11
OK, dann sind wir wieder beisammen.
Ich bin nach wie vor der Meinung, dass man in Deutschland bereits zuviel versaut hat. Es ist bereits viel zuviel "Verbraucherschutz" in eine falsche Richtung gegangen.

Die Nutzung des Internet ist generell ein Risiko. Um Risiken abzusichern gibt es Versicherungen. Warum müssen entsprechende Onlinebanking Schadenfälle die in diesem Risiko entstehen durch Banken beglichen werden? Ich muss den Vergleich immer wieder bemühen: Geht man bei einem Autounfall zum Autoverkäufer und bekommt den Schaden ersetzt? Nein.

Dass man kein 100 % sicheres System schaffen kann wird solange so bleiben, wie Menschen die Systeme erfinden, daran ändert niemand etwas.
Man kann also nur
a) auf den einzelnen Benutzer einwirken und
b) dafür sorgen, dass Angriffe möglichst wenige Benutzer erreichen.

Für a) wäre m.E. das Bildungssystem verbesserungswürdig und ist es auch nicht zuträglich, die Verantwortung an der verursachenden Stelle - dem Verbraucher - weg zu nehmen.
Für b) finde ich eigentlich die extrem heterogene Landschaft in Deutschland ganz gut. Zwar blicken nur noch wenige (insbesondere für Entwickler ärgerlich) durch die Landschaft durch aber auch Trojaner-Erfinder blicken entsprechend wenig durch und können deshalb auch immer nur einen verhältnismäßig "kleinen" Aktionsradius erreichen.

croconmedia, was schlägst du denn vor?
In den anderen Threads sehe ich ja schon, dass du irgendwo aus dem Fach sein musst.
croconmedia
 
Avatar
 
Betreff:

Re: SMS-TAN geknackt - was kommt als nächstes?

 ·  Gepostet: 12.08.2011 - 20:15 Uhr  ·  #12
Wie Du bereits erwähnt hast, es gibt kein 100% sicheres System und ich wage ebenfalls zu bezweifeln, dass wir dieses in naher Zukunft in irgendeinem IT Bereich sehen werden.

Ich stimme Dir zu, auf den Benutzer muss eingewirkt werden und auch Angriffe müssen schnell und wirksam bekämpft werden. Ganz klar. Aber gerade dieses "Einwirken" auf den Benutzer in der deutschen Landschaft ist richtig, richtig schwierig.

Da sind wir im Ausland etwas besser daran, da hier seitens der Arbeitgeber auf die Nutzer eingewirkt wird und diese nun einmal aufpassen müssen, was sie an Ihrem Arbeitsplatz mit ihren Rechnern machen. Das ist eine relativ gute Sache, auch wenn mancher Datenschutzbeauftragte in Deutschland eventuell darüber die Hände über den Kopf schlagen würde. Es hat aber zur Folge, dass diese Personen auch auf ihren privaten Systemen mehr Sorge walten lassen.

Bildungssytem .... grosses Thema ! Tja die Zeiten sind vorbei der Generationen aus den 70ern und 80ern die ihre Systeme noch selbst zusammengebaut haben und wissen wollten, was dieses neue Betriebssystem denn nun alles lädt und warum und was passiert wenn man das und dies macht.

Heute muss das SETUP durchlaufen, einschalten und geht. Warum und wie, ist egal. Die Informatiker die heutzutage teilweise aus der Universität kommen, die verzweifeln schon daran eine Windows Registry zu lesen. Da kenne ich manche Bankberater die über Wissen verfügen, das so manchen Netzwerkadministrator eines DAX Unternehmens dumm aus der Wäsche schauen lässt.

Ich persönlich finde, wenn natürlich auch nicht 100% sicher, zum Beispiel das Verfahren der Prüfsumme ganz nett, welches zum Beispiel u.a. von der Postfinance Schweiz benutzt wird. Die schicken Dir einen VASCO Generator zu, der anhand der Postfinance Smartkarte ( und dessen Chip ) eine Nummer generiert, die Du dann für die Onlinesitzung eingeben musst.

Ist das sogenannte Digipass System. Das ist aber auch für die Onlinesitzung gedacht, welches natürlich kein Offlinebanking erlaubt wobei man seine Aufträge dann, einmal erfasst, online über die Leitung sendet.

Die HSBC Bank hier in Panama zum Beispiel hat diverse Systeme im Einsatz, liegt aber auch einfach daran, dass das Klientel international ist. Hier wird ganz klar mit elektronischen Unterschriften gearbeitet, die auf Keykarten und speziellen USB Sticks liegen + Zugang aus generiertem Digipass nach Eingabe der Kartenpin.

Unter dem Strich kann man sagen, weil man es einfach gewohnt ist das "was wäre wenn" Denken zu benutzen: es gibt auch dann Angriffsflächen um diese Verfahren auszuhebeln und/oder zu unterwandern.

Ich weiss, dass VASCO vor ca. 3 Jahren einen Fingerprint Abtaster im Test hatte. Wenn man diesen mit einem temporär aus Welt-Uhrzeit und Datum errechneten Schlüssel versehen würde, denke ich, wir könnten einen sehr sicheren Hafen ansteuern, der natürlich mit einem tiefen Algo-Schlüssel versehen sein müsste.

100 % sicher gibt es nicht, ich will auch nicht schreiben "noch nicht", da nach 40 Jahren IT es bis dato nicht erreicht wurde und solange wir "Menschen" diese Systeme audenken und realisieren, werden diese 100 % vermutlich auch nicht erreicht werden, lasse mich aber zu gerne, insbesondere in diesem Aspekt, eines Besseren belehren ;)

In diesem Sinne TGIF ! Ein schönes Wochenende und nochmal Danke an Michael. Das war ein dicker Patzer mit dem "sichersten System" meinerseits :)
Michael Döring
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 1495
Dabei seit: 07 / 2008
Betreff:

Re: SMS-TAN geknackt - was kommt als nächstes?

 ·  Gepostet: 12.08.2011 - 20:45 Uhr  ·  #13
Zitat geschrieben von croconmedia
und solange wir "Menschen" diese Systeme audenken und realisieren, werden diese 100 % vermutlich auch nicht erreicht werden, lasse mich aber zu gerne, insbesondere in diesem Aspekt, eines Besseren belehren ;)

Das ist ebenso unwahrscheinlich wie die Exitenz Außerirdischer in für uns erreichbarer Entfernung. Denn wo sollte die Technik herkommen, wenn nicht von Menschen? :)
Und wenn wir diese nicht erreichen, auf uns werden die nicht zukommen. Denn so etwas selbstzerstörerisches wie uns Menschen braucht von da draußen sicherlich niemand :)
croconmedia
 
Avatar
 
Betreff:

Re: SMS-TAN geknackt - was kommt als nächstes?

 ·  Gepostet: 12.08.2011 - 20:46 Uhr  ·  #14
Das unterschreibe ich ;)
Rautka
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 181
Dabei seit: 09 / 2008
Betreff:

Re: SMS-TAN geknackt - was kommt als nächstes?

 ·  Gepostet: 12.08.2011 - 23:37 Uhr  ·  #15
Hallo Michael,

Zitat geschrieben von Michael Döring

Und falls du das nicht weißt: Derzeit blocken die Onlinebanking-Apps alle Transaktionen beim smsTAN Verfahren. Damit ist es derzeit rein theoretisch also nicht möglich, am selben Gerät einen Auftrag zu erfassen und die TAN zu empfangen.


so pauschal ist mir das neu. Meines Wissens lässt iOutbank gerade das ausdrücklich zu. Man hat im Handbuch zwar einen Passus, der auf das Risiko hinweist, aber danach wird das Verfahren beschrieben, welches es ermöglicht mit dem selben Gerät eine Überweisung zu tätigen und die sms mit der TAN zu empfangen. Zugegebenermaßen habe ich nicht ausprobiert, ob das wirklich geht ...

Wenn man die Bewertungen der Sparkassen-App auf dem iPhone liest, stellt man fest, dass viele nur deshalb negativ sind, weil diese App grundsätzlich keine mTAN bzw. smsTAN zulässt. Ich glaube kaum, dass alle diese Leute neben dem Smartphone ein weiteres Handy nur für den smsTAN-Empfang haben.

Und ob beim web-Banking alle Bankseiten in der Lage sind zu erkennen, dass sie von einem Smartphone aus aufgerufen werden, möchte ich eher bezweifeln.

Viele Grüße
Rautka
Michael Döring
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 1495
Dabei seit: 07 / 2008
Betreff:

Re: SMS-TAN geknackt - was kommt als nächstes?

 ·  Gepostet: 13.08.2011 - 06:38 Uhr  ·  #16
Zitat geschrieben von Rautka
so pauschal ist mir das neu. Meines Wissens lässt iOutbank gerade das ausdrücklich zu.

Daran sieht man wieder, wie unterschiedlich es läuft. Sogar die offensichtlichsten Verstöße gegen Bedingungen und Fahrlässigkeiten werden unterstützt. Kann man mal wieder nur hoffen, dass die Nutzer schlau genug sind, das nicht zu machen, sind wir wieder beim Bildungsthema ;)
Holger Fischer
Benutzer
Avatar
Geschlecht:
Herkunft: Korschenbroich
Alter: 53
Beiträge: 6167
Dabei seit: 02 / 2003
Betreff:

Re: SMS-TAN geknackt - was kommt als nächstes?

 ·  Gepostet: 13.08.2011 - 10:06 Uhr  ·  #17
Es ist das ewige Lied von der relativen Sicherheit. Crocomedia, hat mit der Aussage, dass die gute alte TAN Liste sicher ist sehr wohl recht!
Die TAN Liste als solches ist nie angegriffen worden. Wer angegriffen wird, ist der Anwender. Wenn jeder Anwneder ein sicheres System hätte und jeder Anwender seine TANs nicht in irgendwelche Webseiten eintasten würde, hätten wir heute noch die TAN Listen.

Aber der Anwender wird nun mal angegriffen, also versucht man Verfahren zu entwickeln, die verhindern, dass ein Anwender, der angegriffen wird, zu Schaden kommt.
Zur mobilen TAN auf den Smartphones:
Wie Rautka es schon geschrieben hat, kann man nicht generell sagen, dass diese Anwendungen die Nutzung der mobilen TAN nicht zulassen! Warum auch? Für die Anwendung und den Anwender ist das ein Komfortgewinn und die Vereinbahrung, dass die mobile TAN nicht auf dem selben Endgerät genutzt werden darf, trifft der Kunde mit seiner Bank, nicht der Softwarehersteller!
Klar ist, dass die Anwendungen die die Banken zur Verfügung stellen dies unterbinden -man würde sich sonst ja völlig unglaubwürdig machen!

Früher war es auch verboten, die TAN Listen in eienr Software zu hinterlegen, trotzdem haben fast alle Softwareprodukte diese Möglichkeit geboten.

@Rautka: Der Aufruf der Webseite von einem Smartphone aus und die Nutzung der mobilen TAN lässt sich ziemlich gut verhindern. Bei der Nutzung einer echten App, die HBCI\FinTS nutzt ist das hingegen nur schwer möglich.

Viele Grüße

Holger
Raimund Sichmann
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8176
Dabei seit: 08 / 2002
Betreff:

Re: SMS-TAN geknackt - was kommt als nächstes?

 ·  Gepostet: 13.08.2011 - 13:46 Uhr  ·  #18
In Details bin ich anderer Meinung.
Die TAN Liste lässt sich einfacher unbemerkt kopieren/fotografieren, was ich für einen wesentlichen Nachteil halte.
Das ist nicht nur bei TAN-Bögen ein Nachteil:
http://www.sjmp.de/security/sc…en-lassen/

Außerdem verführt die einfache Handhabung den Nutzer sogar dazu, die Bögen zu kopieren. Ich kenne leider viele Leute, die eine kopierte oder abgetippte Liste mit in Urlaub nehmen oder dem Buchhalter in die Hand drücken oder ähnliches.

Wenn wir übrigens schon böse Haarspalterei betreiben, was angegriffen wird: Der User wird nicht angegriffen - nur sein Konto :twisted:
Oder: Das Geld ist ja nicht weg - es ist nur woanders.:twisted:

Da wir diese bereits 1000fach belabert haben: Können wir uns wenigstens darauf einigen, dass ein Verfahren als unsicher einzustufen ist, wenn ein nach heutigem Stand normal intelligenter Internet-User mit zumutbaren Mitteln keine Chance hat, einen Betrugsversuch zu erkennen?

Es bleibt damit meiner Meinung nach nur die Diskussion über:
Was sind:
der heutige Stand?
ein normal intelligenter User?
zumutbare Mittel?

Gruß
Raimund
Michael Döring
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 1495
Dabei seit: 07 / 2008
Betreff:

Re: SMS-TAN geknackt - was kommt als nächstes?

 ·  Gepostet: 13.08.2011 - 14:13 Uhr  ·  #19
Raimund hat es m.E. wieder mal auf den treffenden Punkt gebracht. Volle Zustimmung oder full ack, wie man so schön sagt :)
Gewählte Zitate für Mehrfachzitierung:   0