Hallo,

ich habe mich hier extra angemeldet um hoffentlich meine Frage beantwortet zu bekommen, da ich nirgends brauchbares finden kann.

Nehmen wir einmal an ich bestelle so ein Smarttan Lesegerät und fülle das Formular aus um es nutzen zu können.
Wenn nun ein hacker cracker, was auch immer, mein Online Banking-LogIn und Passwort herausfindet (egal mit welcher Methode), könnte er dann mit irgendeiner Option die Zahlmethode ändern und somit Geld von meinen Konto auf sein oder irgendein anderes Konto überweisen?

Oder kann man dann nur noch den Rest seines Lebens mit diesen Lesegerät Transaktionen durchführen?

Einfach gesagt: Kann einer mit mein Online Banking-LogIn und Passwort etwas anfangen, sodass SmartTan keinen nutzen mehr für mich hat, und ich mein Geld losbin?
Weil selbst wenn dieses SmartTan sehr sicher sein soll, was nützt es mir denn wenn ich bei jeder transaktion mich Online einloggen muss (Gefahr durch keylogger etc.) um die Transaktion zu vervollständigen.

Versteht einer meine Frage?

danke im voraus!

wobei Sicherheitslücke falsch ist!

So wirklich verstanden habe ich die Frage nicht, sie ist irgendwie etwas unklar und verschwurbelt formuliert...

Erstens muß man mal unterscheiden. Welches Verfahren meinst Du genau? Also welche Bank? Es gibt die ChipTAN-Verfahren (unter diversen Namen), die von den Sparkassen, Volks- u. Raiffeisenbanken, Postbank ect. verwendet werden. Da ist der TAN-Generator ein reines dummes Anzeige- und Eingabe-Gerät. Die eigentliche Kryptographische Arbeit findet im Chip der Girokarte, die man reinsteckt statt. Die Schlüssel, die im Chip gespeichert sind, korrespondieren mit der Software, die auf dem Bankrechner vorhanden ist und mit genau DEINEM Konto verknüpft ist. Gültige TANs für DIESES Konto können NUR mit diesem Chip auf DIESER Girokarte generiert werden. Wenn ein Angreifer Logn + PIN + DIESE Girokarte hat, dann kann er natürlich Geld in Bewegung setzen, so wie Du auch. Wenn sowas passiert, dann muß man halt die PIN ändern und die Verknüpfung dieser Girokarte mit dem Konto stornieren (lassen, durch die Bank). Danach kann man eine andere/neue Karte verknüpfen und alles ist wieder gut. Bei diesen Verfahren kann man einen TAN-Generator für beliebige Konten verwenden, man muß halt immer die richtige Karte reinstecken. Der Generator selbst ist wie gesagt dumm. In die TAN-Erzeugung gehen hier noch Teile des Auftrages (Kontonummer/IBAN und Betrag) mit ein (übertragen durch diese Flicker-Code-Schnittstelle). Insofern ist das Ganze sicherer, weil die erzeugte TAN nicht nur ausschließlich zu diesem Konto sondern auch ausschließlich zu diesem Auftrag paßt.

Dann gibt es noch die Verfahren, wo man von der Bank einen Generator bekommt, der direkt arbeitet und in den keine Karte gesteckt wird. Dies macht z.B. die Volkswagenbank oder soweit ich weiß auch Consors. Hierbei sitzen die kryptografischen Schlüssel direkt im Gerät. Ansonsten ist es aber recht ähnlich zu dem oben angesprochenen. Dieser bestimmte TAN-Generator ist mit diesem bestimmten Konto verknüpft, nur TANs die dieses Gerät erzeugt, passen. Diese Verknüpfung kann natürlich aufgehoben werden, wenn irgendwas nicht mehr paßt und eine neue Verknüpfung mit einem anderen Gerät hinterlegt werden. Hier paßt die erzeugte TAN nur zu diesem Konto, es gehen aber meist keine Teile des Auftrags mit ein, so daß die TAN zwar nur zu diesem Konto paßt, aber nicht nur zu diesem Auftrag, sondern ggf. auch zu einem veränderten Auftrag. Insofern ist das Ganze nicht so sicher wie das oben genannte Verfahren.

Es geht jetzt mehr oder weniger um das wechseln/kündigen von Zahlmethode 1 (Smarttan) zu Zahlmethode 2.
Das der Verbrecher nur mit meinen Online-Key oder Alias und den PIN dies ändern kann umsomit das Smarttan verfahren zu umgehen.
Er kennt mein Online Key oder Alias und den PIN>Ich melde mich von meinen Online Banking ab und melde mich für eine ganze weile nicht mehr an>Angreifer Loggt sich bei mein Online Konto ein und ändert irgendwie das Verfahren zum bezahlen/überweisen von Smarttan auf z.B. mobileTan (mit Handy) wo wiederum ein paar mehr Sicherheitslücken sind, wenn ich mich nicht täusche.
Es geht um die Psd Bank.
Ich weiß ja nicht ob das von Bank zu Bank unterschiedlich ist oder ob es dort irgendeine Sicherheitsregel gibt die alle einhalten müssen weil es sonst für Verbrecher ZU einfach wäre.

Es tut mir leid ich bin auch nur ein stinknormaler Mensch der keine Anhung hat was dies bezüglich alles angeht.

Eine Unterschrift auf einem (Papier-) Überweisungsträger ist schneller zu fälschen, als Onlinebanking-Daten/-Sicherheitssysteme zu umgehen.
...wenn deine Frage grundsätzlicher Natur ist und du dich hier fragst, soll ich onlinebanking betreiben ja/nein


siehe auch Sicherheit im Internet
wichtig ist: aktuelles Betriebssystem, eine Sicherheitssoftware, eine Onlinebanking-Programm* und in jedem Fall immer von Vorteil, solange der PC/Smartphone Internetzugang hat: Köpfchen. (sprich nicht auf jeden Mail-Anhang bspw. klickern)

*=Software bspw. banking 4W https://subsembly.com/banking4.html oder halt die Mitbewerber, je nach Wunsch/Umfang
PSD Banken (iTAN, Mobile-TAN, Smart-TAN plus)

viele Software-Hersteller bieten die Vollversion kostenlos/unverbindlich für einen Testzeitraum an, somit kann wirklich alles getestet werden.

Die Änderung von einem Sicherungsverfahren (ChipTAN) auf ein anderes (mobileTAN) geht nur über einen unterschriebenen Auftrag. Entweder dieser Auftrag wird auf Papier in der Filiale gestellt oder wenn er im Onlinebanking stellbar ist, dann muß er mit einer TAN der derzeitigen Variante unterzeichnet werden. Wenn also jmd. Deine PIN weiß, dann kann er sich zwar im OnlineBanking einloggen und ggf. Kontostände sehen, aber mangels chipTAN keine Aufträge erteilen, eben auch keinen Auftrag zur Umstellung des TAN-Verfahrens auf mobileTAN (sofern das bei PSD online geht, weiß ich nicht), denn er bräuchte ja eine aktuelle chipTAN dafür. Aufträge sind immer nur dann möglich, wenn man vom gültigen Sicherheitsverfahren Login mit PIN _UND_ TAN hat.

Muss ich mir also um dieses Thema keine großen Sorgen machen?

Danke nochmal!

Grundsätzlich gibt es keine 100%ige Sicherheit. Nirgends und nie nicht, und vor allem nicht beim Online-Banking.

ABER: Man muss immer die Kirche im Dorf lassen. Das von dir beschriebene Szenario ist tatsächlich unwahrscheinlich, da man nicht "einfach so" das Legitimationsverfahren (z.B. von chipTAN auf smsTAN) ändern kann - zumindest nicht bei mir bekannten Banken, siehe auch Kommentar von msa. Abgesehen davon muss man sich immer bewusst machen, WIE tatsächlich Mißbrauch beim Online-Banking passiert. Aus den Erfahrungen von knapp 12 Jahren kann ich dir sagen - die Betrüger gehen viel simpler vor, sie versuchen nämlich, dich zum Preisgeben einer TAN mit deinem AKTUELLEN TAN-Verfahren zu zwingen. Möglichst simpel, möglichst so, dass du denkst, deine Bank steckt dahinter. Richte deine Aufmerksamkeit also immer darauf, WANN und WOFÜR du TAN eingeben sollst. Tu es nur, wenn du selbst den Auftrag erteilt hast, egal ob für eine Überweisung oder einen Dauerauftrag, oder was auch immer. Sobald dir irgendwas "spanisch" vorkommt, brich den Vorgang ab. Kontrollier akribisch die Transaktionsdaten auf dem TAN-Generator. Und glaub nicht alles, was du siehst - wenn deine Bank-Internetseite dir plötzlich sagt, du musst eine "Sicherheitsüberprüfung" oder Ähnliches durchführen, tu es nicht.

Ich bin immer noch der Meinung, mit Vorsicht, gesundem Menschenverstand und vor allem AUFMERKSAMKEIT kann man ein riesiges Stück Risiko ausschließen, wenn man Internetbanking machen und auf die zusätzliche Sicherheit einer Software verzichten will/muss. Sorgen oder Angst sind also nicht nötig, aber sei aufmerksam und besonnen.

Angel, da hast du völlig Recht, genauso ist es.

Wobei Neumann hier ja auf eine Art Sicherheitslücke hinweist, die es ja tatsächlich geben mag. Erlaubt die Bank beispielsweise den Austausch auf ein neues TAN-Medium ohne Legitimation durch eine alte TAN, also nur durch die PIN, dann wäre dies tatsächlich eine gewisse Sicherheitslücke. Wenn es so etwas gibt, z.B. ein Webformular, würden diese vermutlich dann zusätzlich legitimiert, per Rückruf z.B. beim Inhaber eines Mobiltelefons.
Das Missbrauchsrisiko wird eine Bank durchkalkulieren, genauso wie es anscheinend immer noch Banken gibt, die die völlig unsicheren TAN-Bögen herausgeben. Sie rechnet die Mehrkosten durch den höheren Aufwand gegen den möglichen Schaden durch Betrug. Entsteht hier ein Schaden, wird die Bank diesen sicherlich ersetzen.

Jetzt muss man im Beispiel aber genau hinsehen, wie msa schon schrieb: Der TAN-Leser ist ja nur ein simples Anzeigegerät, die Chipkarte ist entscheidend. Diese sollte sich bereits in der richtigen Hand befinden, deshalb ist die Aktivierung des TAN-Generators auf dem Chip per Onlineformular nun wieder keine Sicherheitslücke.
Wird aber eine Freischaltung eines Mobiltelefons für die SMS-TAN per Formular erlaubt, dann ist das was anderes.

Diese Freiheiten wird es meiner Meinung nach in Zukunft immer weniger geben, das wird in Zukunft mehr und mehr auf gesetzlicher Ebene durch Richtlinien gesteuert.

Gruß
Raimund

genau diese Punkte wurden ja bereits an anderer Stelle im Forum schon mehrmals besprochen, nämlich dass die Banken (im eigenen Interesse) evtl. Schäden übernehmen bzw. der Gesetzgeber zur Hilfe eilt bzw. die Justiz.
Dh. wenn würde nur die grobe Fahrlässigkeit übrig bleiben.
wie o.e. im Sub-Forum Sicherheit: Commerzbank - Sicherheitsgarantie für onlinebanking

Wenn einem dies alles nicht ausreicht, wäre zudem noch die Versicherungswirtschaft bspw. mit 7,90 € p.a. FinanzSchutz/Versicherungschutz oder Versicherungen entdecken den ONLINE/mobile-Markt für sich (Konto-, Kauf- und Verkaufsschutz + Geräte-/Handyabsicherung + Datenwiederherstellung + 1.Rechtsberatung )

Manche Banken verzichten teilweise sogar auf die TAN

http://www.onetoone.de/Giropay…27523.html

//edit: girosolution

Mmmmh. Hauptsache wir bekommen den Kunden dazu, möglichst unreflektiert und überall Geld auszugeben. Halte ich für höchst fragwürdig und problematisch. Ist für mich ein Grund, das nicht (mehr) zu benutzen.

Schreiben die, ob sie die 30 EUR in jedem Fall, den man nicht selbst ausgelöst hat (oder das behauptet) erstatten? Wer trägt das Risiko?

naja, "höchst fragwürdig" ist schon hart formuliert, denn es ist nicht die Aufgabe der Banken, den Kunden beim Onlineshopping über den Zahlvorgang vom Kaufen abzuhalten.

Aber es wird sicherlich in die Haftung der Bank gehen, wenn z.B. eine ausgespähte PIN zum Bezahlen in Giropay benutzt wird. Das kann ich mir jedenfalls nicht anders vorstellen.

Gruß
Raimund

Natürlich soll die Bank keinen abhalten, das habe ich garnicht so gemeint. Ich meine nur, dass das Weglassen eines in meinen Augen wichtigen nicht-statischen Sicherheitsschrittes fragwürdig ist. Wenn man rein mit statischen, extrem leicht ausspähbaren Daten und sogar ohne Hardware (beim kontaktlosen Bezahlen ohne PIN bis 25 € ist wenigstens noch die Karte beteiligt, die man körperlich haben muß - und selbst da gibt es ja inzwischen Lösungen, die die Kartendaten irgendwo auffangen, sie woandershin übertragen und dort dann nutzen, ähnlich wie diese aktuell in der Diskussion befindlichen Sicherheutsprobleme bei den kontaktlosen Systemen bei Autos) Zahlungen auslösen kann, dann ist das für mich wirklich fragwürdig. Zumal wenn man es für ALLE Kunden automatisch aktiviert. Genau wie diese von manchen Sparkassen automatisch aktivierte AboLaden-Funktion - wenn man nicht aktiv widerspricht. Auch das halte ich für fragwürdig. Und ich unterstelle auch, daß die Motive für derlei Handeln nicht "mehr Komfort" für den Kunden sind, sondern dass man sich davon verspricht, daß der Kunde schneller und unreflektierter Geld ausgibt und man damit dann an die Transaktionsgebühren-Einnahmen pusht.

Naja, ich denke, das Motiv ist ein anderes. Es geht darum, ggü. dem mobilen Bezahlen per NFC/Handy ein adäquates, etabliertes und vorhandenes Gegenstück im Angebot zu haben. Genau damit die Menschen, die die Wahl haben, eine Karte ihrer Bank zu verwenden und halt nicht eine App oder ein Smartphone eines Providers.
Es geht hier gewaltig um Marktanteile am Zahlungsverkehr und auch in großen Anteilen der Zukunftsangst vorhandener Geschäftsmodelle.

Aber im wahrsten Sinne deiner Worte hast du Recht und ich bin da völlig bei dir: fragwürdig - "der Fragen würdig" ist das wirklich. Also jeder sollte sich Gedanken machen, wem er sein Geld anvertraut und vor allen Dingen: Welcher Technik genau vertrau ich. Das ist ganz in meinem Sinne und auch im Sinne unseres Forums.

Ich gehe persönlich nicht davon aus, dass wir uns hier große Sicherheitsmankos befürchten müssen.
Datenschutz und alle Fragen darum haben ebenfalls große Aufmerksamkeit, auch wenn es 99,x Prozent der Bevölkerung im täglichen Leben offensichtlich kaum interessiert. Ich bin sehr gespannt, ob wir in 5, 10 Jahren solche Diskussionen noch führen, bzw. führen können oder wollen.

Gruß
Raimund

du musst es ja erstmal angeboten bekommen

das müsste vom Anbieter (girosolution) sein
wenn es die Bank wäre, hätten ja die AGBs geändert werden müssen - eine Änderung dieser wurde mir nicht zur Kenntnis gegeben
des weiteren wird ja nicht generell bei Kleinbeträgen auf die TAN verzichtet


sollte mal von den "farbigen" bei den Kollegen/ internen Abtlg. angefragt werden
muss ja schriftlich dokumentiert sein


Dies bestätigt aber irgendwie ja auch @msa Aussage, nämlich dass Marktanteil (Umsatz) vor (der sonst in den Himmel gelobten) Sicherheit geht


was Banken damit machen wissen wir ja :bandit:


nein, warum auch
gegen Missbrauchs-Transaktionen wird das Gateway "giropay" abgesichert sein, dh. es können bestimmt nicht x-Zahlungen in kurzer Zeit erfolgen, dann wird bestimmt eine Sperre greifen

@all
aber ich wollte Thread hier nicht kapern, wir sollten es hierauf beruhen lassen

Zum geplanten Verzicht auf eine PIN-Eingabe:

Heute erreichte mich von der ING-DiBa eine Mitteilung, dass VISA offenbar sogar den umgekehrten Weg geht. Diese Onlinezahlungs-Bestätigung via "Verified by VISA" erforderte ja bisher die Eingabe eines Speziellen Verified-by-VISA-Passworts. Die Erfahrungen damit scheinen nicht so gut gewesen zu sein. Das VbV-PW entfällt zukünftig, stattdessen muß man zukünftig in so einem Fall eine TAN eingeben. Es stand da zwar noch nicht, wo man die herbekommt, aber das ist ja auch egal. Man geht dort also den umgekehrten Weg. Giropay glaubt nicht mal mehr die statische Sicherung zu brauchen, bei VISA ist die statische Sicherung nicht mehr gut genug, man braucht eine dynamische. Mir ist schon klar, daß es bei Giropay nur um kleinere Beträge geht und mit dem VbV mitunter sehr viel größere Beträge bewegt werden. Aber mir geht es um's Prinzip. Wenn die "Lücke" (in meinen Augen ist es das) bei Giropay massenhaft ausgenutzt wird (und bis das ein Trojander tut ist es bestimmt nur eine Frage der Zeit), ist der Schaden auch groß. Klar kann man sagen "trägt ja die Bank". Nur werden diese Beträge sicher nicht von den Vorstandsgehältern abgezogen, es zahlen letztendlich die Bankkunden über erhöhte Gebühren. Und dass das Geld zunehmend über Gebühren kommen muß, erleben wir ja gerade. Wenn wir noch stärker steigende Gebühren als nötig haben werden, nur weil div. Vorstände mal wieder etwas zocken wollen, ich hab da wenig Verständnis dafür.

Nene, lol, das ist zu einfach. Genau das haben doch die Banken durch kalkuliert - es ist halt unter'm Strich günstiger, sonst ergibt es kaum Sinn. Ertrag ist immer noch Einnahme abzüglich der Kosten. Banken können nicht auf der anderen Seite die Sicherheit weglassen und dann sagen, die Kosten verteilen wir und die Erträge behalten wir schön selbst, auch wenn manchmal der Eindruck erweckt wird. Hinter dem steckt schon eine Kalkulation.
Das Banktrojaner sich um 30,00 Euro bemühen, wäre neu, selbst das 10-fache ist aktuell eher ungewöhnlich. Aber das muss ja nicht so bleiben, wenn damit massenhaft z.B. Bitcoins erworben werden, wäre das natürlich schon ein Faktor.
Gruß
Raimund

Na dann haben wir ja schon mal 'nen Businessplan! :bandit:

Die norisbank erlaubt die Aktivierung des PhotoTAN-Verfahrens ohne TAN. Es wird nur Kundennummer und PIN benötigt. Anschließend wird der Aktivierungs-Brief per Post zugeschickt.