Ich nutze Online-Banking seit über 10 Jahren und hatte schon verschiedenste TAN-Systeme, von Papierlisten mit und ohne iTAN über mTAN bis hin zum TAN-Generator. Transaktionen, die nicht von mir selbst authorisiert worden sind, hatte ich in der ganzen Zeit nie gehabt. Das heißt zwar nichts aber wenn ich persönlich die Sicherheitsrisiken um TANs bewerten soll, dann denke ich, dass sich all diese Verfahren praktisch gar nicht so stark unterscheiden. Wichtig ist, dass es einen Transaktionsbezogenen Schutz gibt, der über die Login-Daten hinaus geht. Und natürlich kann auch dieser Schutz ausgehebelt werden z.B. indem die Papierliste, das Handy oder der TAN-Generator entwendet werden. Selbst der Sperrbildschirm des Handys nutzt da manchmal wenig, wenn dort neue SMS angezeigt werden und die mTAN sichtbar ist. Deshalb muss man sich auch letzten Endes selbst drum kümmern, seine Zugangsdaten und TANs sicher und geheim zu halten. Man muss da immer abwägen zwischen Sicherheit und Komfort: Handy ohne Kennwort im Sperrbildschirm weil es komfortabler ist mTAN, damit man keine Papierliste oder TAN-Generator mitnehmen muss Post-It mit Zugangsdaten an den Monitor kleben, anstatt sie sich zu merken Zugangsdaten im Browser speichern (natürlich ohne Benutzerkennwort im Betriebssystem) usw. Das kann man alles tun, solange man sicher weiß, dass man sein Handy nicht verliert und nie jemand Zugang zum PC bekommt. Tatsächlich sollte man einen guten Mittelweg finden, daraus sich selbst das Leben nicht zu schwer und es Angreifern nicht zu leicht zu machen (deshalb rate ich auch nicht wirklich zu dem Post-It am Monitor oder den anderen genannten Punkten). Aber was hat man gewonnen, wenn man durch mTAN auf den kleinen TAN-Generator verzichten kann und dafür ein zweites Mobiltelefon mitnehmen muss? Ob man jetzt ein Handy oder zwei aus der Tasche klaut, ist letztlich der selbe Handgriff. Wer tatsächlich Sorge hat, dass SMS bzw. die Logindaten der Banking App auf Android oder iOS durch Spyware ausgespäht werden, der sollte konsequenterweise weder mTAN noch Banking App verwenden. Ein Kennwort für den Sperrbildschirm des Handys, die Banking App durch ein anderes Kennwort gesperrt und keine Downloads aus unsicheren Quellen, dann würde ich persönlich mich hinreichend sicher fühlen mit App und mTAN auf dem selben Gerät. Ich vermute mal, es gehen viel mehr Fälle korrumpierter TANs auf Phishing zurück, als auf Spyware oder gestohlene Geräte. Und da zählt dann Hirn einschalten (und tatsächlich sind Verfahren mit Papierlisten da besonders anfällig aber inzwischen ja auch überholt).
... Mehr anzeigen