Sicherheitsrisiko! Derzeit ist es möglich, die SMS Tan auf demselben Handy zu nutzen, auf dem auch die Consors App läuft. Damit wird die 2-Geräte-Sicherheitsbarriere unterlaufen. Leider kann man die SMS Tan nur insgesamt ein/ausschalten, sie ist jedoch überaus praktisch und sicher beim Banking am Computer oder einem anderen Gerät.
Ich wünsche mir auf der Consors Webseite im Sicherheitsbereich eine zusätzliche Funktion "nicht für App Banking", mit welcher SMS Tan Nutzung nur dann deaktiviert werden kann, wenn eine Transaktion von der Handy App aus angestoßen wird.
Programmiertechnisch könnte das so laufen, dass die App diesen Status sowie welche Handynummer eingestellt ist, auf dem Server abfragt und dann mit dem lokalen Handy vergleicht. Sofern die Handy Nummer identisch ist, soll die TAN nicht angefordert werden können. Das dürfte nicht so schwer sein zu programmieren.
Beschwert euch bei den NUTZERN, die das in der Vergangenheit unbegingt haben wollten. Alternativ kann man auch die Mobile-TAN deaktivieren, dann hat man das Problem nicht mehr.
Zuverlässig erkennen, ob die hinterlegte Nummer zu diesem Handy gehört, funktioniert nicht. Nicht alle Provider schreiben die Handynummer auf die Simkarte und somit kennt das Handy die eigene Nummer nicht...
Und wieder schreibt jemand, dass er die SMS-Tan in einer Banking-App nutzen möchte, da der Tan-Generator unpraktisch ist. Keine Ahnung, warum sich jemand freiwillig diesem Risiko aussetzt.
Ich habe vor Kurzem mitbekommen, dass es diese Möglichkeit die SMS aufs gleiche Handy zu bekommen, überhaupt gibt, und bin SEHR begeistert! Auf keinen Fall möchte ich diese nützliche Funktion missen!
Eine gute Alternative wäre wirklich, dass es für den einzelnen Account einfach eine Möglichkeit gibt, den Link zum SMS versenden in der App ausgeblendet werden kann.
Andererseits muss bedacht werden, dass dann auch einfach das mobile Banking per Webbrowser auf dem Handy genutzt werden kann. Auch dort wäre dann nicht mehr Sicherheit gewährleistet..
Ich nutze Online-Banking seit über 10 Jahren und hatte schon verschiedenste TAN-Systeme, von Papierlisten mit und ohne iTAN über mTAN bis hin zum TAN-Generator.
Transaktionen, die nicht von mir selbst authorisiert worden sind, hatte ich in der ganzen Zeit nie gehabt. Das heißt zwar nichts aber wenn ich persönlich die Sicherheitsrisiken um TANs bewerten soll, dann denke ich, dass sich all diese Verfahren praktisch gar nicht so stark unterscheiden. Wichtig ist, dass es einen Transaktionsbezogenen Schutz gibt, der über die Login-Daten hinaus geht.
Und natürlich kann auch dieser Schutz ausgehebelt werden z.B. indem die Papierliste, das Handy oder der TAN-Generator entwendet werden. Selbst der Sperrbildschirm des Handys nutzt da manchmal wenig, wenn dort neue SMS angezeigt werden und die mTAN sichtbar ist.
Deshalb muss man sich auch letzten Endes selbst drum kümmern, seine Zugangsdaten und TANs sicher und geheim zu halten. Man muss da immer abwägen zwischen Sicherheit und Komfort:
Handy ohne Kennwort im Sperrbildschirm weil es komfortabler ist
mTAN, damit man keine Papierliste oder TAN-Generator mitnehmen muss
Post-It mit Zugangsdaten an den Monitor kleben, anstatt sie sich zu merken
Zugangsdaten im Browser speichern (natürlich ohne Benutzerkennwort im Betriebssystem)
usw.
Das kann man alles tun, solange man sicher weiß, dass man sein Handy nicht verliert und nie jemand Zugang zum PC bekommt. Tatsächlich sollte man einen guten Mittelweg finden, daraus sich selbst das Leben nicht zu schwer und es Angreifern nicht zu leicht zu machen (deshalb rate ich auch nicht wirklich zu dem Post-It am Monitor oder den anderen genannten Punkten). Aber was hat man gewonnen, wenn man durch mTAN auf den kleinen TAN-Generator verzichten kann und dafür ein zweites Mobiltelefon mitnehmen muss?
Ob man jetzt ein Handy oder zwei aus der Tasche klaut, ist letztlich der selbe Handgriff. Wer tatsächlich Sorge hat, dass SMS bzw. die Logindaten der Banking App auf Android oder iOS durch Spyware ausgespäht werden, der sollte konsequenterweise weder mTAN noch Banking App verwenden.
Ein Kennwort für den Sperrbildschirm des Handys, die Banking App durch ein anderes Kennwort gesperrt und keine Downloads aus unsicheren Quellen, dann würde ich persönlich mich hinreichend sicher fühlen mit App und mTAN auf dem selben Gerät.
Ich vermute mal, es gehen viel mehr Fälle korrumpierter TANs auf Phishing zurück, als auf Spyware oder gestohlene Geräte. Und da zählt dann Hirn einschalten (und tatsächlich sind Verfahren mit Papierlisten da besonders anfällig aber inzwischen ja auch überholt).
Zu den Best Practise Regeln im Umgang mit 2-Faktor-Systemen zählt, dass man verschiedene (physikalische) Kanäle für die Überbringung der Information benutzt, wie z.B. klassisch mit PC und Extra-Token oder PC und SMS.
Nutzt man aber ein Smartphone welches Internet UND SMS kann, vereinen sich die beiden verschiedenen Kanäle letzten Endes doch auf demselben Gerät. Und z.B. an der Whatsapp Registrierungsprozedur kann man schön sehen, dass eine App mit den notwendigen Rechten (die i.d.R. vom User warum-auch-immer erteilt werden oder gar ungefragt beim Installieren gegeben werden) sich eine SMS für eine Transaktion abfischen kann. Ähnliches gilt für die Tastatur.
Alles, was ich gerne von Consors will, ist dem Kunden DIE MÖGLICHKEIT zu geben, selbst zu entscheiden, welche Methode und Sicherheit er nutzen will:
1. gar keine SMS TAN
2. SMS TAN generell aktiv
3. SMS TAN nur aktiv wenn die Telefonnummer, welche im Kundenportal eingetragen wird, sich nicht auf demselben Handy befindet, von dem die Transaktion angestoßen wird. Und dazu die Option, eine alternative Telefonnummer im Portal eingeben zu können. Ich zb habe ein Firmenhandy und ein Privathandy, das wäre kein Problem für mich. Es gibt viele Leute die mit zwei Handys durch die Gegend laufen. Außerdem kann ich dann Internet Banking am PC oder Tablet weiter nutzen und die SMS auf mein Handy bekommen, während ich es abschalten kann für die Nutzung auf demselben.
Das hat m.E. zwei Vorteile:
1. Der Kunde kann für sich selbst besser entscheiden, welche Balance er zwischen Sicherheit und Bequemlichkeit er nutzen möchte
und
2. Consors wäre bezüglich der Sicherheit und Bevormundung seiner Kunden aus der Schußlinie.
Aus meiner Sicht wäre diese Funktionserweiterung sinnvoll und für viele sehr willkommen.
vielen Dank für Ihren Hinweis und den damit verbundenen Vorschlag!
Leider ist es technisch nicht möglich, die Telefonnummer aus der App heraus zu ermitteln. Wir können daher nicht prüfen, ob Sie eine TAN auf dem gleichen Handy anfordern, auf dem Sie auch den SMS-Service empfangen. Wir könnten also nur generell die mobile TAN für jede App Nutzung (auch Tablett etc.) sperren.
Da sich sehr viele unserer Kunden explizit die Möglichkeit der mobilen TAN in der App gewünscht haben, haben wir diesen Service aufgenommen. Hier finden Sie ein Beispiel zu einer Diskussion dazu aus unserer Community. Eine Änderung ist aktuell daher nicht vorgesehen.
Viele Grüße aus Nürnberg,
Sonja
Community Moderator
Sie müssen ein registrierter Benutzer sein, um hier einen Kommentar hinzuzufügen. Wenn Sie sich bereits registriert haben, melden Sie sich bitte an. Wenn Sie sich noch nicht registriert haben, führen Sie bitte eine Registrierung durch und melden Sie sich an.