Die Daten, die die Benutzer an PC's oder anderem Online-Equipment eingeben, beschafft man sich mit geeigneten Angriffswerkzeugen.
Da heute auch in dem Bereich umfangreiche Arbeitsteilung üblich ist, beschäftigen sich einige ausschließlich damit und verkaufen dann Account-Daten im 1000-er Pack.
Kontonummer, Anmeldenamen und PIN und die Tatsache, dass der Kontoinhaber ChipTan aktiviert hat, müssen also als potentiell unsicher eingestuft werden.

Hat der Nächste dann temporären Zugriff auf EC-Karten, dann kann er doch leicht feststellen wenn er eine Übereinstimmung mit seiner Datenbank hat. Das dürfte wahrscheinlich sogar relativ gut automatisierbar sein.

Solche Betrachtungen kann man m.E. nur dann vernachlässigen, wenn man sich halbwegs sicher sein kann, dass sich ein solcher Angriff nicht lohnt, weil z.B. zu wenige Leute diese Art von Transaktionssicherung fürs Online-Banking verwenden.

Nachdem die ersten Angriffe auf das ChipTan-Verfahren erfolgt sind, muss man wohl davon ausgehen, dass eine kritische Userzahl erreicht ist.

Ein Markt für Onlinebanking Zugangsdaten? Daran habe ich meine Zweifel. Wer solche Daten sammeln kann - dass das geht bezweifle ich nicht - könnte diese doch eigentlich besser selbst verwenden. Denn die werden doch mit der Zeit kalt. Und mehrfach verkaufen kann man sie auch nicht.
Wie auch immer. Ganz am Ende kommt es auf die Haftung an. Und die liegt nach der Zahlungsdienstleister Direktive bei der Bank. Das heißt, selbst bei Fahrlässigkeit (nicht bei grober) gibt es eine sehr geringe Haftungsobergrenze des Kunden, ich glaube die liegt um die 100 Euro. Du brauchst also m.E. nichts befürchten, wenn du mit deinen Daten sorgsam umgehst wie es in der Vereinbarung mit der Bank festgelegt ist.

Bloß keine PIN-Sicherung der TAN-Erzeugung! Die ersten Generationen von Zwei-Schitt-Kartenlesern (noch ohne Optik) wurden mit der Anleitung zur PIN-Freischaltung verkauft. Sm@rtTAN plus der Genobanken war das damals. Nachdem sich sehr viele Menschen die Karte mit der PIN gesperrt hatten, haben einige Banken sogar vorsorglich per Hand die Anleitungen aus den Kartons entfernt! Bei einer vergessenen PIN muss die Karte getauscht werden.
Der Schaden dieser Funktion ist größer als der sehr sehr geringe Sicherheitsgewinn.

Die PIN-Freischaltung kann ansonsten sicherlich jeder Chip. Das Banksystem muss aber auf der Gegenseite die PIN unterstützen, da andere TAN erzeugt werden.

Genau die Automatisierbarkeit halte ich aktuell für zu aufwändig: Wenn es so einfach wäre, gäbe es mehr manipulierte Kartenterminals.Mit alternativen Zahlungsmethoden z.B. Smartphone-Payment auf Basis Chipkarte könnte sich dies womöglich ändern.

Gruß
Raimund

Vielen Dank,

zugegeben: eine Karte mit 2 PIN, d.h. verschiedenen PIN für verschiedene Funktionen, dürfte tatsächlich viele Probleme in der Benutzung bringen. Dabei wäre es wahrscheinlich auch egal, ob die Leute die zweite PIN selbst vergeben oder ob gleich 2 PIN zu der Karte ausgegeben werden. Im zweiten Fall bestünde aber vielleicht die Möglichkeit, dass die Bank den Fehleingabezähler einer gesperrten Karte zurücksetzen kann und der Kunde den PIN-Brief irgendwo aufgehoben hat. Dafür müsste man allerdings allen Kunden prinzipiell zwei PIN zu ihren Karten schicken, was wiederum bei Kunden ohne Bezug zum Online-Banking dazu führen würde, dass die falsche PIN verwendet wird.

Dort wo der Kunde PIN-Nummern selbst vergeben kann, wird man wohl immer eine PUK-Funktionalität benötigen.

Jetzt hat man bei der TAN-Funktion der EC-Karten wahrscheinlich das Problem, dass man eine Sicherheitsfunktionalität in den technischen Standards definiert und wahrscheinlich in allen Kartenlesern und Karten implementiert hat, die sich in der Anwendung als problematisch erwiesen hat und deshalb totgeschwiegen werden soll.
Das ist kein wirklich vertrauenförderndes Vorgehen.

Aber nochmal zum technischen Hintergrund.
Warum sollte die TAN-Applikation der EC-Karte andere TAN-Nummern generieren, wenn sie per PIN geschützt ist?
Wie soll es die Bank erfahren, dass der Kunde eine PIN vergeben hat?
Nach dem hier bisher Geschriebenen sollte das Setzen der PIN doch mit dem TAN-Generator erfolgen und davon bekommt die Bank ja erst einmal nichts mit.

Ha! Genau das war's, warum ich nach div. Recherchen auf den Test mit dem Setzen einer PIN damals verzichtet habe. Die TAN-Applikation SOLLTE nicht andere TANs generieren, sie TUT es. Es ist nicht eine Mutmaßung, sondern eine Tatsache, und die wurde eben eingebaut, DAMIT der Bankrechner unterscheiden kann, ob PIN eingeschaltet ist oder nicht.

Aha,

d.h., dass die Banken, die ChipTAN mit PIN-geschützten EC-Karten unterstützen für eine Transaktion prinzipiell zwei verschiedene TAN als gültig akzeptieren müssen, wenn sie keine Vorabinformation darüber haben, ob der Kunde eine Karten-PIN gesetzt hat. Richtig?

eben - deswegen funzt das auch nur mit Kenntnis der Bank - ansonsten wird die TAN als falsch abgewiesen.
Wobei ich diese Option bisher nur bei den GAD angeschlossenen Geno-Banken kenne.

Od

Also nicht richtig.

Die Bank akzeptiert nur eine TAN und benötigt dazu vorab die Information, ob die EC-Karte PIN-geschützt ist oder nicht.

Wie soll das der Bank mitgeteilt werden?

Erwin, ich glaube nicht, dass du das pro Vorgang wählen kannst. Sondern nur generell vertraglich fest vereinbaren, ob TAN mit oder ohne PIN. Sonst frag doch einfach deine Bank mal. Die muss das doch am besten wissen, ob sie es überhaupt anbietet.

Dass man die PIN-Konfiguration pro Transaktion ändern könnte, wollte ich gar nicht angedeutet haben.

Die Wahrscheinlichkeit, dass meine Bank zu einem so konsequent verdrängten Sicherheitsmechanismus etwas weiß, würde ich als äußerst gering einstufen.

Weiß jemand, wie es der Kunde der Bank mitteilen sollte, dass er eine PIN für die TAN-Funktion der Karte gesetzt hat?

Erwin, das kann man nicht einfach mitteilen. Du musst die Bank anrufen und fragen, ob sie das im Onlinebanking für dich aktivieren können. Die Antwort wird vermutlich nein lauten und das Thema damit beendet, so einfach ist das
Und wenn es doch geht dann schalten sie das an und machen ggf. eine neue Teilnahmevereinbarung mit dir. Und danach kann die Sperr- und Entsperrorgie beginnen.

Dieses Anrufen und Papier hin und her schicken würde wohl zwangsläufig dazu führen, dass Kunde und Bank keinen gemeinsamen Zeitpunkt finden, zu dem auf die anderen TAN umgeschaltet wird.
Bist du dir sicher, dass das bei den Banken, die das angeboten haben oder vielleicht sogar noch anbieten, so laufen sollte?
Ein paar Beiträge zurück warst du doch noch der Meinung, dass es gar keine PIN-Sicherung gibt.

Ja, ich bin immer noch sicher, dass es das nicht gibt. Vielleicht theoretisch vorgesehen und vielleicht sogar technisch möglich aber praktisch nicht gebräuchlich. Ruf die Bank doch einfach mal an und frag nach. Sonst glaubst du das ja eh nicht

Garnicht, weil die Banken dieses Feature nicht anbieten! Deswegen wirst Du bei den Bankmitarbeitern, denen Du das Anliegen vorbringst, auch nur auf Unverständnis stoßen, die haben das noch nie gehört, weil es nirgends erwähnt wird. Und an andere, die das schon mal gehört haben (Produktplanung ect.) wirst Du als Kunde nicht rankommen. Und selbst wenn, dann würden die Dir sagen "Ham wa nich!". Banken machen für einen einzelnen Kunden keine Sonderregelungen, zumal wenn sie an der Zentral-EDV was umstellen müßten...

Danke,

spätestens nach den Ausführungen von Raimund, zu den mit der zusätzlichen Karten PIN gemachten Erfahrungen, wäre ich nicht mehr auf die Idee gekommen, das bei meiner Bank überhaupt anzufragen.

Nach allem, was bisher hier zu dem Thema zusammengekommen ist, mag ich gern glauben, dass das aktuell keine Bank mehr unterstützt.

Aus meiner Sicht dürfte die Tatsache, dass die Karte andere TAN generiert sobald der Kunde eine PIN für die TAN-Funktion vergibt und dieser Vorgang in den Kundendaten der Bank hinterlegt werden muss, der entscheidende Punkt sein, warum das nicht funktionieren konnte.

Weiß vielleicht noch jemand, wie sich die Banken, die das unterstützt haben, diesen Abgleich zwischen Kunden und Bank gedacht hatten?

Oder hatte man dieses Problem im Vorfeld vielleicht einfach nur übersehen?

Die GAD-Banken "unterstützen" dies seit Jahren- aber man muss hier mal das Verständnis von "unterstützen" klären

Denn dieses "Feature" schafft in der Praxis keine bessere Sicherheit, nur weil ein paar Sicherheitsfanatiker dies auf dem Papier ausrechnen, sondern zusätzliche Fehlerquellen. Die Sicherheit hängt an der Akzeptanz der Kunden. Die wirst du mit der TAN-PIN verschlechtern, denn: Die PIN wird vom Nutzer vergeben.

Wirklich: Das ganze ist eine akademische Diskussion.
Banken kämpfen aktuell mit Schäden, weil die Kunden auf irgendwelche durch trojanische Pferde verursachte Tests reinfallen oder meinen, sie hätten Geld irrtümlich überwiesen bekommen und müssten das zurücküberweisen!

Gruß
Raimund
edit: In der Theorie erfolgt die Freischaltung so: Kunde/in ruft bei der GAD-Bank an und lässt sich mit der EB-Abt. verbinden und überredet dort jemanden, den Spaß mitzumachen. Dann wird an der Karte das PIN-Merkmal freigeschaltet (dauert 10 Sek.).
In der Praxis hat die EB-Abteilung hin und wieder extrem genervtee Kunden am Telefon, die keine gültige TAN erzeugen können, weil ein übereifriger neuer Kollege/in genau dieses PIN-Markmal am TAN-Chip der Karte aktiviert hat...

Na siehste, hab ich ja gesagt. Wäre nur noch die Frage, ob das nur für GAD oder auch für Fiducia gilt. Vlt. ist Erwin garnicht bei einer GAD-Bank....
Und gleich vorweg: Bei Sparkassen gibt es das nicht und hat es auch noch nie gegeben, brauchst garnicht anrufen, Erwin!

D.h. das funktioniert grundsätzlich und wird von den GAD-Banken auch unterstützt.

ABER


Da stimme ich dir voll zu.
Dieses Feature ist einfach mit zu vielen Stolperfallen implementiert worden:
* PIN-setzen verändert die TAN-Generierung
* PIN-setzen ob und wann wird dem Kunden überlassen
* Setzen der PIN durch den Kunden muss telefonisch mit der Bank abgestimmt werden
* "PIN" ist beim "PIN/TAN" verfahren kein eindeutiger Begriff mehr, wenn es eine Karten-PIN und eine Online-PIN gibt. Das kommt beim Telefonieren gar nicht gut.
* es gibt zu viele Möglichkeiten warum TAN nicht akzeptiert werden

M.E. reduziert aber nicht die Tatsache, dass man eine zusätzliche PIN eingeben müsste die Akzeptanz dieses Mechanismus, sondern die Umstände unter denen sich dieses Feature aktivieren lässt.
Wäre die PIN-Sicherung prinzipiell bei jeder Karte gesetzt und der Kunde bekommt im PIN-Brief beide PIN mitgeteilt, dann gäbe es wahrscheinlich weniger Probleme damit.


Hat da der neue Kollege auch nicht gewusst, was es damit auf sich hat oder gab es ein Missverständnis beim Telefonat mit dem Kunden?

Um die Befürchtungen hier zu beruhigen.
Ich werden auf absehbare Zeit bestimmt keine Bank dazu anrufen.
Da wäre mir die Gefahr von Missverständnissen viel zu groß.

Vielleicht noch mal etwas anderes in dieser Richtung.
Wenn man Onlinebanking ausschließlich zu Hause macht und die Karte zur TAN-Generierung immer zu Hause bleibt bzw. die Karte zwar mitgenommen aber nie in fremde Lesegeräte gesteckt wird, dann wäre bei mir der Wunsch nach einer zusätzlichen Sicherung deutlich geringer.
Mit der EC-Karte funktioniert das nicht.
Kann man auch eine HBCI-Karte zusätzlich als TAN-Generator für sein Konto aktivieren lassen?
Hintergrund: Seit meine Frau nur noch einen Ubuntu-PC hat, muss ich ihr Konto per HBCI-Chipkarte an meinem Windows-PC verwalten. Die RSA-HBCI-Karte würde wahrscheinlich nur vom kostenpflichtigen Moeyplex unterstützt werden. Meine Frau hat ihr Konto bei einer GAD-Bank.
Kann sie die HBCI-Karte zusätzlich zur HBCI-Funktion als TAN-Generator für ihr Konto aktivieren lassen?
Wenn ja, gilt dann für den TAN-Generator der HBCI-Karte bzgl. PIN-Sicherung das gleiche wie für die EC-Karte?
D.h. erzeugt die HBCI-Karte im Normalfall TAN-Nummer ohne Eingabe der HBCI-PIN?

Bei den DDV Karten der Sparkassen geht das. Kann der Kunde sogar selbst über die Einstellungen zum Chiptan Verfahren. Dort bekommt man alle Karten angeboten, die dem Teilnehmer zugeordnet sind. Wenn die dort nicht erscheint ist es entweder eine sehr alte Karte oder sie lautet auf jemand anderen. Auch hier gibt und gab es keine PIN-Funktion für die Generierung der Tannummern.

bei den Genobanken geht das auch mit allen Karten, wobei hbci bei einigen auch auf der ec-Karte "mit auf dem Chip drauf" ist.
genau. aber deine Formulierung "bin mir sicher, dass es das nicht gibt..." war nicht ganz eindeutig.
Es gibt sowas und wenn jemand aus diesem Grund trotz aller Hindernisse zu einer GAD-Bank wechseln möchte - nur zu
Ich bin aber ehrlich: Ich halte diese Sicherheit hier für kontraproduktiv. Egal, ob man alle dazu zwingen möchte. Da Angriffsszenario ist mir dafür zu aufwändig und exotisch.
Der potentielle Schaden durch gehimmelte Karten, zusätzliche PIN-Briefe und den gestiegenen Aufwand beim Support würde in die Zig-Millionen gehen, der winzige Sicherheits- oder Imagegewinn wäre zu gering.

Gruß
Raimund