Die Volksbanken haben es bereits etwas länger, die Sparkassen sind nun auch schon einige Zeit dabei die Sicherheit durch den Chip der ec-Karte zu verbessern. Lt. Golem wird die Postbank dieses Verfahren nun endlich auch einführen und schafft damit auch den TAN-Bogen bis Mitte 2011 ab.


Quelle:
http://www.golem.de/1010/78652.html

Na dann werden hoffentlich auch alle anderen mal nachziehen und TAN/iTAN komplett beerdigen.
(Danach werden wir wohl zwangsläufig sehen wie sicher die anderen Verfahren sind, da sich die Angriffe ja dann darauf verlagern werden.)

Das liegt dann aber bei chipTAN und smsTAN nicht mehr am Verfahren (soweit es keine Sammler sind) sondern höchstens an der mangelnden Aufmerksamkeit des Benutzers.
Bin mal gespannt, wie ein echter Schadenfall bei chipTAN/smsTAN abgeurteilt werden wird. Denn da kann es ja eigentlich keine Begründung mehr für eien Mitschuld/-haftung der Bank geben...

oder das hier:
http://www.onlinebanking-forum…hp?t=12248

Wenn man sich die Aussagen der Postbank anschaut, fällt mir direkt ein Werbespot eines bekannten Bonbonherstellers ein: Wer hats erfunden?.......

Ich hätte mal zwei Fragen zu den mTAN- und chipTAN-Verfahren.

Wie lange dauert es denn bis die Postbank die mTAN aufs Handy übermittelt? Wenn das beispielsweise mehrere Minuten dauert, wäre mir das echt zu lange. Auch loggt mich die Postbank im Zweifel ja bei längerer Inaktivität wieder aus.

Wie ist denn die Verbindung zwischen dem Chipkartenlesergerät und dem PC? Ich habe das einmal vor längerer Zeit bei einem Bekannten beobachtet. Da hat es gleich mehrerer Versuche gebraucht bis sich die beiden "fanden". Das fand ich allein vom Zusehen so nervenzehrend, dass ich dieses Verfahren uninteressant fand.

Damit kein Mißverständnis entsteht. Mir ist die Sicherheit auch wichtig.l Aber Online-Banking betreibe ich vor allem weil es bei den iTAN zügig vonstatten ging.

Bei iTan geht dein Geld vor allem zügig von dannen, leider oft nicht dahin . wo du es hin haben willst.

mtan bei der Postbank kommt idR innerhalb von 10sec
chiptan (optisch) ist oft Monitor oder Auflösungsproblem

In der Regel 10 sec, auch bei anderen Banken! Ich nutze selber mobileTAN, und auch, wenn ich nicht in meinem Heim-Handy-Netz bin (sondern im Roaming), ist die TAN in dieser Zeit da. Schwierig wird es aber bei den Discount-Handyanbietern wie z.B. AldiTalk, Fonic usw, die sich das Netz eines anderen Anbieters nur "ausleihen". Hier kann es passieren, dass der orginäre Netzbetreiber erst seine eigenen Daten übermittelt und den Zweitanbieter warten lässt... Alles schon passiert!



Dazu gibt es ein paar tolle Filmchen auf den Homepages der Banken, google doch einfach mal "ChipTAN" (u.a. Sparkassen und Postbank) oder "SmartTAN plus" bzw. "SmartTAN optic" (Volksbanken). In den Filmchen wird der Ablauf schön einfach erklärt

finde ich sehr vernünftig, bin kein großer fan der ganzen tan sache (auch weil ich meine liste regelmäßig verlege)
aber wesentlich sicherer kanns eigentlich auch nicht sein oder, wenn man aufpasst und keinem fremden irgendwelche daten gibt sollte man doch immer auf der sicheren seite sein!

Doch!
Der Grund ist, dass du die iTan "blind" eintippst. Du kannst der Bildschirmanzeige hier nicht trauen, weil der moderne Trojaner die komplett manipuliert. Bei ChipTan (im Display des Generators) oder mTan (in der SMS) gibt die Bank dir nochmal die Daten der eingereichten Überweisung.
Du willst also 100,-€ an Fa. Maier überweisen und hast trojansiche Gäste auf deinem PC. Der macht aus den 100,- an Maier 10.000,- an Schmitz. Das sagt er Dir aber nicht. Auf deinem Bildschrim steht weiter 100,- an Maier. iTan rein => 10.000,- unterwegs zu Schmitz. Du hast keine Chance.
Bei den modernen Verfahren bekommt du die Mitteilung: 10.000,- an Schmitz? Ja?? Wirklich ??? Dann gib bitte die Tan 123456 ein. Hier kannst du die böse Sache erkennen. Wenn Du die Tan natürlich trotzdem eingibst ...

kann jemand das schreiben der postbank posten (ohne kundendaten natürlich9 ?

kam leider doppelt. Entschuldigung.

Hallo,

vielen Dank für Eure Antworten und entschuldigt bitte, dass ich mich erst heute wieder melde.

Zum Beitrag, dass bei der iTAN das Geld oft nicht dorthin geht wo ich es hingehört wollte ich noch folgendes schreiben:

Ich bin mir schon bewußt, dass iTAN über MITM und MITB - Attacken verletzbar sind. Aber es stimmt einfach nicht, dass dies "oft" geschieht. Meine Familie, meine Freunde und Bekannte, etliche Arbeitskollegen und ich führen seit Jahren Online-Zahlungen mit iTAN/TAN durch und kein einziger wurde jemals Opfer eines solchen Angriffs.

Ich selbst mache seit mehr als 10 Jahren Online-Banking und habe in der Vergangenheit meinen gesamten Zahlungsverkehr über das Internet abgewickelt. Rein statistisch wäre ich sogar ein ideales Opfer, da ich immens viele Zahlungen (wenn es auch kleine sind) dabei habe.

Auch für MITM und MITB-Angriffen muss ich ein Trojanisches Pferd einschleußen oder beispielsweise den Browser manipulieren. Beuge ich beidem vor, indem ich eine Hardware-Firewall habe, meine Programme einschl. besonders Virenscanner regelmäßig update, einen Browser nutze, dem die Sicherheit wichtig ist und darauf achte was beim PC passiert...reduziere ich die Angriffsfläche enorm.

Ganz klar: Das ist kein 100%-iger Schutz.
Aber ich bin mir auch ziemlich sicher, dass "virtuelle Schurken" nicht den persönlichen Ehrgeiz haben, das Konto von Sardubnotal leer zu räumen, sondern die wollen möglichst viele Konten plündern. Kein Angreifer auch keine besonders maschinell unterstützten Aktivitäten unternehmen einen gut gesicherten PC zu attackieren.
Denn genau wie bei Spams, DDoS etc. sind Malware-Angriffe heute ein Massengeschäft für die Gauner.

Von daher ist der [/B]Zwang[/B] der Postbank auf mTAN oder Chip-TAN umzusteigen für mich keine akzeptable Lösung.
Es ist lobenswert, dass Ihr die Erfahrung machtet, dass die Übermittlung der TAN beim Handy schnell geht.
Aber für mich bleibt das Manko, dass ich bei diesen Lösungen ständig ein zusätzliches Gerät mit mit herumschleppen muss und das ist mir das Minimum an mehr Sicherheit nicht wert.

Wohlgemerkt. Das ist meine persönliche Meinung. Es ist für mich vollkommen in Ordnung, wenn es jemand ander sieht.

Nur wenn ich das Online-Banking so umständlich gestalte, kann ich auch gleich wieder auf Zahlung mit Papierbelegen umsteigen.

Noch eine persönliche Bitte zum Schluß: Falls mir jemand aus seiner eigenen Erfahrung eine unkomplizierte Bank empfehlen kann, die kostenlos Online-Banking ohne Zusätze wie ein Depot (das brauche ich halt nicht) nennen kann, freue ich mich. Gerne auch via PN, falls dies hier Forum nicht öffentlich erfolgen darf.

Allen ein schönes Wochenende...und bitte nicht böse sein, wenn ich die Maßnahme der Postbank insbesondere als Zwangversion wenn man Online-Banking weiter haben möchte überzogen sehe.

Tschüs

Sardubnotal

Hi,

Es geschieht immerhin so oft, dass sich die Banken gezwungen sehen zu reagieren! Wenn das nicht der Fall sein würden, würde man immer noch auf den alten TAN Bogen setzen.


So ist das mit der Statistik. Der Nächste hat 10 in seinem Bekanntenkreis...


Nicht die Anzahl der Transaktionen erhöhen die statistische Wahrscheinlichkeit, sondern dein Surfverhalten und der Umgang mit dem Internet.




Wenn alle das Bewustsein hätten, bräuchte man keine neuen Verfahren. Die Mehrheit der Leute hat das aber nicht.

Oder anders: Wenn es einen Führschein für das Internet geben würde, dürften viele nicht ins Internet.

Viele Grüße

Holger

hey, spitzen Argument, ich fahr schon ewig Auto und alle meine Bekannten hatten noch keinen schweren Unfall. Weg mit den lästigen Sicherheitsgurten und Airbags!
Leider fahren nicht alle so vorsichtig wie ich und nicht alle sind so sicher online unterwegs wie du.

Gruß
Raimund

Hallo Holger, Raimund und natürlich alle Anderen,

zunächst einmal vielen Dank für Eure Antworten.

Falls ich mich missverständlich ausgedrückt habe. Meine Ablehnung gegen mTAN und Chip-TAN ist meine rein persönliche Einstellung (muss keiner beherzigen), die allerdings nicht darauf basiert, dass mir das alles egal ist (wem ist dies schon möglich beim Geld), sondern weil ich meinen PC gut absichere.

Gut bedeutet natürlich nicht zu 100 %. Die hat man allerdings auch nicht bei mTAN und Chip-TAN.

Bei der mTAN könnt Ihr die sogar vielen Angriffsszenarien bei Wikipedia nachlesen -> http://de.wikipedia.org/wiki/Transaktionsnummer

Die Angriffe sind derzeit noch nicht so ausgereift. Wenn aber die mTAN die iTAN bei der größten deutschen Privatbank komplett ersetzt, werden sich die Angreifer dann schon verstärkt darum kümmern...einfach weil es sich für sie dann lohnt. Denn hier geht es nicht um "Hacker-Romantik", sondern um Gauner die auf die Schnelle absahnen wollen.

Bei der mTAN käme außerdem noch hinzu, dass man mehr oder minder ständig ein Handy haben muss. Für viele wahrscheinlich würde dies nur bedeuten, dass sie es noch ein wenig besser darauf aufpassen müssten, weil sie es bei jeder Zahlung herauszuholen ist.

Für mich persönlich wäre es halt noch ein Ärgernis, weil ich weder Vieltelefonierer bin, noch muss ich ständig erreichbar sein...so dass Handys (ganz im Gegensatz zum Internet) für mich persönlich keine Bedeutung haben. Aber ganz klar: Dieser Absatz betrifft auch nur mich persönlich.

Bei der Chip-TAN sehe ich im Augenblick virtuell geringere Angriffsmöglichkeiten als bei der mTAN.

Allerdings wiegt der Nachteil des zweites Gerätes noch viel gravierender als bei der mTAN.
Wird z.B. da das Chip-Gerät in einem unachtsamen Moment geklaut ist gleich die darin steckende Bankkarte mit weg.

Nun wird manch einer vielleicht einwenden. Ja dann muss ich halt aufpassen. Im Grundsatz absolut richtig. Nur wenn ich nicht gezwungen bin statt iTAN das Chip-Gerät zu nutzen, hole ich die Bankkarte überhaupt nicht aus dem Portemonnaie...und das war es dann mit den in meinen Augen mit der minimalen Sicherheitsverbesserung gegenüber einem gut gesicherten PC+iTAN.

Zusätzlich scheint mir der Kontakt zwischen Chip-Gerät und PC nicht unproblematisch, wie man dieser Anwendungsbeschreibung der Postbank entnehmen kann ->
http://www.postbank.de/-snm-01…A78D1.f091

Originaltext der Postbank bei Bild 4:„Vergewissern Sie sich, dass die Positionierungsmarken (kleine weiße Dreiecke) am Bildschirm und an Ihrem TAN-Generator übereinander stehen.
Passen Sie ggf. die Größe der animierten Grafik über die Buttons „+" und „-" so an, dass die Marken von Grafik und Gerät übereinstimmen.“

Ganz ehrlich: Ich nutze Online-Baking nicht um der Postbank einen Gefallen zu tun, sondern um es mir komfortabler zu machen als bei den Papier-Überweisungsaufträgen.

Genau so wie die Postbank (wie alle anderen Banken auch) das Online-Banking nicht der „liegen Kunden“ wegen anbieten, sondern weil sie damit Kosten sparen können.

Da habe ich absolut keine Lust ggf. vor und nach jeder Online-Zahlung meine Graphikeinstellungen zu ändern, nur weil die von mir individuell gewünschten Justierungen nicht mit denen der Postbank bei ihrem Chiparten-Verfahren übereinstimmen.

Deshalb abschließend noch einmal meine individuelle Bitte: Falls jemand eine Bank empfehlen kann, die in absehbarer Zeit nicht ihre Kunden zwangsweise vor die Wahl stellt entweder vom iTAN (Komfort-TAN; leider gibt es ja hier verschiedene Namen) auf mTAN/Chip-TAN umzusteigen oder aufs Online-Banking zu verzichten, würde ich mich über Hinweise freuen. Wie gesagt: Gerne auch via PN, wenn dies anders nicht möglich sein sollte.

Ich bin halt bei anderen Banken nicht so informiert, weil ich ein viertel Jahrhundert Kunde der Postbank war.

Tschüs

Sardubnotal

Du brauchst die Grafikeinstellungen nicht jedesmal zu ändern, die Einstellung gilt nur für Deine InternetBankingseite (pro Bank) und dem "Flickerfenster" und wird gespeichert.
Das ist auch keine Postbank-spezifische Sache sondern ist bei allen Banken so. Der Grund: Es gibt unterschiedliche Hersteller und jeder hat eine andere Größe der Lesevorrichtung. Die muß also je nach Gerät eingestellt werden. Deshalb ist das auch kein "Bug" sondern ein "Feature" und damit eine Erleichterung für Dich.

Hi Sardubnotal,

nicht dass Du uns falsch verstehst:
Deine Ausführungen waren -mit Ausnahme der Einschätzung der Gefährdung der Mehrheit- alle soweit in Ordnung und Richtig.
Auch deine grundsätzliche Einschätzung zur mobielen TAN sind soweit richtig (wobei man bei solchen Bewertungen immer aufpassen muss : Angriffe die unter Laborbedingungen funktionieren stehen in der freien Wildbahn vor ganz anderen rein praktischen Problemen).

Wenn Du wechseln möchtest, um bei deiner iTAN zu bleiben, ist die Auswahl an Banken, die noch nicht begonnen haben umzustellen überschaubar. Spontan fallen mir von den Bekannteren die DeuBa und die Targo Bank ein.

Nur gib dich da keiner Illusion hin: Die werden folgen! Ob es dann die mobile TAN ist, oder ein chipTAN Verfahren, oder ein völlig neues Verfahren ist. sei dahin gestellt.

Zur Sicherheit: Wenn Du mit deinem PC nur die Webseite deiner Bank aufsuchst und ansonsten nichts anderes damit machst, bist Du auch mit der TAN Liste sicher. Diesesn Ansatz hat moeypenny voreiniger Zeit mal aufgegriffen.

Viele Grüße

Holger

PS Ich bin absolut kein Fan von irgendeinem TAN Verfahren. Aber die chipTAN Verfahren, insbesondere nach HHD 1.4 sind derzeit die sichersten Verfahren am Markt.

Wenn es dir um Bequemlichkeit geht und für dich eh ein Bankwechsel eine Möglichkeit ist: Schau dir mal das HBCI/FinTS-Verfahren mit Sicherheitsdatei an. Die Postbank hatte das nämlich nie. Ich fand TAN-Listen nämlich immer unbequem.

Insbesondere da du am Anfang mal geschrieben hast, dass du "immens viele Überweisungen" dabei hast, wäre das doch viel bequemer als diese nervige Abtipperei.

Beschreibung in Kurzform: Du benötigst ein Onlinebanking-Programm. Zur Legitimation nimmst du eine Schlüsseldatei (z.B. auf USB-Stick oder SD-Karte) und ein einziges Passwort, mit dem du alle deine Buchungen freigeben kannst (auf einen Rutsch!).
Und wenn dir die Sicherheit mal irgendwann nicht mehr reicht, kannst du üblicherweise bei diesen Banken immer noch einen Chipkartenleser einsetzen...

Gruß
Raimund