Betreff: Mobile Tan Sicherheit

Chondaux · 14.03.2018

Hallo,

auch hier lese ich das mobile Tan System nicht sicher ist. Aber nicht nur die Bank auch viele andere Dienste benutzen das mobile Tan System.

Aus diesem Grunde führe ich immer ein zweites Handy (Nokia3310 Original) mit Prepaid Simkarte bei mir.

Seit es mir vor 2 Jahren selber gelungen ist mein Smartphone zu überlisten trenne ich es lieber. Nach meiner Erfahrung schreien gerade diese Personen besonders laut über das Thema Sicherheit die sich aus JEDER Quelle Apps laden.

Herr_von_Bpunkt · 13.10.2017

Und was ist jetzt deine Frage? Du sagst ja selbst: Mobile TAN ist nur dann sicher wenn man 2 getrennte Endgeräte benutzt. Mehr gibt es dazu eigentlich nicht zu sagen.

Wünschenswert wäre natürlich PushTAN oder PhotoTAN für das App-Banking nutzen zu können, diesbezüglich wird gerade in einem anderen Thread der Stand der Bearbeitung geprüft.

Chondaux · 14.03.2018

PhotoTAN ist sehr praktisch und einfach zu bedinen. Mein Lebenspartner hat dieses bei seiner Bank.

immermalanders · 06.02.2015

@Chondaux, und wie soll die PhotoTAN ohne (weiteren) Bildschirm funktionieren??

Chondaux · 14.03.2018

Bei meinem Lebenspartner erfolgt das generieren der TAN über ein Lesegerät von der Bank oder als APP auf dem Handy.

immermalanders · 06.02.2015

Und wie lese ich die PhotoTAN ein, wenn ich nur das Handy habe und telefonisch eine Order legitimieren muss (z.B. nach einem Margin Call)? Oder braucht man dann doch wieder zwei Geräte (Handy + Lesegerät) um die PhotoTAN zu nutzen?

Herr_von_Bpunkt · 13.10.2017

Ganz einfach: Die Apps (Banking App und PhotoTAN App) kommunizieren miteinander. Zumindest ist das bei anderen Banken so. Die Banking App startet die PhotoTAN App und liest die TAN ohne Scannen aus.

immermalanders · 06.02.2015

@Herr_von_Bpunkt, und genau das ist ein Weg den man mMn NIE gehen sollte. Wo ist die Sicherheit, wenn die Banking-App die PhotoTAN anfordert und die PhotoTAN-App die geschickte TAN in die Banking-App weitergeleitet und damit die Transaktion freigibt???

Herr_von_Bpunkt · 13.10.2017

@immermalanders: Ich würde sagen die Sicherheit ist in dem Fall vergleichbar mit der Sicherheit die pushTAN bietet - auch da kommunizieren 2 Apps auf dem Handy verschlüsselt miteinander. Wie sicher oder unsicher das ist hängt meines Erachtens von mehreren Faktoren ab: Ist aktuelle Software und Firmware auf dem Handy? Stichwort Sicherheitslücken. Wie steht es um das eigene Sicherheitsbewusstsein? Installation von Apps aus Fremdquellen, Nutzung unseriöser Webinhalte, achtloser Umgang mit persönlichen Daten im Internet sollten vermieden werden.

Solange man sich hier nicht nachweislich grob fahrlässig verhält, haftet die Bank für Schäden die durch die Kompromittierung ihrer Apps entstehen. Darüber hinaus erfüllt photoTAN die hohen Sicherheitsanforderungen der EU-Vorgabe für Zahlungsdienste. Man kann außerdem selbst entscheiden ob die Apps untereinander kommunizieren dürfen, stattdessen für das Mobile Banking ein externes Lesegerät nutzen oder ganz auf die photoTAN App verzichten.

immermalanders · 06.02.2015

@Herr_von_Bpunkt, [...] Wie sicher oder unsicher das ist hängt meines Erachtens von mehreren Faktoren ab: Ist aktuelle Software und Firmware auf dem Handy? Stichwort Sicherheitslücken. Wie steht es um das eigene Sicherheitsbewusstsein? Installation von Apps aus Fremdquellen, Nutzung unseriöser Webinhalte, achtloser Umgang mit persönlichen Daten im Internet sollten vermieden werden. [...]

Und genau das ist in meinen Augen das Problem bei einer solchen Lösung. Die wenigsten Nutzer denken darüber nach, was sie alles auf ihrem Handy installieren (siehe Cambridge Analytica Skandal) oder aktualisieren das Betriebssystem bzw. die Apps auf dem Handy. Wie viele Kunden deaktivieren auf ihrem Handy sämtliche Sperren, da diese "zu lästig" sind? Geschätzt: zu viele.

Bei der Sicherheit muss man immer vom bequemsten Nutzer ausgehen und der würde sicher auch seine Banking-App komplett ohne Login fordern und Überweisungen ohne TAN-Freigabe durchführen, denn das ist ja "zu umständlich".