Hallo,

ich habe mal eine Frage zur sicheren Aufbewahrung von TANs.

Die Banken meinen ja immer, dass man diese nicht auf dem PC speichern soll. Das kann ich ja nocht verstehen.

Aber wie sieht es damit aus: Die TANs werden z.B. mit einer Software wie Subsembly Wallet gespeichert. Damit sind die Daten Passwort geschützt und mit dem Verfahren AES verschlüsselt. Wenn das Programm bzw. die Datei auf einem USB-Stick gespeichert ist, welcher normal verschlossen gelagert wird, dürfte doch dagegen normal nichts sprechen.

Denn - so argumentiere jedenfalls ich -, eine Papier-TAN-Liste ist unsicherer, weil deren Daten offen zugänglich sind, sobald die Hürde "abschgeschlossen gelagert" aufgehebelt wude. Den Schlüssel muss man ja auch irgendwo aufbewahren. Bei der Software-Methode greifen dann noch zusätzlich der Passowrt-Schutz und die AES-Verschlüsselung (welche meinen Wissens noch nicht geknackt wurde).

Was sagen die Experten hier dazu?

Viele Grüße
Thomas

Und was sollen die Banken deiner Meinung nach ändern?

Die Speicherung generell zulassen? Dann gibt es Experten, die die Nummern in einer ungeschützten Textdatei speichern..

Oder nur bestimmte Speichermöglichkeiten zulassen?
Wer soll dann prüfen, welche Anwenung gut ist und welche nicht...
Ausserdem kann es passieren, das in einer vermeitlich sichere Software eine Sicherheitslücke entdeckt wird. Wieder ist guter Rat teuer.

Da ist die jetzige Formulierung "auf eigenes Risiko" doch schon sinnvoll.

Hi,



Also meine Bank sagt dazu ganz eindeutig, dass eine Aufbewahrung auf elektronischen Medien nicht statthaft ist.


Aufwachen und veraltete AGB an den heute technischen Möglichkeiten anpassen. Oder noch besser: Sichere Methoden einführen. iTan sind doch nur eine schwache Lösung für das Phishing-Problem.

Viele Grüße
Thomas

Der Kollege hat ja schon beschrieben, dass das wenig sinnvoll ist. Die beste Aufbewahrungsmöglichkeit ist immer noch im Original und natürlich PIN und TAN getrennt voneinander. Dann kann mit der TAN-Liste nichts passieren. Selbst wenn einer die findet, kann er ohne PIN damit nichts anfangen.



Keine Ahnung, bei welcher Bank du bist, aber die meisten bieten Chipkartenlösungen an. Da musst du zwar etwas investieren, erhältst aber ein Höchstmaß an Sicherheit.

Dann mach doch mal nen Vorschlag, wie das umzusetzen ist.

Soll in den AGBs stehen, das eine Speicherung zulässig ist, wenn eine verschlüsselte Speicherung mit Blowfish, AES, RSA2048 (...) erlaubt ist und die Anwendung/Umsetzung von Instanz XYZ nachweislich als sicher eingestuft wurde?

Das geht einfach nicht.

Ganz davon abgesehen, das das für jedermann verständlich sein muss. 95% oder mehr der Anwender haben davon nun mal keine Ahnung.

Thomas hat aber imo prinzipiell nicht so unrecht, es wäre tatsächlich meiner Meinung nach in vielen Fällen sicherer, die PIN in einem vernünftig geschützten System zu speichern und z.B. ausschließlich die TAN an der Tastatur zu erfassen (Stichwort Keylogger).

Die Banken gehen aber - natürlich - von einem sauberen Kundensystem aus und betrachten in den AGB wohl eher den Diebstahl der Zugangsdaten durch Leute aus dem direkten Kundenumfeld.

Gruß
Raimund

Hallo Zusammen,

wenn die Daten gespeichert und geeignet verschlüsselt sind, mögen diese ja sicherer im Zugriff sein. Aber irgendwie müssen die Daten ja in den PC gelangen...

Wenn ich einen Trojaner schreiben müsste, würde ich mich genau auf solche Programme spezialisieren. Sobald die entsprechende Maske aufgeht, den Keylogger aktiviert und ich bekomme nicht nur eine TAN, sondern ganz ganz viele und im Idealfall sogar gleich mit dem Index dazu. Wozu dann noch Webseiten fälschen.......

Das Gleiche kann dann übrigens auch passieren, wenn dann aus dem Container die TAN in die Webseite oder in ein Programm kopiert wird. Auch hier funktionieren die üblichen Angriffe mit den bisher bekannten Trojanern. Bei Onlinebankingprogrammen, die die TANs selber speichern, gibt es sicherlich Mittel und Wege den letzteren Fall weitestgehend abzusichern. Das erste Szenario bleibt weiterhin bestehen!

Die elektronische Speicherung der TANs bringt also durchaus ein erhöhtes Sicherheitsrisiko mit sich, oder zumindestens in den meisten Fällen keinen sicherheitstechnischen Mehrwert.

Gruß

Holger

Wollte jetzt nicht den ganzen Beitrag zitieren, aber den kann ich nur voll unterschreiben.

Sinnvoll scheint mir wirklich nur die HBCI-Chipkarte. Ich will mich auch noch auf eine m-TAN oder Smart-TAN plus einlassen, weil man da wirklich nur die TAN bekommt, die man gerade braucht. Da kann auch nichts abhanden kommen.
Ich finde es auch viel zu umständlich TANs zu schützen.
Dann ist man nicht mehr mobil, weil der Bogen zu Hause auf dem Rechner geparkt ist (oder auf einem Stick, den ich aber im Internetcafe auch nicht einstöpseln darf).
Ausserdem muß ich erst ein zusätzliches Programm aufrufen, das mir die TAN ausspuckt. Da kann ich auch gleich ein ZV-Programm nehmen und HBCI machen.

Hallo,
ist doch ganz einfach.

Egal wo Du deine TANs aufbewarst, solange nichts passiert, wir auch die Bank nichts merken und dir wird keiner eine Strick draus drehen.

Wurden die TANs geklaut, waren diese halt nicht sicher genug egal ob und wie die verschlüsselt waren. Die Bank hat recht behalten und Du hast Pech gehabt.



Gruß,
Vader