Hallo miteinander!

Bei der Auseinandersetzung mit dem Thema „Homebanking“ haben sich im Wesentlichen für mich folgende Fragen ergeben:

1. Bei der Anmeldung für Homebanking hat mir die Bank eine PIN zugeteilt, die ich bei der ersten Online-Anmeldung eingeben muss. Danach muss ich umgehend diese PIN ändern. Kann ich diese frei wählen oder muss (oder sollte?) ich die PIN eingeben, die ich auch am Automaten eintippe?

2. Ich habe mich beim TAN-Verfahren für den TAN-Generator (sm@rt TAN-Generator) entschieden. In den Sonderbedingungen des Vertrages steht, dass dieser sicher zu verwahren ist. Nun lese ich aber im Internet, dass dieser Generator, der eigentlich nur ein Lesegerät des Chips der EMV-fähigen Karte ist, eine genau so gültige TAN erzeugt, wie sie mit einem baugleichen Gerätetyp erzeugt würde.

D. h. wenn der „Generator“ tatsächlich nur ein Lesegerät ist, besteht überhaupt keine Notwendigkeit dafür, diesen unbedingt sicher aufzubewahren, da jeder andere mit einem ähnlichen Gerät genau so gültige TANs erzugen kann. Natürlich ist mir klar, dass beim Verwenden einer TAN alle zuvor erzeugten TANs ungültig sind. Aber man führt ja nicht täglich irgendwelche Transaktionen aus. Für mich (absoluten Laien auf diesem Gebiet) bleibt völlig unklar, warum man nicht jedem Kunden einen individuellen Kartenleser ausstellt bzw. die einmalige Seriennummer ans Rechenzentrum schickt und somit die Sicherheit erheblich steigert, da nur noch ein Lesegerät gültige TANs erzeugen kann.
Eigentlich müsste das gesamte Verfahren ja als ziemlich unsicher eingestuft werden, wenn man berücksichtigt, dass – unter Kenntnis der PIN – die Karte ja nur ein Mal kurz in das Lesegerät geschoben werden muss, um damit Geld abbuchen zu können. Bei der „konventionellen“ Methode am Automaten muss man immerhin die Karte schon für längere Zeit entwenden. Und wenn irgendjemand mal kurz die Karte in so ein Gerät steckt, ist dies sicherlich unauffälliger, als wenn jemand gleich mit der ganzen Karte abhaut, denn dann wird man diese sofort sperren. Habe ich das also so richtig verstanden, dass mit jedem Gerät gültige TANs erzeugt, pardon, gelesen werden können? Wäre es nicht viel sicherer, die Gültigkeit erzeugter TANs auf vllt. 5 Minuten zu begrenzen?

Für kompetente Antworten wäre ich sehr dankbar!

Viele Grüße
Nachteule

Hallo Nachteule,

vorweg kurz eine Einordnung als was Sm@rt TAN eigentlich gedacht ist, da dann auch die Einordnung der Sicherheit sinnvoller ist: Als Ersatz des papierhaften TAN Bogens.

Zu deinen Fragen:
Das Lesegerät, ist wie Du schon richtig angemerkt hast, ein Lesegerät. Der TAN Generator selber ist auf Deiner VR-Bankcard. Wie bei allen anderen TAN Verfahren auch liegt die Grundlegende Sicherheit in der Kenntnis eines Geheimnisses (PIN) und einer begrenzten Anzahl von Legitimationsdaten für die Freigabe eines Auftrags (TAN).

Das Einbringen einer Seriennummer des Lesegerätes in die Berechnung einer TAN, wäre von der Verwaltung erheblich aufwendiger (jeder TAN Kunde müßte sein Gerät registrieren lassen!), ohne das es einen echten Sicherheitsmehrwert bringen würde.
Wenn ich in der Lage bin die PIN auszuspähen/in Erfahrung zu bringen, bin ich sicherlich auch in der Lage in den Besitz dieses Lesers zu kommen und würde mir so vorab ein paar gütige TANs generieren können. Ohne dass es sofort bemerkt wird! Bei der papierhaften TAN funktioniert das genau so! Wenn ich den TAN Bogen irgendwo liegen sehe, kann ich mir auch die TANs abschreiben!

Die TANs mit einem Zeitstempel zu versehen, würde die Sicherheit in der Tat erhöhen, wenn es darum geht, dass jemand heimlich sich ein paar TANs hat generieren lassen oder heimlich generiert hat. Aber auch hier steht der Nutzen nicht in einem sinnvollen Verhältnis zur erhöhten Sicherheit. Derzeit gibt es mehr als 1.000.000 Sm@rt TAN Leser bei den Anwendern (Sm@rt TAN plus nicht mit gezählt). D.h. Man müsste sicherstellen, dass diese alle eine Uhr enthalten, die synchron mit der Uhr im Rechenzentrum läuft und ggf. nachgestellt werden kann. Dies würde das Verfahren und die Geräte deutlich teurer machen und würde dennoch nicht vor dem Ausspähen der TANs und direkter Nutzung schützen. Wenn Du also ein Trojaner auf deinem PC hättest, der die TAN bei der Eingabe abfängt und direkt benutzt, ist die TAN genauso (un)sicher wie die einer Sm@rt TAN oder eine Papier TAN, oder einer indizierten TAN (wenn der Trojaner das geschickt "anfängt"). Das heißt im Vergleich mit der papierhaften TAN ist Sm@rt TAN sicherer (begrenzte Gültigkeit der generierten TAN und es ist nur eine bestimmte Anzahl von TANs gleichzeitig gültig), wenn Du einen echten Sicherheitsmehrwert haben möchtest und bei der TAN bleiben möchtest, bringt Dir nur ein Verfahren etwas, bei der die TAN einen Bezug zum Auftrag hat, den Du auf einem unabhängigen Weg kontrollieren kannst. Dies sind derzeit die mobile TAN und die Sm@rt TAN Weiterentwicklung Sm@rt plus. Bei der fließen immer Daten des Auftrags in die TAN Berechnung ein, den Du grade verschickt hast. Aber vor einem Diebstahl der Karte und dem gleichzeitigen Ausspähen der PIN schützt das verfahren natürlich auch nicht. (Dir nutzt eine Alarmanlage im Auto auch nichts, wenn Dir der Autoschlüssel gestohlen wird.....)

Gruß

Holger

Hi Holger!

Erst einmal vielen lieben Dank für deine Antwort
Ich glaube, das mit dem TAN-Lesegerät habe ich jetzt etwas mehr verstanden, nur bin ich mir noch unsicher, ob ich nun als PIN beim Homebanking einen anderen als den am Schalter (wenn ich was mit Karte abhebe) verwendeten PIN eingeben muss...

Viele Grüße
Nachteule

Hallo Nachteule,

du musst, aber nur aus folgendem Grund:
Die Länge der PIN für eine Bankkarte ist eine andere als die für Homebanking genutzte PIN.
Kartenpins sind 4-stellig, OB-PINS i.d.R. 5 und manchmal auch 6-stellig.

Aus Sicherheitsgesichtspunkten macht es Sinn, die PIN inhaltlich unterschiedlich festzulegen. Also nicht umbedingt Karten-PIN + eine beliebige Stelle.

Würde die Karten-PIN verlangt, würde das irgendwo stehen. Zudem bräuchte die Bank dir dann aber auch keine Start-PIN mitteilen, das wäre sinnlos.

hallo Holger Fischer

so ganz korrekt sind deine Infos nicht

erstmal hat jeder Tan Generator bereits eine eigene Serienummer hinten dran,
die ist einmalig, genau die könnte man sehr wohl zum freischalten fürs eigene Online Banking benutzen, warum das extra kosten sollte erschließt sich mir nicht den diese Nummer existiert ja schon ,
und die Herstellung einer Pinaktivierung am Generator wird wohl - wenn überhaupt, so gut wie keine Extrakosten entstehen lassen, man betrachte sich doch nur einmal was das kleine Kästchen bereits kann und wieviel Tasten darauf angebracht sind, da ist jede menge Spielraum integriert,
eine Nummer mehr zur Aktivierung tut da keiner Bank weh


eine Kontoeröffnung gelingt ja auch nur durch eine Freischaltung durch eine Pin, warum also hier drauf verzichten ? Sicherheit geht doch vor !


da so ein Generator die Empfängerdaten anzeigt wie z.B. Kontonummer, Geldbetrag bis 2 Stellen hinterm Komma sowie eine Tannummer kommts auf eine einzige Nummer mehr eh nicht mehr an


außerdem hat sich z.B. eine Sparkassen Bank ein Riesen Geschäft durch die Finger gleiten lassen,
als Beispiel : eine 5 Köpfige Familie ,welche jedes Familienmitglied bei ein und derselben Bank ein eigenes Konto hat kann mit einem einzigen Tan Generator alle ihre Bankgeschäfte abwickeln, so hat man sich als Familie 40€ gespart


was mir auch suspekt ist : eine Tannummer ist 6 stellig, das bedeutet das nur 999999 Zahlen möglich sind, meine Prognose ist das innerhalb von 1 Woche alle Tannummern BRDweit benutzt worden sind, warum ? es gibt ja Millionen von Kunden bei ein und der selben Bank, irgendwann wirds da ja wohl eng werden, das das dann einfach so von vorne bei null beginnt ist aberwitzig
denn, so ein Tan generator kennt ja nicht die Anzahl an Kunden, deren namen und die Anzahl an Bankkarten, das 2 Kunden die selbe Tannummer benutzen klingt nicht nach Sicherheit



auch kann man jetzt nur noch mit großem Bildschirm arbeiten, ob da das Display eines handys oder IPhons groß genug ist ??????!!!!!!!!



weiterhin ist da aktuell keine Sicherheits Verbesserung gegeben, da braucht einer nur deine Karte reinzustecken und schon kanns losgehen, sich die Zugangscodes zu besorgen ist immer noch leider sehr einfach, geht nur mal an öffentliche Plätze an welchen sich geldautomaten befinden, diese Zugangspin ist sehr leicht abzulesen, aus der Entfernung via Fernglas z:B.
oder die Vorrichtung am Geldautomaten die per Attrappe ersetzt wurde...........

wie bereits erwähnt, die einmalige Freischaltung mit einer 4 bis 6 Stelligen Zahl um den Tan Generator freizuschalten hätte Pflicht sein müssen, entweder durch die Seriennummer des Generators, einer Pin oder durch die Individuelle einmalige Bankkartennummer die jeder von uns bereits hat



bin mir sehr sicher das dies irgendwann so kommen wird samt dem Zwang das jeder Kunde eine neue Bankkarte beantragen muß die zum neuen Generator paßt, , noch ists günstig, knapp 10€ ist zwar schon ne Frechheit aber was will man machen wenn man Online Banking attraktiv findet


schönen Tag euch allen


Alex

Hallo Alex,

oh meine Informationen sind sogar sehr korrekt! Wenn Du auf das Datum schaust, stammt der Thread aus dem Jahr 2007 und damals ging es um eine ganz andere Generation von TAN Generatoren.
Unabhängig davon, wären deine Argumente nach dem ersten Überfliegen nicht ganz verkehrt, wenn Sie der technischen Gegebenheit entsprechen würden.
Da ich aktuell im Büro bin und nicht so viel Zeit für eine lange Antwort habe (die ggf. später): Die wichtigsten Irrtümer:
- Das Gerät ist nicht der eigentliche TAN Generator, sondern nur ein Ein- und Ausgabegerät. Der eigentliche TAN Generator sitzt auf der Bankkarte (Girocard oder eine sonstige Karte, die hierfür zur Verfügung gestellt wurde).
- Der "TAN Generator" (Sprich das Ein- und Ausgabegerät) ist austauschbar, die Seriennummer des Gerätes hat für Sicherheit keinerlei Bedeutung (einfaches ablesen und eintippen kann abgefangen werden)
- Die "Personalisierung" der TAN erfolgt durch die Karte, die einer bekannten Person zugeordnet wurde.
- Die technische Sicherheit rührt daher, dass in die TAN Berechnung diverse Informationen einfließen, die durch die Bank nachgerechnet werden kann
- Die echte Sicherheit rührt daher, dass diese Informationen auftragsgebunden sind und durch den Anwender kontrolliert werden kann (muss!)

Viele Grüße

Holger

"das war bisher auch der Fall duch normales papier samt Pinnummer drauf, wo ist die Veränderung, bisher konnte jeder Auftraggeber ja auch immer selbst entscheiden : sende ich das ab oder nicht ?
"
Falsch, bei TAN/iTAN weißt Du nicht wohin du das gesendet hast !

das ist eine Antwort auf eine andere Frage ,
meintest du die TAN/ITan oder den Auftrag ?

ersteres : nein , zweiteres : aber sicher, das abzusenden oder nicht entscheiden wir

Hallo Simbelmyne,

mal eine Frage, hast du dich schon jemals mit den derzeigen TAN Verfahren auseinander gesetzt?
Wenn ich mir dein geschreibsel hier angucke kann ich das nicht wirklich glauben.

Erstmal grundsätzlich zum Ablauf
- Du füllst eine Überweisung im Onlinebanking aus
- sendest diese zum Rechenzentrum deiner Bank
- das Rechenzentrum berechnet aus den Daten der Überweisung zwei Werte
- diese gibst du in deinen TAN Leser ein, werden bei Barcode vom Bildschirm gelesen oder schon fertig verarbeitet vom Rechenzentrum als TAN und Auftragsdaten an dein Mobiltelefon gesendet.
- jetzt besteht für dich die Möglichkeit und Pflicht! die Auftragsdaten zu prüfen. Werden dir hier andere Daten angezeigt als du eingegeben hast, dann brichst du ab.
- du gibst die TAN ein und der Auftrag wird ausgeführt. Wird der Auftrag nach TAN Eingabe verändert, ist die TAN automatisch ungültig weil die Überweisungsdaten nicht mehr stimmen.

Warum funktioniert das ganze so? Ganz einfach, bei deiner Bank ist eine und auch nur eine EC-Karte oder Mobiltelefonnummer für dich registriert.
Dir müsste also schon deine EC-Karte und die OnlineBanking PIN gestohlen, bzw. dein Mobiltelefon und die OnlineBanking PIN gestohlen werden damit eine Fremdverfügung möglich ist.
Dazu kommt das die Errechneten Daten nur 5 Minuten gültig bleiben.

Gruß
Muriiii

hi Muriiii
ja seit mehreren Monaten klappt alles herrvoragend


warum ich hier im Forum schreibe ist, ich bin der Meinung das

1. die Kosten sehr günstig gehalten werden können und die Bank hat das zu bezahlen


2. absolute Sicherheit gibts nicht, und das was bisher getan wird ist eine Farce, was ganz sicher kommen wird ist eine Veränderung nach der anderen, nicht nur im Banktransfer für Privatkunden sondern auch Global im Geldwirtschaftssystem - dahingehend das alles zusammenkracht *
ich persönlich hätte als Entwickler solch eines Generators andere Raffinessen zur Wahrung der Sicherheit miteingebaut,lediglich ne Pin einzugeben und an Bildschirm zu halten kanns net sein !


Ahoi

sorry, aber arbeitest du auch umsonst? will alles neu, schnell, sicher, unkompliziert und sofort aber zahlen will ich nix! klar! so kommt man im leben weiter!
das thema ist echt keine diskussion mehr würdig!


du lebst schon in einer traumwelt, oder? das verfahren ist sicher! der schwachpunkt hier liegt alleine beim anwender und seinem system, wenn der die daten kontrolliert kann nichts passieren. selbst wenn er die karte verliert kann auch nichts passieren wenn er nicht zuvor seine kompletten zugangsdaten demjenigen der die karte hat preisgegeben hat. Die karte muss real vorliegen, eine kopie zu erstellen ist technisch schlichtweg nicht möglich. was willst du also noch mehr?? irgendwann muss man auch ein bisschen auf den menschlichen verstand und die minimalanforderungen an intelligenz vertrauen. wer das nicht hat solls lassen.

Hm,
irre ich mich ...
oder hat Simbelmyne bisher eigentlich noch keine klare definierte Frage gestellt .....

Kann natürlich auch sein, dass ich etwas überlesen habe....
Was soll man denn da noch antworten.
Simbelmyne hat seine Meinung doch schon gebildet....

Wir haben derartige Anfragen hier auch öfter.

Um bei dem aktuellen TAN-Verfahren mit Generator in Schwierigkeiten zu kommen, muss man schon EC-Karte, Anmeldename/-Nummer sowie PIN/Anmeldepasswort kollektiv verlieren. Dass gerade die beiden zuletzt genannten Informationen nix auf der EC Karte zu suchen haben, ist sicherlich klar.

Und sollte es dennoch passieren, genügt ein kurzer Anruf bei der Hausbank und die Karte wird gesperrt bzw. die PIN erneuert.

Eine zusätzliche PIN, nur für den Generator, wäre unnötige Schikane derer, die das Verfahren richtig nutzen. Man darf auch mal einfach und nicht immer nur kompliziert.

zugegeben , eine 4 bis 6 stellige Pinzahl extra und einmalig in den Generator einzugeben ist ne Zumutung, dauert das doch glatt 5 Sekunden , in denen könnte man auch etwas anderes tun z.B. Prinzen zeugen, aber hey, Sicherheit geht vor *



bei Handys wird das ja schließlich auch gemacht, und dort eine Pin einzugeben wird nicht extra berechnet, oder etwa doch ? das wäre neu *


nun, jeder Bankkunde hat ein persönliches Konto auf seinen Namen, eine persönliche Bankkarte mit Kartennummer drauf, warum auch nicht einen eigenen Generator , für den man ja immerhin um die 10€ bezahlen darf ?


hier könnte es perfect zusammenarbeiten, die Kartennummer in den persönlichen Generator einzugeben bietet ganz gute Sicherheit, das arbeitet sozusagen Hand in Hand,somit ist eine Fremdbenutzung der eigenen Bankkarte mit fremden Generator unmöglich, braucht man ja auch zusätzlich noch die Onlinehomebanking Zugangsdaten

Freischaltung ist ne wirklich feine Sache

Jeder Bankkunde hat doch einen 'persönlichen Generator'. Das "Problem" ist, dass das was landläufig als "Generator" bezeichnet wird, gar kein Generator ist... Das Lesegerät zu personalisieren macht das Verfahren nur unnötig kompliziert. Die Sicherheit wird dadurch nicht wesentlich verbessert.

kompliziert ?





wo den, in der Praxis oder im Kopf ?



wer hat uns denn den Pinzahlenerzeuger aufgeschwatzt ?

Ich glaube Du hast immer noch nicht den Unterschied zwischen
"Smart TAN" und "Smart TAN+" (aka ChipTAN) verstanden.

Gruß,
Vader

Was verstehe ich hier falsch ??

1. Kann man jeden x-beliebigen Kartenleser, der zur Erzeugung bzw. Darstellung von TAN-Nummern geeignet ist, nehmen. (Mal die Geschichte mit der HHD Version außen vor.) Personalisiert ist lediglich die Karte, mit der das Online-Banking betrieben wird.

2. Hat Dir niemand irgendetwas "aufgeschwatzt". Du hast immer noch die Wahl aus mehreren Online-Banking - Möglichkeiten".

Es ist ein Teufelskreis. Da sagt man zu (Gottseidank sind es wenige Kunden)
"Heh lieber Kunde. Du bekommst was neues, sicheres". Dann kommt der Aufschrei. "Ich will mein altes behalten. Ist doch so bequem ...." Andereseits ist dann das Geschrei groß, dass man doch alles sicherer machen soll. Macht man dies sind wir wieder am Anfang.

Wie man es macht, man macht es verkehrt.
Eierlegende Wollmilchsauen gibt es noch nicht.

PS: Simbelmyne. Ich glaube persönlich nicht daran, dass Du hier an einer Diskussion interessiert bist. (Das ist mein persönlicher Eindruck)
Alles ist schlecht und böse ...... :errr:

seh ich genau so, wenn du nur schimpfen willst, bist du definitiv falsch hier!
und fachlich ist deine diskussion nicht mal im entferntesten. wer ins wasser geht sollte auch schwimmen können...