2019 wird aus meiner Sicht sicherheitstechnisch ein potentieller Rückschritt

Probleme mit allen ab 209 angebotenen Verfahren

 
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 4
Dabei seit: 08 / 2018
Betreff:

2019 wird aus meiner Sicht sicherheitstechnisch ein potentieller Rückschritt

 · 
Gepostet: 21.08.2018 - 09:45 Uhr  ·  #1
Hallo,
da in 2019 mehrere von mir benutzte Banken das Pin/Tan Verfahren abschaffen, muss ich neue Verfahren anwenden.
Ich möche mal darlegen, welches Verfahren ich gerne hätte und warum und dann fragen warum es das nicht gibt.


Am liebsten wäre mir ein HBCI/FinTS basierendes Verfahren durch die jeweilige Bank, dass Online im Browser oder mittels App startbar ist und eine "Bank-ausgestellte" Karte voraussetzt und einen zB Reiner RCT Leser. Dazu eine herkömmliche Pin-/Tan-Liste.

Warum!
Wenn man heute zB in Urlaub fährt und dort mittels Photo-Tan oder SMS-Tan Verfahren arbeiten will reicht jedem "Betrüger" die Pin um beim Zugriff auf Rechner und Handy Buchungen vorzunehmen, da zB die "Phototan" Geräte der Großen Banken PIN frei sind.
Vielleicht nehmen ja andere ihren Rechner und ihr Handy an den Strand oder sonstwo mit, ich finde ein "leider unsicherer Hotelzimmersafe" ist die bessere Wahl. Jedes Mal die Geräte bei der Rezeption abgeben ist illusorisch.
Das von mir oben beschriebene Verfahren (Reiner Chipkartenleser + Pin/Tan), dass manche Banken noch bis Ende des Jahres anbieten, verwendet, ist n.m.E. viel sicherer.
1. die visuelle Kontrolle, ob die Betrag und Empfänger stimmen passiert auf einem gesicherten Gerät, dass deutlich weniger angreifbar ist, als eine App auf einem Handy.
2. Die Tanliste kann ich hochverschlüsselt in einem KeyFault ablegen oder hochverschlüsselt mitnehmen, damit für "Diebe" weitestgehend unzugreifbar.
3. Einziger Nachteil ich muss das zusätzliche Gerät mitnehmen.
Die Banken bieten unisono als Alternative an, man könne FinTS/HBIC mittels Softwarelösung nutzen. Aber eigentlich erhöhe ich damit mein persönliches Risiko und die Bank zieht sich zurück.
Wer garantiert mir, dass Star Money oder BluePort(Banking+) oder ... nicht backdoors haben? Oder diese via "Updates" einschleusbar sind , oder sonstwie?

Rabobank bietet wenigstens ein Pin gesicherten TAN Generator an, dafür ohne Karte. Alles irgendwie suboptimal.

Was meint ihr ? Ich hasse den Gedanken mich auf Jahre auf diese aus meiner, vielleicht etwas paranoiden Sicht unsicheren neuen Verfahren einlassen zu müssen.

P.S. Vielleicht sollte ich ergänzen ich nutze seit zig Jahren Online-Banking und war auch im Software-Bereich lange tätig und verantwortlich
Benutzer
Avatar
Geschlecht:
Herkunft: Kurpfalz
Beiträge: 192
Dabei seit: 10 / 2006
Betreff:

Re: 2019 wird aus meiner Sicht sicherheitstechnisch ein potentieller Rückschritt

 · 
Gepostet: 21.08.2018 - 10:07 Uhr  ·  #2
Eine ordentlich gesicherte Bildschirmsperre am Handy schützt schonmal ein ganzes Stück zusätzlich gegen unautorisiertes Verwenden ;)
Benutzer
Avatar
Geschlecht:
Beiträge: 4540
Dabei seit: 06 / 2008
Betreff:

Re: 2019 wird aus meiner Sicht sicherheitstechnisch ein potentieller Rückschritt

 · 
Gepostet: 21.08.2018 - 10:18 Uhr  ·  #3
Die Thematik wurde doch schon x-mal angesprochen.
(grob die Punkte aber nochmals aufgeführt)

a.) (Kunden) Haftung: die liegt aktuell bei 50 Euro - Forensuche

b.) Software/App ist sicherer wie jeder Browser
c.) die Software/App ist über Passwort geschützt
d.) die Autorisierung per TAN ist von den Banken als sicher eingestuft
d1.) TAN-Generator gelten als sicher, sowohl mit USB-Anbindung als auch standalone (wobei alles auf Daten-Anzeige am Gerät umgestellt wird)
d2.) pushTAN funktioniert auf gerootet Geräten nicht (somit lt. Bank ausreichend abgesichert)

e.) papiergebundene/telefonische Aufträge sind viel unsicherer, da in 99% diese Funktion vom Kunden nicht gesperrt wurde.
e2.) der größte Unsicherheitsfaktor ist und bleibt der Mensch
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 4
Dabei seit: 08 / 2018
Betreff:

Re: 2019 wird aus meiner Sicht sicherheitstechnisch ein potentieller Rückschritt

 · 
Gepostet: 21.08.2018 - 10:47 Uhr  ·  #4
@infoman

Vielen Dank für deine Anmerkungen:

Trotzdem erlaube ich mir in einigen Punkten zu widersprechen:

a - unabhängig davon ob mein "Risiko" pro Transaktion "vielleicht" auf 50€ beschränkt bleibt, ich will gar in die Situation kommen größere Beträge mir "zurückholen" zu müssen

b - Sicherheit der Apps - ich denke jeder aus der Branche wird zustimmen, dass Browser extrem häufig geprüfte und geupdatete Softwareprodukte sind. Viel intensiver genutzt und geprüft als "SW" von Sparkassen/VoBa/etc. . Darüber hinaus dürfte die Möglichkeit an derartigen Produkten unentdeckte Modifikationen durch zB Viren-SW viel höher sein, da die Update Frequenz viel niedriger ist.

c - Gesichert durch PW ... wie man am Beispiel Phototan-Lesegerät der zB Deutschen Bank sieht stimmt das keinesfalls immer.

d - "die Autorisierung per TAN ist von den Banken als sicher eingestuft" ... die Banken stufen immer alles was sie anbieten als sicher ein, wäre ja sonst auch ein Witz

d1 - ohne die Anzeige der Transaktionsdaten wäre es ja auch gar nicht sinnvoll bzw Fortschritt

d2 - welches Maß an "Sicherheit" der Fakt das es sich um ein nicht gerootetes Handy handelt gibt, ist doch extremst fragwürdig

e - Papier kann man herrlich scannen und verschlüsseln oder in einen Tresor legen , wenn das 99% nicht tun, dann ist dass das Problem der 99% und nicht der 1%

e2 - Natürlich ist die schlechte PW Wahl, der laxe Umgang mit Bestimmungen und Konventionen etc Menschenbedingt. Wer liest sich schon die Zertifikatsinformation seiner Bank und vergleicht die mit den Angaben im Browser seiner https Verbindung an - mach ich auch nur am Anfang ein zwei mal und dann vertrau ich der "Schloß" Anzeige , ausser mir fällt was auf ;-)

Was mich aber eigentlich interessierte - warum sollte der von mir vorgeschlagene und von manchen Banken angebotene bei korrekter Anwendung nicht sicherer sein?

Und wie beurteilt ihr die "Problematik" zusätzlicher Risikofaktor "Anwendungssoftware" zB StarMoney

P.S. Warum ich Hardware wie Reiner so mag - (obwohl ich sie aktuell nicht einsetze!) - Hardwareleute haben viel komplexere Update Mechanismen und gehen deshalb nach meiner Erfahrung viel sorgsamer bei Implementierungen vor
Benutzer
Avatar
Geschlecht:
Herkunft: NRW
Beiträge: 860
Dabei seit: 11 / 2012
Betreff:

Re: 2019 wird aus meiner Sicht sicherheitstechnisch ein potentieller Rückschritt

 · 
Gepostet: 21.08.2018 - 10:59 Uhr  ·  #5
Für mich ist die Verwendung einer Anwendungssoftware mit HBCI/FinTS wie z.B. Moneyplex sicherer als jede Browserlösung. Denn die Kommunikation über HBCI/FinTS ist abgesichert.
Benutzer
Avatar
Geschlecht:
Beiträge: 4540
Dabei seit: 06 / 2008
Betreff:

Re: 2019 wird aus meiner Sicht sicherheitstechnisch ein potentieller Rückschritt

 · 
Gepostet: 21.08.2018 - 11:29 Uhr  ·  #6
Zitat geschrieben von tillmann
Trotzdem erlaube ich mir in einigen Punkten zu widersprechen:

gerne wenn sie fundiert wären
frag mich aber, ob dieser Thread nur zum Zeitvertreib hier eingestellt wurde

Zitat
b - Sicherheit der Apps - ich denke

da denkst du falsch, denn die Hersteller setzen auf unterschiedliche Sicherheitssystem auf, das hier aufzuführen, würde aber den Rahmen sprengen. (Zertifikate müssen teilweise hinterlegt sein / Starmoney setzt bspw. ergänzend auf Promon)

Zitat
c - Gesichert durch PW

in der Regel ist das Smartphone über PW gesichert, dann die Software/App
das Phototan-Lesegerät ist bspw. als separate Hardware bereits sicher und zudem gekoppelt.

Zitat
e - Papier kann man

es geht hier um Überweisung bspw. per Überweisungsträger (nochmals papiergebundener Auftrag), das ist kein Problem, denn die Unterschrift wird kaum/garnicht geprüft, zumal sie sich ja regelmäßig ändert (ist ja kein Stempel)

Zitat
Und wie beurteilt ihr die "Problematik" zusätzlicher Risikofaktor "Anwendungssoftware" zB StarMoney

dies ist ebenso wie die andere Software sicherer, als ein komprimierter Rechner

Zitat
P.S. Warum ich Hardware wie Reiner so mag

die haben bisher auch nur das hergestellt, was von den banken verlangt wird.
bspw. das bisherige HBCI-Karten verfahren, erst durch ein Upgrade https://www.reiner-sct.com/upgrade sind die Leser nun tauglich die Daten im Display anzuzeigen (Ausnahme gibt es)
msa
Benutzer
Avatar
Geschlecht:
Herkunft: München
Alter: 57
Beiträge: 4961
Dabei seit: 03 / 2007
Betreff:

Re: 2019 wird aus meiner Sicht sicherheitstechnisch ein potentieller Rückschritt

 · 
Gepostet: 21.08.2018 - 11:43 Uhr  ·  #7
Es geht schon damit los, dass Du schreibst, "das Pin/Tan-Verfahren wird abgeschafft". Das ist - gelinde gesagt - völliger Blödsinn. Es werden lediglich völlig veraltete und durch und durch unsichere TAN-Typen abgeschafft.

Zu b) Die Aussage ist für mich barer Unfug. Die Updatefrequenz bei Browsern ist sehr hoch - sehr viel höher als die der meisten Bankprogramme. Für Hacker ist eine Manipulation eines Browsers sehr viel interessanter, als die eines Bankprogramms. Ganz einfach dessen, weil man den manipulierten Browser auf der ganzen Welt für alles und jedes einsetzen kann. Von Banking-Softwaren gibt es eine große Anzahl verschiedener mit einem jeweils überschaubaren Nutzerkreis. Wieso sollte man sich als Hacker die Mühe machen, für so wenig Durchdringung eine Software zu hacken? Bestimmt nicht. Zeigt sich auch daran, dass es schon viele viele Angriffe (erfolgreich) auf Browserbanking gegeben hat aber noch nie einen (weder erfolgreich noch versucht) auf Bankingsoftware.

zu c) Bei der Photo-TAN-App der Commerzbank und comdirekt und auch die der 1822direkt kann auf Wunsch mit einer PIN- oder FIngerprint-Zugangssperre eingeschaltet werden.

zu d) Die Banken stufen etwas so lange als sicher ein, wie das Kosten-Nutzen-Verhältnis stimmt. Ist auch logisch so. Wieso sollten sie mehr Geld in eine Sicherheit investieren, die heute "noch nicht nötig" ist? Es wird nirgends mehr Geld investiert, als zum Funktionieren eines Systems nötig ist. Solange es billiger ist, ein paar Schäden zu regulieren, als riesen Beträge in irgendwelche Sicherheitsveränderungen zu stecken, ist das durchaus OK. Zumal man heute nicht weiß, ob die vorauseilende vermeintliche Erhöhung der Sicherheit dann, wenn sie irgendwann gebraucht wird, so noch funktioniert und nutzbar ist, oder ob man zu einer Zeit, als man es nicht gebraucht hat, etwas entwickelt hat, was dann, als man es braucht, nicht mehr tauglich ist.

zu d2) Um sich nicht auf die "Trennung der Kanäle in iOS bzw. Android" verlassen zu müssen, sollte man halt nicht den TAN-Empfang auf dem selben Gerät durchführen, auf dem man den Auftrag abwickelt - egal ob SoftwareBanking oder Browserbanking oder gar AppBanking. Bei div. Konstellationen (smsTAN) ist dies ja auch ausdrücklich verboten. Bei anderen ist es zwar erlaubt (klar, sonst könnte man als Bank das von vielen Kunden gewünschte AppBanking nicht sinnvoll unterstützen), wenn man aber Bedenken mit der Sicherheit hat, sollte man es halt bleiben lassen. Sicherheit unter dem Aspekt von zwei verschiedenen Geräten: Maximal. Es ist noch nie irgend ein Versuch oder gar Problem aufgetaucht, wenn man die Kanaltrennung einfach durch zwei Geräte durchführt.

zu e) Das ist ja nun wirklich der am wenigsten von DIr hinterfragte und durchdachte Ansatz. Wenn Du eine TAN-Liste scannst, dann kannst Du sie gleich ins Schaufenster hängen. Bei dem Vorgang sind Geräte, Treiber, Scansoftware usw. in unüberschaubaren Mengen und Konstellationen beteiligt, von denen Du keine Ahnung hast, wie "brav" und sicher sie sind. Mindestens beim Scannen werden irgendwelche Temporärdateien irgendwo hin geschrieben und im schlimmsten Fall bei Fehlern nicht wieder gelöscht. Dann hast Du eine Grafikdatei. Die wird nun verschlüsselt. Hier gilt das Gleiche. Du weißt nicht, wie zuverlässig sowohl im Betrieb als auch von der Programmierung her das Verschlüsselungsprogramm ist. Und jedes Mal wenn Du das wieder entschlüsselst, steht wieder die entschlüsselte TAN-Liste im Speicher und im Grafikspeicher und kann da abgegriffen werden. Und selbst wenn das nicht passiert, kannst Du bei einer Listen-TAN niemals wissen, für welche Auftrag Du die TAN eingibst - da nicht verifiziert werden kann, welche Auftragsdaten beim Bankrechner angekommen sind und nun freigegeben werden. An Sicherheit des Konstrukts mit einer verschlüsselt gespeicherten gescannten TAN-Liste kann nur jmd glauben, der sich nur an der obersten Oberfläche damit beschäftigt hat.

Bei Bankzugängen gibt es ja vielfach nicht die Möglichkeit eines komplizierten ewig langen mit weißgott was für Zeichen versehenen Passworts - bei großen Häusern gibt es teils nur eine 5stellige rein numerische PIN. Jetzt kann man sofort das Schreien anfangen OGOTT WIE UNSICHER. Auch das wäre wieder reiner Unfug. Beim Kontozugriff ist ein komplexes Passwort (wie z.B. bei unserem verschlüsselten Scan) einfach nicht notwendig und auch nicht sinnvoll. Je länger und komplexer die PIN ist, um so eher wird der Kunde sie irgendwo abspeichern oder notieren - im klassischen Fall mit dem Haftie an Bildschirmrand oder auf dem Zettel unter der Schreibtischunterlage. Das will man natürlich nicht. Also sollte sie einfach und merkbar sein. Bei der 5stellig numerischen PIN hat man 100.000 Variationsmöglichkeiten - und genau DREI Versuche, sie einzugeben. Das ist absolut genug sicher. Beim Entschlüsseln Deines Scans braucht der Angreifer nur Deine Datei kopieren und kann dann in Ruhe alle möglichen Passwörter durchprobieren (lassen), bis er Erfolg hat. Das geht beim Bankrechner mit der PIN eben nicht. Nach dem dritten Mal ist Feierabend und der Zugang gesperrt.

Das von Dir vorgeschlagene Verfahren ist jedem "normalen" Kunden zu kompliziert und würde sicher nie Akzeptanz finden und würde, weil die meisten nicht damit zurecht kommen, riesen Support-Hotlines benötigen und trotzdem zu Kundenärger führen. Bevor sich Banken riesen Support und nochdazu verärgerte Kunden ans Bein binden, zahlen Sie lieber sehr viel geringere Summen zur Regulierung von eventuellen Schäden. Absolut logisch und OK. Sobald die Schäden zu hoch werden, wird dann was geändert. Auch OK.

Zu guter Letzt:

Listen-TANs sind von vorneherein unsicher, weil Du nicht wissen kannst, was Du da freigibst. Stichwort Man-in-the-Middle-Attack. Vergiß es.

Bankingsoftware ist - zumindestens bis heute - noch nie angegriffen worden, geschweige denn gab es hier Vorkommnisse. Einen Browser anzugreifen, den die halbe Welt nutzt ist sehr viel lukrativer als eine Banking-Software anzugreifen, die ein paar Tausend Kunden nutzen. Im Übrigen: Du musst immer darauf vertrauen, dass Dein IT-Gerät samt Betriebssystem und Software "gut" ist. Überprüfen kannst Du das heutzutage nicht mehr. Kein Mensch kann in die Tiefen von z.B. Windows schauen. Bei Linux wäre der Einblick zumindestens theoretisch möglich - praktisch auch nicht mehr wirklich durch closed Drivers usw. Und auch unter Linux hat man schon erlebt, dass üble Fehler über Jahrzehnte von niemandem gefunden wurden...

Eine Lösung, wie Du sie gerne hättest, gibt es im Übrigen. Bzw. zwei davon. Das erste ist das chipTAN-Verfahren. Im Einfachsten Fall mit einer GiroCard und einem TAN-Gernerator und Übertragung durch Flackergrafik. TAN kann nur erzeugt werden, wenn der Zugang zum Konto mit einer PIN erfolgt ist und die Karte vorliegt und im Leser steckt. In Österreich muß man noch eine Karten-PIN am Leser zusätzlich eingeben - das haben die Banken hierzulande nicht umgesetzt - meineserachtens richtig, weil es sonst wieder zu kompliziert und umständlich wird. Der Leser bekommt nach Absenden des Auftrags verschlüsselt die Auftragsdaten per Blinkcode übertragen, zeigt die beim Bankrechner angekommenen Eckdaten an und generiert eine TAN, die nur zu diesen Auftragsdaten paßt. Das System ist derzeit zumindest überall als unangreifbar anerkannt. Inzwischen wurde das weiterentwickelt zu chipTAN usb. Dabei fällt das Geblinke weg und es wird ein per usb angeschlossener Leser (für REINER Leser gibt's entsprechende Firmwareupdates) verwendet, der die Daten über usb bekommt und die TAN auf Knopfdruck per usb an den Rechner sendet. Das müßte doch ein Verfahren sein, wie es Dir vorschwebt?

Weiterhin arbeitet prinzipiell PhotoTAN der Commerzbank und comdirekt und 1822direktso, wie Du es gerne hättest (mit einer weiteren extra App-PIN).

Es gibt also durchaus Möglichkeiten. Aber man muß halt zu dem Anbieter gehen, der das anbietet, wenn man es unbedingt haben will. Du wirst nie eine Bank dazu bringen, etwas zu ändern, weil Du als Kunde es möchtest. Als Kunde kannst Du lediglich aus den angeboteten Möglichkeiten auswählen. Und das bedeutet dann eben Wechsel des Anbieters. Und was die DeuBa-Gruppe betrifft: Wer es sich leisten kann, dass sein HBCI-Rechner über 24 Stunden komplett die Beine breit macht, tut mir leid. Dass Die DeuBa-EDV miserabel ist, wurde ja schon von Vorständen und Vorstandsvorsitzenden öffentlich thematisiert, aber dass es so schlimm ist, ist wieder ein neues Highlight.
msa
Benutzer
Avatar
Geschlecht:
Herkunft: München
Alter: 57
Beiträge: 4961
Dabei seit: 03 / 2007
Betreff:

Re: 2019 wird aus meiner Sicht sicherheitstechnisch ein potentieller Rückschritt

 · 
Gepostet: 21.08.2018 - 11:45 Uhr  ·  #8
Zitat geschrieben von Kalle2012

Für mich ist die Verwendung einer Anwendungssoftware mit HBCI/FinTS wie z.B. Moneyplex sicherer als jede Browserlösung. Denn die Kommunikation über HBCI/FinTS ist abgesichert.
Ähm, das impliziert, dass die Kommunikation über https nicht abgesichert ist?! Das ist ja wohl nicht der Fall. Einzig dass die Zielgruppe eines Angriffs auf eine Softwarelösung sehr viel kleiner ist, als die für Browserbanking, macht den Angriff auf Softwares völlig uninteressant. Und wenn Du irgendwas auf Deinem Rechner sitzen hast, dann ist die Verschlüsselung der Kommunikation sowohl beim Browser als auch bei der Software sinnlos, denn es wird mitgelesen/gesendet, bevor ver- bzw. nachdem entschlüsselt wurde.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 4
Dabei seit: 08 / 2018
Betreff:

Re: 2019 wird aus meiner Sicht sicherheitstechnisch ein potentieller Rückschritt

 · 
Gepostet: 21.08.2018 - 14:01 Uhr  ·  #9
Ich bedanke mich für den Input.

Dass man seinen PC absichern muss - logo.
Dass man sein Handy absichern muss - logo.

Aber wie man weiß - gerade diese "Absicherungen" sind gut bekannte Angriffspunkte.

Was das Thema Papiertanlisten betrifft, finde ich, dass die Aussage "Man-in-the-middle"-Attack nicht greift wenn man via Reiner RCT aktueller Stand arbeitet - was mein Ansatz wäre.

Ich meinte mit Pin/Tan Verfahren das PapierlistenTan Verfahren. Die Argumente bzgl. des Scannen bzw Ver-/Entschlüsselungsausspähen kann ich nachvollziehen, aber, wenn man ernsthaft meint, dass könnte ein Problem sein, dann gäbe es noch ganz andere Stellen, wo man Risiken sehen muss und man kann sie auch lösen.

Das ChipTan Verfahren mit Karte nutze ich heute schon mit einer Bank, aber wenn man an mein Beispiel "Hotelsafe" denkt dann liegt dort u.a. die Karte und der Tangenerator und damit ist dieser Teil der 2FA offen wie ein Scheunentor (zumindest bei in D angebotenen Lösungen).
Ähnlich verhält es sich mit dem Phototan-Lesegerät dass zB die DeuBa anbietet, klar ist es eingerichtet für eine oder mehrere Kontenverbindungen, aber an das Hotelthema denkend, da nützt mir dann der Ansatz zumindest bezogen auf das was es an zus Sicherheit bringen soll, auch nichts.

Insgesamt stelle ich fest, dass dem Aspekt, dass in der FinTS/HBCI nutzenden Software( Starmoney, Fiducia o.ä. ) bewusst durch einen Entwickler oder unbewusst durch Angreifer Fehler/Backdoors/... sein könnten, bisher als nicht gegeben angesehen wurde. Ich nehm das mal als Ansicht zur Kenntnis, halte das aber für konzeptionell unvorsichtig.

Was die Papierüberweisungen betrifft sind wir uns eh wohl alle einig. Ähnlich hoffe ich bzgl. der "Unsicherheit" beim Telefonbanking.
msa
Benutzer
Avatar
Geschlecht:
Herkunft: München
Alter: 57
Beiträge: 4961
Dabei seit: 03 / 2007
Betreff:

Re: 2019 wird aus meiner Sicht sicherheitstechnisch ein potentieller Rückschritt

 · 
Gepostet: 21.08.2018 - 14:29 Uhr  ·  #10
Zitat geschrieben von tillmann
Was das Thema Papiertanlisten betrifft, finde ich, dass die Aussage "Man-in-the-middle"-Attack nicht greift wenn man via Reiner RCT aktueller Stand arbeitet - was mein Ansatz wäre.

Ich verstehe nicht, was hat die Papier-TAN-Liste mit einem Chipkartenleser von REINER zu tun? Das sind zwei verschiedene Verfahren vermischt!? Ist das so gemeint, dass Du die eigentliche Freigabe mit einer Listen-TAN vornehmen willst, nachdem die Auftragsdaten an einem extra Leser mit Karte "sicher" angezeigt wurden? Sicher ist das möglich, aber das wird es garantiert niemals geben, da bin ich mir sicher. Erstens weil das für die meisten Leute viel zu kompliziert ist und zweitens, weil die Banken ja AUCH mit Begeisterung von den TAN-Listen weggegangen sind, weil sie dann den zusätzlichen Verwaltungs- und Versandaufwand sparen. Somit kannst Du das getrost vergessen.

In meinen Augen gibt es (derzeit) zwei sichere Verfahren. Einmal chipTAN (per Flacker oder per usb-Leser). Hier liegt die sicherheit im BESITZ der zugehörigen Karte und im WISSEN der Konto-PIN. Eine weitere PIN auf die Karte ist möglich, aber nicht gewollt und in Deutschland nicht umgesetzt. Wenn Du das unbedingt willst, kannst Du - der wunderbaren EU sei Dank - ein Konto in Österreich aufmachen, da bekommst Du genau das. Allerdings gibt es in Österreich - gerade für Privatkunden - nur Browserbanking. Eine einheitliche Softwareschnittstelle ist außer in Deutschland nirgends gebräuchlich. Und hierzulange.... schauen wir mal, wie lange noch....

Dein Hotelsafe-Beispiel ist nun nicht der "generelle Einsatzfall" - für den sind aber die Verfahren konzipiert. Nur weil in wenigen Fällen sowas vorkommt, wird das nicht generell umgesetzt. Die Sicherheit ist schön wirtschaftlich austariert - und das wird sich garantiert nicht ändern. Papierlisten wird es nie mehr wieder geben und zusätzliche PIN-Abfragen b.a.W. auch nicht - vielleicht irgendwann mal, wenn es unbedingt nötig ist. Und das ist es derzeit nicht. Und zu kompliziert. Der normale Kunde müßte in dem Fall mit zwei PINs für die Girokarte operieren - einmal die Geldautomaten PIN und einmal die chipTAN PIN. Ein viel zu großer Teil der Kunden wird erfahrungsgemäß damit nicht zurecht kommen - und riesigen Supportaufwand generieren. Mit Kartentausch und allen Schikanen. Darauf wird sich keine Bank einlassen...

Was die photoTAN betrifft: Du kannst ja eine Bank wählen, die die photoTAN-App mit einer zusätzlichen PIN sichern läßt (wie ich geschrieben habe) und dann eine App auf einem Smartphone und nicht das Hardware-Lesegerät nutzen. Dann hast Du auch wieder die mehrfache Sicherung.

Was anderes wirst Du nicht bekommen. Da gilt einfach "friß was da ist oder stirb".

Zumal die Tendenz sowieso genau in die entgegengesetzte Richtung geht. Alle möglichen Vorfälle, für die man gestern noch eine TAN brauchte, sind heute nicht mehr TAN-pflichtig. Änderung von Vorlagen z.B. oder Umbuchungen innerhalb des Kundenstamms. Und bei der "Contactless"-Funktion von Zahlungskarten (GiroCard, Mastercard, VISA) sind bei allen Banken Beträge bis 25 EUR ohne PIN-Eingabe vorgesehen - nur durch Hinhalten der Karte. Einzelne Banken - z.B. die DKB - gehen weiter. Da ist die PIN-Eingabe schon nur noch bei Beträgen > 50 EUR nötig. In Deinem Hotelsafebeispiel dürftest Du auch deswegen die GiroCard nicht liegen lassen, weil man sie contactless ohne PIN auch verwenden kann...

Alles in allem - das was Dir vorschwebt ist ein krampfhaftes Festhalten an Deiner gewohnten Papierliste, das insgesamt keine wirklichen Vorteile aber erhebliche Nachteile bringen würde. Und die Reise insgesamt geht genau umgekehrt in die andere Richtun "leichter - einfacher - weniger Einschränkungen". Alles gedeckt von niedrigen Haftungsgrenzen (auch bei contactless) für den Verbraucher. Deshalb ist das auch in letzter Konsequenz OK.

Insofern leider nochmal - friß oder stirb. Was anderes bleibt Dir nicht übrig. Banken arbeiten wirtschaftlich und werden garantiert keine Sonderlösungen für Nieschen einführen.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 4
Dabei seit: 08 / 2018
Betreff:

Re: 2019 wird aus meiner Sicht sicherheitstechnisch ein potentieller Rückschritt

 · 
Gepostet: 21.08.2018 - 14:54 Uhr  ·  #11
@msa: Ist das so gemeint, dass Du die eigentliche Freigabe mit einer Listen-TAN vornehmen willst, nachdem die Auftragsdaten an einem extra Leser mit Karte "sicher" angezeigt wurden? Ja genau - und so was gibt es heute auch schon! Aber ab 2019 nicht mehr.

Die Wahl einer oder vieler Bankenverbindungen(wie in meinem Fall) geschieht nicht primär nach "Online-Banking" Aspekten.

Insofern muß man/ich immer mit den Gegebenheiten der jeweiligen Banken umgehen.

Ich finde es halt bedauerlich, dass dieses FinTS/Chipkarten +Pin +Tanlisten Verfahren, dass es zB aktuell bei der DeuBa gibt, zukünftig nicht mehr gibt. Ein Verfahren dass aus meiner sehr persönlichen (offensichtlich zB von dir nicht geteilten) Sicht die Summe meiner "Anforderungen" z Zt am optimalsten Erfüllen würde. Aber klar, ich kann es mir nicht backen ;-) .

Was das Thema von "Pin"-Losem Zahlen betrifft ist das in Nordeuropa seit längerem Normalität. Da dort n.m.E. Betrags- und "Tagesgrenzen" definiert werden können bzw sind, ist das Verlustrisiko diesbezüglich wesentlich überschaubarer.
Wobei wir konsternieren müssen, die zus. Konfigurationsmöglichkeiten bei nordischen Banken gehen weit über das hinaus was in D geboten wird - zB automatische zus. Überweisungsauslösung in Abhängigkeit der Betragshöhe auf ein Unterkonto nach einer Barzahlung via Karte.

Für mich stellt sich halt die Frage, ob ich bankenindividuell je nach Angebot eines derer Standard-Online-Banking Angebote nutze oder ob ich doch zu einer der Softwarelösungen und dann via FinTS buche, was bei der Mehrzahl möglich sein sollte. Einen Tod muss man sterben ;-)
msa
Benutzer
Avatar
Geschlecht:
Herkunft: München
Alter: 57
Beiträge: 4961
Dabei seit: 03 / 2007
Betreff:

Re: 2019 wird aus meiner Sicht sicherheitstechnisch ein potentieller Rückschritt

 · 
Gepostet: 21.08.2018 - 15:47 Uhr  ·  #12
Wo gibt es ein "FinTS/Chipkarten +Pin +Tanlisten Verfahren"??? Das würde mich jetzt echt interessieren.

Und es gibt zunehmend mehr Banken, die sich FinTS sparen. Weil es erstens Geld kostet und sie zweitens die Kunden auf die WebSite bzw. in die App zwingen wollen, um sie besser zu Abschlüssel animieren zu können. Also für WERBUNG zum VERKAUFEN.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 7696
Dabei seit: 08 / 2002
Betreff:

Re: 2019 wird aus meiner Sicht sicherheitstechnisch ein potentieller Rückschritt

 · 
Gepostet: 22.08.2018 - 08:38 Uhr  ·  #13
Ich versteh in Diskussion das Hotelsafe-Beispiel überhaupt nicht, Tillmann.
Wenn dort die TAN-Karte oder der TAN-Leser liegt, warum liegt denn dort nicht nicht die TAN-Liste? Die man dann leider sogar unbemerkt kopieren könnte, was mit einer Chipkarte ja nun nicht geht.
msa
Benutzer
Avatar
Geschlecht:
Herkunft: München
Alter: 57
Beiträge: 4961
Dabei seit: 03 / 2007
Betreff:

Re: 2019 wird aus meiner Sicht sicherheitstechnisch ein potentieller Rückschritt

 · 
Gepostet: 22.08.2018 - 13:55 Uhr  ·  #14
Weil er die gescannt und verschlüsselt abgespeichert hat.... in seiner Vorstellung ist das völlig sicher.
Gewählte Zitate für Mehrfachzitierung:   0