Kennt ihr das schon?
http://www.display-tan.com/

Der Sicherheits-Ansatz scheint mir eine Verbindung von Handy und Chipkarte zu sein. Da ich in diesem Fall eine App auf dem Smartphone benötige - überzeugt mich das nicht wirklich. Wenn ich doch eine App benötige, dann kann ich ja gleich eine Push-TAN einsetzen. Die zusätzliche Sicherheit einer Chipkarte zur TAN-Anzeige empfinde ich jetzt als marginal, solange dort keine Transaktionsdaten angezeigt werden.

Die Bequemlichkeit ist damit auch nicht höher, als wenn ich die Transaktion direkt in einer APP sehe.

Wie seht ihr das?

Gruß
Raimund

Die Handhabung ist halt eine andere

Und in einer TS Umgebung geht das allemal besser als Chip/Sm@rtTAN.

Und wieder eine Option von "freien privaten" Banken sich abzusondern/abzugrenzen. Kann auch ganz praktisch sein... - aus Bankensicht halt...

Od

grundsätzlich finde ich jede neue Idee iO, zum einen aus Banken- und zum anderen aus Anwendersicht. (wobei ich die o.g. noch nicht kannte)

statt unhandlichem TAN-Generator - welchen man nicht immer bei sich führt - eine Alternative.

bzgl. Push-TAN können aktuell doch nur die Sparkassen, oder? Obwohl es das System ja auch bereits "länger" gibt, hat meine Sparkasse dies erst vor wenigen Monaten "frei gegeben".
des weiteren darf das Smartphone nicht gerootet/gejail. sein

Push-TAN ist unsicher, weil ein Smartphone-Trojaner das Credential klauen kann (und das Passwort noch dazu), und beides per Internet an seinen Master schickt, der dann alles hat, was er fuer eine beliebige Ueberweisung braucht.



doch. Transkation wird angezeigt.

Danke fuers Reinstellen, anyway.

Bernd Borchert
www.display-tan.com

könnte diese Aussage ein bisschen erläutert werden, denn die bisherigen Infos im Netz diesbzgl. sind doch genau gegensätzlich.

Hallo Bernd,
herzlich willkommen bei uns.
Ehrlich gesagt, habe ich deine Seite nur überflogen, insbesondere die Transaktionsdarstellungen. Das hätte ich sehen müssen, sorry.

Kann man also die display-TAN mit dem Sm@rtTAN-Verfahren/Chip-TAN - in Kombi mit Handy und Bluetooth-Leser - vergleichen, ohne dass man dazu einen lästigen Leser benötigt?

Gruß
Raimund

ja, so kann man's zusammenfassen.

Zu PushTAN: Klar, dass die Sparkasse das als sicher verkaufen - die haben das auch sicherlich Mühe gegeben und viele Barrikaden eingebaut. Aber letztendlich ist ein Smartphone so wie ein PC ein unsicheres Gerät.

Bei PC's gabs ja in den 90er Jahren auch Versuche, Online Banking per PC-Software abzusichern. So ähnlich versucht mans jetzt auf den mobilen Geräten. Das wird scheitern: nicht nur, dass die Hacker sich bald auf pushTAN, BestSignMobil etc. stürzen werden, auch EZB und Bafin könnten da demnächst einschreiten.

Bernd Borchert

Smartphones grundsätzlich als unsicheres Gerät zu verkaufen und gleichzeitig eine Anwendung vorzustellen welche nur per App funktioniert, ist aber schon etwas gewagt.

Ja das Credential ist in diesem Fall auf der Karte und nicht auf dem Smartphone. Trotzdem geht da ohne App gar nichts und man muss darauf vertrauen, dass der komplette Übertragungsweg zwischen PC - Smartphone und Karte auch gesichert ist. Ich sehe einfach keinen Vorteil gegenüber einen TAN Generator. Auch dem extra Komfort kann ich nichts abgewinnen, ich benötigt hier ja nur anstelle des TAN Generators dann noch ein Smarthphone. Also letzen Endes genauso viele Geräte wie vorher. Zumindest wenn ich auf den PC arbeite.

Es entfällt also nur das nervige Einlesen des Flicker-Codes und benutzt dafür die komfortable Kamera. Wobei das auch relativ ist, bis ich die Handy App gestartet, mein Passwort eingegeben und an den Bildschirm gehalten habe, bin ich mit den TAN Generator auch schon fertig. Es übernimmt aber gleichzeitig auch die Nachteile des TAN Generators. Nämlich das dieses durchklicken der Daten irgendwann zur Routine wird und der Nutzer keinen Abgleich mehr vornimmt. Gerade die IBAN ist da für viele Nutzer immer noch zu lang und unverständlich. Und bevor ein Angreifer anfängt irgendwelche Push-TAN Apps zu hacken welche sowohl Jailbreak- wie auch Malware Erkennung haben, nutzt der auch genau das aus. Es ist viel einfacher den Nutzer zu täuschen, beispielsweise durch angebliche Fehlbuchungen auf dem Konto als eine komplette App auseinanderzunehmen.

Desweiteren sind die Kosten natürlich eine Milchmädchenrechnung. Hier wird ein Preis von 10 Euro für die Karte genannt und mit einen TAN Generator verglichen. Blöderweise werden EC Karten nur viel häufiger ausgetauscht. Sei es wegen Verlust/Diebstahl, der Magnetstreifen nicht mehr funktioniert oder weil einfach alle 4 Jahre sowieso die Karten ausgetauscht werden. Wir reden hier bei einer Massenaustattung der Karten von Mehrkosten in Millionenhöhe die man alleine dann beim regulären Kartenaustausch jedesmal hat. Und der Tatsache das man den Kunden dann noch beibringen muss das seine Ersatzkarte nicht mehr 10, sondern 20 Euro kostet. Das kommt in Zeiten wo gerade in der Bankenbranche an jeder Ecke gespart werden muss, nicht wirklich gut an. Vor allem weil der Sicherheitsgewinn gegenüber chipTAN gleich 0 ist. Es bringt also nicht mehr Sicherheit, es verursacht mehr Kosten und über den Komfortaspekt lässt sich streiten.

In sofern bezweifle ich ganz stark, dass wir dieses Verfahren hier im Produktiveinsatz sehen werden. Es ist eine nette Idee, aber nicht wirklich praxisnah.

Das mit den Kosten habe ich so nicht interpretiert - die Karten sollen ja wohl nicht die ec-Karte ersetzen, sondern den Generator und sind unabhängig von der ec-Karte, müssen also nicht zyklisch getauscht werden, sondern nur bei Defekt/leeren Batterien.
Immerhin lassen sich Karten günstiger und bequemer versenden, kein gänzlich unattraktiver Vorteil.

Das Abfotografieren oder Scannen ist auch nicht zwingend nötig - hier würde durchaus auch ein Push-Verfahren reichen, nur mit der zusätzlichen Sicherheit des Kryptochips, was ich für ein wesentliches Plus halte.

Gruß
Raimund

No. Der Übertragungsweg kann ruhig abgehört und/oder manipuliert werden, es spielt keine Rolle. Eine vom Bankserver vergebene Nonce sichert gegen alle Funkangriffe ab.
Problem sind nur die Angriffe, die (A) auf die Unaufmerksamkeit des Bankkunden setzen ("Durchklicken ohne zu prüfen") oder (B) die Social Engineering Angriffe "Dies ist ein Gewinnspiel", "Dies ist eine Testüberweisung" etc. Diese beiden Angriffstypen sind aber genau die, die auch auf die anderen sicheren TAN-Verfahren wie ChipTAN oder BestSign(USB) möglich sind. Insofern ist Display-TAN genauso sicher wie ChipTAN. Das war ja auch Dein Resumee.

Du hast recht: die Bank müsste bei Display-TAN den im Vergleich teuren TAN-Generator jedesmal mit-ersetzen, wenn "nur" die Scheckkarte kaputt/verloren/geklaut ist. Dafür erspart sie sich aber die Personal- und Porto-Kosten für den Ersatz der TAN-Generatoren (die übrigens auch nicht ewig halten). Das müsste sich ungefähr die Waage halten.

Bei gleicher Sicherheit und gleichen Kosten wie Chip-TAN bleibt der Komfort als Argument: kein Flackercode, und beim Mobile Banking (Smarpthone, Tablet, und Laptop mit Bluetooth) hat man "True Mobility": man braucht man nichts, was man nicht sowieso dabei hat: das mobile Gerät und die Scheckkarte.

Danke für die Kritik. Ich nehme das mal als Sparring für die kommenden Gespräche bei Banken.

Bernd Borchert

Zur Sicherheit von App-basierten TAN-Verfahren (PushTAN, BestSignMobil, PhotoTAN Mobil, etc.): Ein guter Trojaner hackt natürlich nicht die App, sondern das Betriebssystem (OS): das OS ist der master und die Bank-App ist nur der slave. Das heisst: es können vom Trojaner nicht nur alle Daten/Credentials der Bank-App gelesen werden, sondern solche oberflächlichen Schutzmaßnahmen der App wie z.B. die Abfrage, ob das OS gerootet ist, werden natürlich vom Trojaner ad absurdum geführt, indem er der App vorgaukelt, dass das OS gar nicht gerootet ist.

Bei einem TAN Generator tauscht man nach ein paar Jahren die Batterie aus und gut ist. Solche Dinger halten ansonsten ewig, ist ja keine großartige Mechanik die dahintersteckt. Aber das ist auch gar nicht der entscheidene Punkt. Der ist nämlich der, dass ich einen TAN Generator einfach optional verkaufen oder sogar die komplette Logistik outsourcen kann. Die Geräte sind im Gegensatz zu der EC-Karten Lösung ja nicht bankgebunden. Da kann der Nutzer auch in den nächsten Elektronikladen gehen und nach einen HDD 1.4 Generator fragen oder irgendwo im Internet bestellen. Vor allem aber, kann man eben die Geräte kostendeckend verkaufen ohne Verlust damit zu machen.

Das sieht bei EC-Karten eben anders aus. Die sind faktisch Grundausstattung eines jeden Kontos. Ohne Karte kein Geld aus den Automaten. Es sei denn wir reden hier von einer Direktbank die das mit VISA-Karten alles abwickelt. Die wird dann aber natürlich auch mit den Verfahren nichts anfangen können. Als Bank verschickt man ja tausende Karten im Jahr weil die alten Karten alle auslaufen. Also entweder übernimmt man als Bank dann die Kosten (die man mit einem Generator der verkauft wird nicht hat) oder man drückt es den Kunden auf. Und dem wird man nur schwer erklären können, wieso da auf einmal Kosten für eine Karte anfallen die vorher kostenfrei war (bzw auf einmal teurer wird) . Und das unabhängig davon ob die alte Karte technisch noch in Ordnung ist oder nicht. Alleine der Kostenaufwand in den entsprechenden Call-Centern dann, ist alles andere als zu unterschätzen.



Ich bin jetzt nicht so tief in der Technik um zu beurteilen wie beispielsweise die Sparkasse oder Kobil das löst. Ich gehe aber mal stark davon aus, dass die Apps so abgesichert sind das sie eine Manipulation auch effektiv erkennen. Solange da kein Fall bekannt ist der das aushebelt, würde ich die als sicher bezeichnen.

Der Vergleich mit den PC hinkt aber trotzdem. PCs mit Windows sind vor allem deshalb so unsicher, weil Micorsoft die User jahrezehntelang mit Superadmin Rechten hat arbeiten lassen. Bei iOS bräuchte man schon einen Jailbreak, selbst Android zeigt deutlich sichtbare Warnungen an wenn jemand versucht eine nicht zertifizierte App die einen Trojaner beinhaltet zu installieren. Und Angriffe finden ja schon lange statt und bisher läuft das immer über die Methode ab den Leuten dubiose Apps per Mail zuzuschicken. Im Gegensatz zu einer Mailanhang auf einen Windows Rechner, reicht hier aber kein Doppelklick um das im Eifer des Gefechts bei sich zu installieren. Außerdem muss man vorher auf einer gefälschten Bankseite noch seine Rufnummer den Angreifer mitgeteilt haben, dass passende OS für den Angriff haben...da ist schon weitaus mehr vom Nutzer notwendig als sich einen Trojaner auf einen Windows Rechner einzufangen.

aktuelle Trojaner brauchen schon lange keine Adminrechte mehr.

Das mit den Kosten ChipTAN vs. Display-TAN müsste man einmal mit den entsprechenden Datenunterlagen durchrechnen. Ich gebe zu, dass uns dieses Gegenargument, dass der teure TAN-Generator jeden Scheckkarten-Austausch mitmachen muesste, erst vor ein paar Wochen aufgefallen ist. Aber auch wenn der spitze Bleistift vielleicht zeigt, dass ChipTAN etwas billiger ist: aus Sicht der Bank müsste die Vorstellung, dass die Kunden "dort draußen" zwei Gegenstände von der Bank haben, die bei Ausfall/Verlust/Diebstahl ausgetauscht werden müssen - unangenehmer (weil betreuungsintensiver) sein als die Vorstellung, dass es da es nur einen Gegenstand gibt. No?

Display-TAN als Extra-Karte, so wie Raimund es verstanden hat, ist möglich, aber eigentlich nicht das Ziel: leichte Nachteile bei Usability, Kosten und auch Sicherheit.



da werden nur zig Barrikaden eingebaut. Prinzipiell bleibt die Lösung unsicher, weil die Bank-App nur slave ist. Eine App, die sich selber gegenüber dem Betriebssystem sicher machen will, ist wie Münchhausen, der sich an den eigenen Haaren aus dem Sumpf zieht.



Das hört sich ein bischen blauäugig/leichtsinnig an, no?

Bernd Borchert

Nein warum? Den Generator kann der Nutzer auch seinen Bekannten verschenken ohne das eine Betrugsgefahr vorliegt. Damit kann niemand was anfangen und wenn er diesen verliert, muss er ihn halt neu kaufen. Die ganze Sicherheit liegt doch auf der EC-Karte, in sofern gibt es auch beim Verfahren mit den TAN Generator nur ein Gegenstand der relevant ist und das bleibt die Karte. Wenn man so argumentiert, hat der Nutzer bei der Display TAN auch zwei Geräte die er verlieren kann. Ohne Handy bringt ihn das Verfahren nämlich auch nichts. Das muss die Bank den Kunden aber genauso wenig ersetzen wie den Generator.



Gut dann sind wir mal ganz extrem: Alles was in irgendeiner Form über eine Datenverbindung verfügt und mit Software bespielt werden kann, kann auch im Umkehrschluss gehackt werden richtig? Selbst HBCI Kartenleser wurden schon mit gefälschter Software geflasht und damit manipuliert. Also können wir beim Display TAN Verfahren genauso behaupten das die App das Sicherheitsrisiko bleibt. Denn die läuft auf dem Handy und das kann manipuliert werden. Und selbst die Karte hat eine Datenverbindung per Funk. Noch eine potenzielle Sicherheitsgefahr. Da kannst du dann auch nur behaupten eine von der Bank vergebene Nonce sichert das ab. Das muss man erstmal glauben, ist aber letzen Endes auch kein besseres Argument als wenn die Sparkasse sagt ihre Push-App wird durch den Bankhost vor Manipulationen geschützt.

Ein TAN Generator dagegen ist nicht manipulierbar. Er kann nirgendwo angeschlossen werden und hat keinerlei echte Datenverbindung in Form von Bluetooth, NFC oder Direktanschluss an den Rechner. Und das kann man sogar einen Laien als Sicherheitsmerkmal so verkaufen das er es versteht. Das die App beim Display TAN Verfahren sicher ist und die ganze Kommunikation nicht ausgelesen werden kann, muss man aber auch einfach nur so hinnehmnen. Ist nicht anders als beim Push-TAN Verfahren auch wenn mir der Unterschied natürlich klar ist. Dem Otto-Normal-User aber nicht. Den überzeugt man dadurch das er den Generator in die Hand nimmt und sieht das die einzige Kommunikationsschnittstelle die Optik vorne am Gerät ist. Bluetooth in einer EC-Karte weckt dagegen genauso wenig Vertrauen wie NFC-Technik. Letzteres ist den Kunden schon schwer klarzumachen, wenn man jetzt noch sagt, HEY...das Ding kann NFC, Bluetooth und nächste Woche bauen wir da noch nen GPS-Sender ein, kommt das nicht wirklich toll an.

/edit:

Eine Sache viel mir noch ein, wieso sollte sich eine Bank darauf einlassen in Zukunft die Rohlinge der Karten von einem spziellen asiatischen Anbieter zu beziehen? Was ist wenn der zu spät oder gar nicht mehr liefert? Dann darf man sich mit einem Unternehmen in Asien bez. Vertragsvereinbarungen bei Lieferungen auseinandersetzen? Wäre mal interessant was die BAFIN davon hält, dass man sich quasi komplett von einer Firma mit Sitz in Taiwan abhängig macht. Das stellt ein unkalkulierbares Risiko da.

Auf Smartphones? Wäre mir neu das man die Warnung umgehen kann sobald sich eine nicht zertifizierte App installieren will. Darum ging es ja hier, ob Smartphones tatsächlich genauso unsicher sind wie Windows PCs. Und das wäre nur dann der Fall, wenn man die Sicherheitsfreigaben auch umgehen kann. Mir ist aber kein Trojaner bekannt der nicht vorher explizit dazu auffordert die Administrationsrechte übernehmen zu dürfen. Wer das natürlich bestätigt, dem ist aber irgendwie auch nicht mehr zu helfen.

den Satz meine ich, so für sich allein genommen. Denn dies ist leider noch ein verbreiteter Irrtum, dass man ohne Adminrechte sicher im Web unterwegs sei - ich unterstelle dir jetzt nicht, dass du das glaubst, ich wollte nur darauf hinweisen. Aber es ist nun mal so, dass die Betrüger einfach den aktuell leichteren Weg gehen.

Zu der Sicherheitsfrage bei Smartphones bin ich mir da nicht so sicher. E. Kaspersky selbst hat ja wohl mal irgendwo gesagt, Android sei das neue WIndows 98 und bezog sich damit auf die Updatepolitik der Hersteller.

Für Banken dürfte dies ein nicht zu kalkulierendes Risiko sein, sie haben kein Einfluss auf Handysteme und haften im Schadensfall, sofern die Kunden nicht grob fahrlässig handelten. Das dürfte bei Schadsoftware kompliziert sein.
Bei Sm@rtTAN/Chip-TAN und auch Display-TAN haben die Banken die Kontrolle über die Sicherheitstechnik wieder zurück, allerdings ist das separate Gerät nicht immer ein Quell der Freude (nicht funktionierender Flickercode, Batteriewechsel, alles unerwünschte Probleme), deshalb halte ich Display-TAN für interessant.

@Bernd: Wenn du mit Banken sprichst: Es gibt viele Banken, die mobileTAN/SMS-TAN parallel zu chipbasierenden TAN anbieten, für die der Austausch der gesamten Kartenausstattung damit kaum in Frage kommt. Es wäre interessant zu wissen, wie eine Kosten-Kalkulation als separate Karte aussieht.

Gruß
Raimund

Gibt es hier im Forum keinen thread zu den App-basierten Verfahren und deren Sicherheit? dazu zählen Sparkassen PushTAN, Postbank BestSignMobil, Commerzbank PhotoTAN-App, 1822 QR-TAN, und neuerdings ING-Diba, da gabs eine Pressemeldung letzte Woche.

Nochmal in a nutshell, warum App-basierte Lösungen unsicher sind, grundsätzlich und unvermeidbar:
Wenn das Betriebssystem gesund ist, ist alles in Ordnung: eine Betrüger-App kann der Bank-App nicht in die Daten gucken, geschweige denn, manipulieren - davon gehe ich aus. Die Probleme fangen bei einer fake Bank-App an, die dem Bankkunden vom Betrüger untergejubelt wird. Aber noch problematischer ist es, wenn das Betriebssystem von einem Trojaner infiltriert ist: das Betriebssystem ist der "absolute Chef" auf dem Smartphone: es ruft die Apps auf und lässt sie unter seiner Kontrolle ausführen. Das bedeutet aber, dass ein infiltriertes Betriebssystem alle Daten der Apps lesen kann, und Versuche der App, sich gegenüber dem Betriebssystem abzusichern, per se zum Scheitern verurteilt sind - dieser Versuch ist quasi wie die Quadratur des Kreises. Beispielsweise wird eine Abfrage der App, ob das Betriebsystem gerootet oder infiltriert ist, vom infiltrierten Betriebssystem natürlich immer mit "nein" beantwortet, und die App ahnt somit nichts.

Bernd Borchert

Noch zu den Argumenten gegen Display-TAN von B.N.

- Zur "Lästigkeit" der Chip-TAN Geräte aus Banksicht
Wenn das ChipTAN Gerät weg/kaputt ist, würde ich davon ausgehen, dass der Bankkunde erstmal seine Bank anruft, - auch deshalb, weil er wahrscheinlich davon ausgeht, dass die Bank ihm das Gerät ersetzt. Bitte mal überschlagen, was diese Anrufe in ihrer Masse an "Prozesskosten" für die Bank erzeugen! (auch wenn nur die Auskunft gegeben wird: bitte im Mediamarkt ein neues Gerät kaufen!)

- Zur Sicherheit von Display-TAN gegen Trojaner und Funkangriffe
Das Smartphone mit der App kann total verseucht sein und es können beliebig starke Funksender den Funkverkehr zur Karte hin und zurück abhören und manipulieren: Solange der Benutzer die angezeigten Daten auf dem Display prüft, kann nichts passieren. Es ist also genauso sicher wie Chip-TAN.
Es ist allerdings richtig, dass das auf den ersten Blick nicht klar ist. Das muss man erstmal den Banken und ggfs. den Bankkunden klarmachen. Mit Dir habe ich da ja auch ein Problem ...
Die Unsicherheit ist nur Anschein, in Wirklichkeit ist Display-TAN sicher. (Bei PushTAN etc. ist es umgekehrt ... )

- Zum Hersteller aus Taiwan
Die Lieferung von nur einem Hersteller ist natürlich immer problematisch, egal ob der aus Taiwan kommt oder aus München.
Wenn der Hersteller ausfällt, dann gibt es mehrere Möglichkeiten:
(A) der Konkurrent aus der Schweiz könnte einspringen - natürlich wirds dann teurer - standortbedingt. Die Schnittstellen der Karte und der TAN-Algorithmus sind offen bzw. sogar ein Standard (OCRA)
(B) Die Bank könnte anstatt einer Karte einen "dicken" TAN-Generator einsetzen - da gibts genug Lieferanten.
(C) Man könnte das Verfahren wieder einstellen. Ein fall-back TAN-Verfahren der Bank wird immer noch da sein, weil Display-TAN nie 100% abdeckend sein wird (weil nicht alle Kunden ein passendes Smartphone haben werden). Übrigens ein weiterer Nachteil von Display-TAN (den Du noch nicht gefunden hattest).

- an Raimund: Display-TAN als Extra-Karte: da entstehen dann wieder die "Prozesskosten" mit der Verwaltung der Extra-Karten, also Reklamationsannahme etc. Auch die Sichehrheit lässt ein Stück nach, denn dem Kunden könnte der Diebstahl des TAN-Generators nicht auffallen oder er könnte es ignorieren.

B.N., was motiviert Dich, so vehement die Gegenargumente gegen Display-TAN zu finden? (Ich finds ja gar nicht schlecht - das ist eine Art Vorbereitung auf die Gespräche bei Banken)

Bernd Borchert

Das soll jetzt nicht persönlich oder so sein, sorry falls da so rübergekommen sein sollte. Mich hat es halt nur nicht überzeugt.
Ich wünsche dir auf jeden Fall Erfolg damit, die Gegenargumente sollen jetzt nicht dein Produkt schlecht reden. Ist ja aber nunmal ein Diskussionsforum hier, letzten Endes musst du ja sowieso die Produktverantwortlichen bei den Banken überzeugen und nicht mich.

Es ist eine zusätzliche Sicherheit, dass ist klar. Natürlich bringt auch so etwas keine 100% Sicherheit, aber es ist ein riesiges Einfallstor das lässt sich nicht bestreiten. Exploits in Betriebssystemen welche Adminrechte umgehen, kann der Hersteller immerhin noch fixen. Einen Nutzer der keine Ahnung von der Materie hat aber permanente Adminrechte zu geben, ist aber ein ständiges Sicherheitsrisiko. Und das tun die Smarthphones nunmal nicht. Und dort funktioniert das auch sehr gut. Bzw. bei Apple natürlich noch deutlich besser als bei Android weil da ohne Jailbreak überhaupt nichts geht. Ein absoluter DAU, muss sich aber bei iOS schon sehr anstrengen um die Sicherheitsmaßnahmen zu umgehen.



Das ist weiterhin der größte Schwachpunkt an Android. Hat aber weniger was mit der Sicherheitsfreigabe zu tun, sondern das die Hersteller der Telefone selber entscheiden können wann und ob sie überhaupt aktualisieren. Das ist ein riesiger Fehler in der Android Politik von Google, dem stimme ich auf jeden Fall zu. Deshalb fährt man mit einem original Google Smarthphone auch noch am besten, da bekommt genauso wie bei Apple über ein paar Jahre zumindest seine Updates auf jeden Fall geliefert.



Die meisten Banken ersetzen den Schaden sowieso anstandslos, egal wie fahrlässig der Kunde war. Das ist sogar mittlerweile ein Marketing Instrument. Und für den Kunden ist das die beste Sicherheit die er haben kann, nämlich das er genau weiß, dass die Bank den Schaden ohne wenn und aber übernimmt. Deshalb geht es den Banken auch nicht darum bei einem solchen Verfahren nicht in der Haftung zu stehen, sondern darum das möglichst keine Schäden auftauchen. Und man kann als Bank auch kein Interesse daran haben die Kunden aufgrund von Schäden aus dem Online-Kanal zu vergraulen. Das ist bei den Kreditkartenfirmen nicht anders. Die wissen auch das die Karten unsicher sind, der Punkt ist aber, würde bei einem Schaden der Nutzer haften, könnten die auf ihr komplettes Geschäftsmodell verzichten. Niemand würde dem dann mehr trauen. Und das wollen die Banken natürlich beim Banking auch vermeiden. Okay, bis auf ein paar Dorfbanken vielleicht welche tatsächlich noch knallhart den Kunden den Schaden übernehmen lassen. Das ist aber keine sehr kluge Entscheidung.

Und deshalb spielt es eigentlich nur eine Rolle ob bei einem Verfahren Schadensfälle auftreten oder nicht. Und nicht darum was rein von der Technik her als sicherer betrachtet wird. Wenn bei einem TAN Generator Schäden entstehen weil die Nutzer die Daten nicht kontrollieren, ist das für Bank ein größeres Problem als eine Smartphone App die in der Theorie zwar hackbar ist, aber aufgrund der Darstellung der Überweisungsdaten viel besser beim Endnutzer funktioniert. Und ich kann mir schon sehr gut vorstellen, dass die Nutzer bei dieser Push-TAN App eher auf die Empfängerdaten achten als auf dieses Minidisplay des TAN Generators. Und das macht dieses Display TAN Verfahren eben auch nicht besser. Es hat quasi sogar exakt denselben Schwachpunkt. Wäre mal interessant zu wissen welche Erfahrungen die Sparkasse da gemacht hat im direkten Vergleich zum TAN Generator/SMS TAN.