Also, ich muss wirklich zugeben das die ganze Diskussionüber PIN/TAN vor allemmit Hinsicht auf Phishing eigentlich total lächerlich ist. Es wird hoffentlich niemanden mehr geben der behaupten wird da PIN oder TAN Briefe verschicken eine ausreichenden Sicherheit gegen missbrauch bietet. Zugegeben vor 25 Jahren gab es noch keine alternative Technologie die PIN/TAN Lösung zu ersetzen. Aber nun sind wir doch ein klein wenig weiter in unserer Entwicklung, und wir reden immer noch von papierhaften PIN´s und TAN´s????

Diemeisten europäische Länder haben den trend schon vor Jahren erkannt und haben das papierhafte PIN/TAN Verfahren durch ein durchaus modernes Challenge-Response-Verfahren ersetzt. Dabei kommen TAN Generatoren (z.B. in Dongles...) zum Einsatz die eine zeitlich begrenzte PIN oder TAN generieren, welche vom Bankrechner validiert wird. Die Lebensdauer von diesen PIN's oder TAN's kann je nach wunsch des Kreditinstituts bestimmt werden. In diesem Verfahren ist eine Phishing attacke zwar theoretisch immer noch möglich, jedoch wird die Durchführung shererschwert.

Das Problem ist aber das die Benutzer sich den Banken gegenüber beschweren das Sie sich immer neue HW anschaffen müssen, das dies teuer ist oder noch dümmer das dies zuumständlich sei. Die Banken führen entsprechend dann solche Verfahren erst garnicht ein. Wenn dann aber der PIN oder TAN Brief gestolen wird, wenn dumme Benutzer sorglos bei Gott und der Welt Ihre PIN#s und TAN#s eingeben, ist es natürlich die Bank die dafür sorge zu tragen hat, das dem dummen Kunden kein Schaden passiert, sonst ist das Online Banking (egal ob Browser oder HBCI oder BTX) schuld.

Ich bin der Meinung das die papierhaften PIN und TAN Briefe sofort abgeschaft werden müßen, erst dann ist der Faktor Risiko kalkulierbar.

MfG

Also ich muß auch sagen, dass die Diskussion über die Sicherheitsmedien lächerlich ist, wenn einfach nur die Gutgläubigkeit und Unwissenheit des Nutzers ausgenutzt wird...

Auch TAN-Generatoren etc. können da auch nix dran ändern, weil die Möglichkeit weiter besteht und nur das Zeitfenster kleiner wird. Sich dem anzupassen ist nun wirklich kein Problem...

Dann begründe doch einmal, warum die Abschaffung von papierhaften PIN/TAN das Banking sicherer macht? Vor allem was ist die Alternative?

Cya

stoney

P.S. Hat da einer zuviel Planetopia gesehen?

jeder kunde kann doch selbst entscheiden, ob er die TAN-Listen oder die HBCI-Chipkartenversion wählt.

allerdings würde ich auch nur an meinem pc das internetbanking benutzen. was weiss denn ich, wer in nem inet-café meine daten ausliest.

Hi Stoney,

ich habe noch nicht eine Folge von Planetopia gesehen (;-), ich halte nicht von deren pseudo Journalismus.

Aber Du hast natürlich auch recht, absolute Sicherheit wird man auch mit Generatoren nicht erreichen, aber ich stehe auf dem Standpunkt, das dies auch nicht unbedingt sein muss. AHA !!! Man muss es nur schwer genug machen, das reicht schon, und da sind Generatoren vollkommen ausreichend.

Ich weis das es jetzt tausende gibt die aufschreien und nach Blut rünsteln, aber ich behaupte einmal das die meisten Menschen dieser Welt (ich eingeschlossen) mehr sicherheit nicht brauchen, da wir auf anderen Wegen unser Hab und Gut noch viel leichtfertiger aufs Spiel setzten. Eine einfache Frage:

Die meisten von uns zahlen doch Ihre Restaurantrechnung per Kreditkarte pder EC Karte. Dabei geben wir doch ohne zu überlegen die Kreditkarte einem wildfremden Menschen, der irgend wo hingeht und irgnd etwas damit macht. Dabei passiert Tag täglich mehr Diebstahl, als im Online Banking in den letzten paar Jahren. Der betroffene hat dann die Bescherung.

Genau so verhällt es sich auch mit dem Online Banking. Wer so intelligent war seine PIN Und/oder TAN irgend wo einzugeben ist selber schuld! Wir müßen alle selbst für unsere Dummheit verantwortlich sein, die banken können es uns nur so schwer wie möglich machen eine folgenschwere Dummheit zu begehen, aber ich wage es einfach zu behaupten, das es nicht möglich ist die Dummheit der Menschen (dabei schliesse ich mich nicht aus) komplett auszuschalten.

MfG,

Es ist nur so, dass TAN-Generatoren, die NUR eine zeitlich begrenzte TAN ausgeben, kein Sicherheitsgewinn sind, weil das kleinere Zeitfenster nur ein sehr kleiner Stolperstein ist. Ein TAN-Generator mach meiner Meinung nach nur Sinn, wenn eine an die momentan aktive Zahlung gebundene TAN generiert, die für keine andere Session und Zahlung benutzt werden kann. Ob papierhaft oder mit TAN-Generator - es kommt darauf an, wie diese TAN generiert wird, eine rein zeitliche Begrenzung bringt keinen Sicherheitsvorteil.

Ich bin auch der Meinung, das eine Hardwarelösung sicherheitstechnisch gesehen die bessere ist, wie auch immer die aussieht.

Allerdings gibt es natürlich das berechtigte Bedürfnis nach einfachem, transparentem Handling und nach Mobilität.

Und leider kostet Hardware meistens mehr als Papierware

Da Angebot und Nachfrage den Preis bestimmen, ist eine Massenproduktion wünschenswert um den Preis zu drücken und den Einstieg zu erleichtern. Deshalb hoffe ich, dass Sicherheitstechnik zum Billig-Standard wird (damit meine ich nicht den Aldicomputer mit seinem halbgaren "HBCI"-Chipkartenleser, es ist aber ein Ansatz, immerhin machen die Werbung damit, afaik)

Gleichzeitig steigen meiner Meinung nach z.Zt. die Risiken. Ob das Sicherheitsproblem im Computer in naher Zukunft auf Betriebssystem-Ebene zu lösen ist, steht in den Sternen. Dazu kommt, das das eigentliche Problem oft vor dem Computer sitzt. Zusätzlich ist der PC ein Massenprodukt geworden, das in jedem Haushalt steht. Wie ich gehört habe, hat das Internet zur Zeit den größten Zuwachs bei Rentnern!

Ehrlich gesagt traue ich mir kaum zu, den Menschen=User in seinem Bewusstsein zu ändern, die "Brainware" kenne ich in viel zu unterschiedlichen Versionen und Ausstattungen, ausserdem wären mir persönlich zu viele Updates nötig. Ich krieg doch nicht mal meine eigene liebe Gattin dazu, den Virenscanner regelmäßig selbständig upzudaten!

Nein, da schon lieber eine Hardwarelösung, die ich kenne, deren Sicherheitsstand ich kenne und deren Versionsstand ich kenne und beherrsche.

Wenn sich jemand nach einer Beratung für das unsicherere System entscheidet, ist das sein Bier. Aber das haben wir ja schon ausgiebig an anderer Stelle diskutiert.

Gruß
Raimund