Hier ein ganz aktueller Spiegel-Artikel zu dem Thema:
pushTAN-Verfahren: Hacker knackt Onlinebanking-App
Also ganz ehrlich es gibt hier in der Community zwei Themen die immer und immer wieder auftauchen bei denen mir regelmäßig der Puls steigt. Und zwar aufgrund scheinbar völliger Beratungsresistenz. 😞
Die einen können vor lauter Sicherheitspanik gar nicht genug Zeichen für Ihr Login-Passwort haben (was quasi keinen messbaren Sicherheits-Vorteil bringt) und die anderen (oder sinds die Gleichen?) möchten Ihre TANs ganz bequem aufs SmartPhone bekommen, am besten direkt in die Banking-App, ungeachtet der zahlreichen Hinweise das dass eine riesige Sicherheitslücke ist.
Leute, MobileTAN ist seit das Handy auch Internet kann schlicht und ergreifend TOT!
Wie im Artikel schön beschrieben ist das im Moment einzig als sicher zu betrachten das ChipTAN/SmartTAN-Verfahren (dazu gehört auch der TAN-Generator der Consorsbank). Natürlich ist ein extra TAN-Generator etwas unbequem. Aber sicher nicht unbequemer als wenn irgendwelche Kriminellen das Konto geplündert haben.
Übrigens das iTAN-Verfahren ist nicht wie im Spiegel-Artikel unsicher weil irgendwelche Leute ihre TANs ins Internet geladen haben, sondern weil ein Man-in-the-Middle Angriff das Verfahren problemlos aushebelt. Das ist seit Jahren gängige Praxis und habe ich auch schon im Bekanntenkreis erlebt. Eine Bank die dass Heute noch anbietet handelt grob fahrlässig.
Das Problem an diesem ganzen mobilen Verfahren ist halt einfach das jeder frei programmierbare Computer von Schadsoftware befallen werden kann. Dazu ist es auch nicht nötig das jemand Euer Gerät physisch in die Hand bekommt. Das Ding hängt am Internet und ist somit angreifbar. Das muss einem einfach bewusst sein. Die TAN-Generatoren sind aber nicht frei programmierbar und offline. So lange die Angreifer nicht die Cryptographie des TAN-Generators knacken (und das ist sehr sehr schwierig) ist das was das Ding tut sicher. Und dadurch das Eure Transaktion fest mit einem Teil der Empfängerkontonummer verbunden wird, kann das Geld nicht einfach umgeleitet werden.
Bei einer mobilen TAN-Lösung ist eines der möglichen Szenarien das die per Keylogger einer Schadsoftware Euer PIN/Passwort mitlesen (und dabei ist es völlig egal ob das 5 oder 50 Stellen hat!), sich dann einfach einloggen, Ihre Überweisung ausfüllen, z.B. die SMS-TAN abfangen und die Überweisung auslösen.
Bei PushTAN ist das ganze wohl etwas komplexer, jedoch diese Kriminellen sind einfallsreich. Die Unsicherheit ist systembedingt und deshalb nicht 100%ig in den Griff zu bekommen.
Gruß
Myrddin
