Mehrfach SMS/mobileTAN von Postbank erhalten

Hallo zusammen,

ich habe gestern online bei der Postbank Geld von privaten Konto auf's Geschäftskonto überwiesen. So weit alles gut.

Kurze Zeit später erhalte ich zwei weitere SMS für die gleiche Transaktion, jedoch mit unterschiedlichen TANs. Und eine SMS „zur Freigabe Ihres Logins“.

Daraufhin rief ich bei der Postbank an, schilderte den Vorfall und ließ das Onlinebank vorsorglich sperren.

Heute erhielt ich einen Rückruf. Laut des Mitarbeiters wurden diese drei SMS weder verschickt, noch die genannten TANs verwendet. Daher wurde dann der Fehler bei mir gesucht ...

Hat jemand eine Idee, was das sein kann? Fishing per Mail kann ich ausschließen. Cookies werden nur bei Bedarf aktiviert und direkt wieder gelöscht. Betriebssystem und Browser sind aktuell. Ich kann mit aber nicht vorstellen, dass das an mir lag, zumal das ja auch keinen Impact hatte.

Dank und Gruß
Hans

Die Postbank hatte am 9.12.2019 die 90-Tage-Regel der starken Kundenauthentifizierung (PSD2) bei Finanzprogrammen (FinTS) angewandt. Daher erschien die SMS „zur Freigabe Ihres Logins“.

Keine Ahnung warum nochmals eine weitere mobileTAN erschien. Möglicherweise war sie für die Freigabe der Transaktion gedacht. Eigentlich gibt es mobleTAN nur noch für Geschäftskunden?

mfg Volker

Schlimm dran? Erstens mal, dass die Postbank für alle PRIVATkunden die SMS-TAN BEEDET hat. Somit muss Dein Konto also wohl ein Geschäftskoto sein. Wie lange da noch SMS-TAN unterstützt werden, weiß niemand.

Und zu den SMS selbst: Das Problem ist, dass weder die Bank noch der Kunde die Sicherheit garantieren kann, bei haben nichts damit zu tun - ausschließlich der Mobilfunknetzbetreiber. Und für den Sind SMS keine Sicherheitsrelevanten Geschichten. SMS ist ein Abfallprodukt des GSM-Standards zu beginn der D-Netze. Die ersten Handys konnten überhaupt keine SMS. Diese waren im Protokoll nur als kostenlose Dreingabe, für die ein paar Bytes benötigt wurden, vorgesehen. Dementsprechend ist auch überhaupt nichts für eine gesicherte Übertragung vorgesehen. Nachdem es als kostenlose Dreingabe vorgesehen war, ist noch nicht mal eine erfolgreiche Zustellung wirklich garantiert.

Dann gibt es noch weitere Probleme. Dass SMS schon im Inland abgefangen wurden, nachdem sich Schurken einfach eine Ersatzsimkarte zu dem Mobilfunkanschluß beschafft haben, ist ein alter Hut. Dass diese nicht mehreinfach im Shop ohne Identitätsprüfung ansgehändigt werden, mag inzwischen sichergestellt sein. Dass nicht irgend ein Kooperationspartner doch wieder Mist baut kann nie sichergestellt werden. Außerdem hat beim Entwurf niemand gedacht, dass irgendwann Hinz und Kunz Mobilfunknetze betreiben würden. Man ist davon ausgegangen, dass dies nur Staaten oder staatlich kontrollierte Firmen tun. Deshalb ist im Bereich des Roamings sehr wenig bis keine Sicherheit eigebaut. Im Prinzip kann jedes Netz der Welt dem deutschen Netzbetrieiber signalisieren "Teilnehmer xy roamt gerade in meinem Netz, alles für diesen Teilnehmer zu mir". Dann gehen Anrufe und auch SMS zu diesem Netzbetreiber. Es ist bekannt, dass es Netze in der Welt gibt, wo Schurken die Finger drin haben. Die lassen also dann einfach Deinen Anschluss dort roamen und schon bekommen sie Deine SMS mit der TAN drin. Wenn dann noch irgendwie Deine PIN vorher ausgespäht wurde, dann ist Dein Konto völlig offen. Und wo ist nun die Sicherheit von SMS-TAN? Richtig, sie existiert nicht.