ich verwende derzeit GrapheneOS und bin bis auf 3 Banking-Apps, die ich im Private Space mit Play Services laufen lasse, komplett auf OpenSource Apps umgestiegen.
Da ich ING-Nutzer bin und die App nur dazu benötige Freigaben zu erteilen, kam mir der Gedanke einen TAN-Generator zu besorgen, um mich auch von dieser App zu lösen und das Banking nur noch am PC zu machen.
Mein Ziel ist es mich immer mehr von diesen Banking-Apps und diesem Zwang und dem ganzen Tracking zu lösen. Leider geht das nicht bei allen. Dort wo es möglich ist, möchte ich es aber gerne umsetzen.
Ist das aus eurer Sicht ein sinnvoller Schritt oder bringt das im Endeffekt nicht viel bzgl. Sicherheit und Datenschutz?
Die ING bietet nur die App, glaube ich? Für Targo & VOBA nutze ich TAN Generator, leider zwei unterschiedliche Typen, ideal wäre 1 Generator für alles.
Der Hinweis des Autors beantwortet deine Frage dann auch gut:
“Das bedeutet eigentlich immer die Nutzung von einem zusätzlichen Lesegerät für TANs. Diese Umständlichkeit würde ich in Kauf nehmen, das Verfahren ist auch sicherer.”
Chip Tan ist das sicherer Verfahren im Vergleich zur TAN App.
Hier finden sich auch noch paar Infos zum ChipTAN Verfahren:
Lässt sich nicht eindeutig sagen ohne zu wissen was die App da so intern macht. Wenn sie es richtig umgesetzt haben (Passkey ähnliche dynamic challenges), ist die App zumindest ggü. phishing sicherer.
Aus Datenschutzsicht kann es je nach PushTAN-App ein Fortschritt sein. Aus Sicherheitperspektive halte ich den Unterschied für gering genug, um das komfortablere Verfahren zu wählen, da du GrapheneOS verwendest.
Kleiner Erfahrungsbericht: Ich bevorzuge und nutzte jahrelang ausschliesslich TAN-Generatoren. Mit der Zeit generiert man aber entsprechenden Elektroschrott, weil es mit jeder neuen Bankkarte passieren kann, dass eine höhere Generator-Version erfordert wird. Dann heisst es: neuen kaufen und alten verschrotten. Wenn man sein Geld auf mehrere Banken verteilt, addiert sich das Ganze, weil die es nicht hinbekommen, sich auf einen Standard zu einigen und jede Bank ihr eigenes Süppchen kocht. Für den Preis eines TAN-Generators bekommt man auch ein Gebrauchtphone, dass man wie einen TAN-Generator nur zu diesem Zweck nutzen und aus der Schublade holen kann. Da passen dann die TAN-Apps aller Banken auf ein Gerät. Je nach Android-Version, laufen diese TAN-Apps aber auch hier nicht ewig und erfordern früher oder später ein neues Phone.
@Seniora Danke für den Input. Das habe ich mir schon gedacht und werde nächste Woche bei der ING anrufen und danach fragen was so die Pläne sind.
@maloe Danke für deinen Erfahrungsbericht. Die Kosten nehme ich gerne in Kauf und mir gehts generell darum mich mehr und mehr vom Smartphone zu lösen und es so minimalistisch wie möglich zu halten. Wenn Banking auch ohne Smartphone geht, dann bevorzuge ich das auf jeden Fall.
@Chief Ja ich denke es ist in meinem Fall nicht zwingend notwendig, da ich bereits Graphene OS nutze und alles isoliert im Private Space laufen lassen. Ich finde es aber einfach eine gute Sache es über diesen “altmodischen” Weg zu machen und dieses Verfahren zu unterstützen so lange es noch geht
Das erzählen sie seit Jahren und ich glaube es nicht. Besorg Dir einen TAN-Generator und freu Dich noch viele Jahre dran. Wenn Du mehrere Banken hast, kannst Du evtl. auch einen nicht gebrandeten TAN-Generator finden, der bei allen funktioniert. Ist nicht immer möglich, aber manchmal lohnt es sich, vorher nachzuforschen.
Kennt eigentlich jemand Statistiken / Erhebungen über dass effektiv eingetretende Schadensfälle der verschiedenen TAN-Lösungen im Vergleich zum Verbreitungsgrad der verschiedenen TAN-Methoden?
Ich finde es immer etwas schwierig das reelle Risiko zu bewerten, ohne dass entsprechenden Fakten zur Verfügung stehen.
Aus der Theorie verstehe ich, dass eine saubere Kanaltrennung über einen gesonderten TAN-Generator natürlich sinnvoll ist um Anwender in die Lage zu versetzen Manipulationen auf Betriebssystemebene des Smartphones erkennbar zu machen.
Allerdings gibt es zumindest bei der Sparkasse das Problem, dass der ChipTAN-Generator nur abgespeckte Informationen anzeigen kann.
Beispielweise:
Es wird nur die Kontonummer anstatt vollständige IBAN angezeigt. Ob die Kontonummer auch identisch mit der vollständigen IBAN ist kann nur vermutet werden. Freigeben muss ich es trotzdem.
Funktionsfreigaben wie z. B. beim Login werden durch 8-stellige Nummern repräsentiert. Diese übernimmt man ohne eine Prüfmöglichkeit von der Banking-Webseite und muss diese dann blind bestätigen. Welche Funktionsfreigabe ich als Anwender effektiv erteile weiß ich nicht.
In diesen beiden Aspekten bietet die PushTAN-App der Sparkassen dann eine bessere Prüfmöglichkeit für den Anwender. IMHO würde ich bei der Funktionsfreigabe der ChipTAN überhaupt nicht einmal von einer Kanaltrennung sprechen, da ja der Freigabe-Code ja von der Banking-Webseite gescannt wird und dann blind bestätigt werden muss ohne eine Idee zu haben, was man eigentlich bestätigt.
Ich hatte lange ausschließlich auf ChipTAN gesetzt wo es möglich war, bin jedoch in der Zwischenzeit zur PushTAN App gewechselt. Der Grund war, dass ich insbesondere bei den Funktionsfreigaben ein ungutes Gefühl des Kontrollverlusts hatte. Gleichzeitig halte ich das reale Risiko für eine Manipulation meiner Banktransaktionen der PushTAN App auf meinem immer aktuell gepatchten iPhone bei meinen aktuellen Wissenstand für hinreichend gering.
Das gilt auch in Haftungsfragen. Die Sicherheits-Bedenken bei einem nicht physisch getrennten 2. Kanal kann ich nachvollziehen, die Banken mit ihren AGB können das offenbar nicht. In juristischer Sicht macht man also mit Push-TAN aus dem App- oder Playstore alles richtig, so sehr das gegen den Datenschutz und die digitale Souveränität geht.
Wenn die Push-TAN-App Tracker eingebaut hat (wie die meisten Apps aus den beiden genannten Stores), wäre DNS-Filtering das Mittel der Wahl.
Zur Sicherheit beider Verfahren kann ich nur wiedergeben was man so liest. Aber ich verlasse mich da auf mehrere Artikel zum Thema Onlinebanking und TAN Generatoren im Kuketz Blog. Hier werden nach meinem Verständnis beide Verfahren als sicher beurteilt. Im direkten Vergleich verstehe ich die Aussagen in den Blogbeiträgen dann aber auch so das das ChipTAN verfahren das sicherere von beiden ist.
Ich selbst nutze auch das ChipTAN Verfahren, habe den TAN generator immer im EDC Rucksack dabei und noch nie Probleme damit gehabt (Verfügbarkeit unterwegs oder im Urlaub).
Zu deiner Frage bezüglich von Studien oder Statistiken zu geschädigten beider TAN Verfahren kann ich leider auch nichts beitragen. Aber sieh es mal so, wir wissen sicher das es immer mal wieder Geschädigte gibt. Und wenn du zufällig einer dieser Geschädigten bist ist dir völlig egal ob das von dir genutzte TAN Verfahren laut Statistik zu 97.25% sicher ist.
Deshalb nutze ich für mich das laut Empfehlung sicherere System. Auch wenn das ggf eine Komfort Einbuße bedingt.
Nachtrag:
Man liest hier im Forum zunehmend oft das User unzufrieden damit sind das immer mehr Dienste nur noch per App erreichbar/verfügbar sind. Dieser Standpunkt ist meiner Meinung nach völlig korrekt. Durch diesen Trend werden Menschen die kein Smartphone besitzen gewisse Dienste vorenthalten, die früher für sie über den Browser verfügbar waren. Wir üben hier also berechtigte Kritik am vorgehen der Provider. Aber unterstützen auf der anderen Seite ohne Not und obwohl es sichere Alternativen gibt aus Bequemlichkeit genau diesen Trend hin zum App Zwang. Und hier zieht nicht das Argument “Aber es sind ja alle bei WA und keiner ist bei Signal.”
Wie ich schrieb war mein Wechsel nicht der Komfort, sondern die Unsicherheit die ich jedes Mal verspüre wenn ich bei der Ausführung einer TAN-pflichtigen Funktion (abseits der eigentlichen Überweisung) auf dem ChipTAN Generator eine Ziffernfolge verifiziere, deren einzige Quelle die zuvor aufgerufene Webseite ist.
Hier bestätige ich per TAN etwas anhand einer Information, deren Quelle einzig die Webseite ist von der ich eben auch den QR-Code eingelesen habe. Hier gibt es aus meiner Sicht keinerlei Kanaltrennung, da ich die Prüfung eben nicht gegen eine zweite Quelle wie einen Überweisungsträger oder eine statische Liste von Funktionscodes aus anderer Quelle durchführen kann.
Der Punkt, dass ich am TAN-Generator auch mit der Kontonummer nur einen Teil der relevanten IBAN prüfen kann ist dann noch ein zweiter Faktor meines Unsicherheitsgefühls.
Das Dumme an dem ChipTAN-Verfahren ist eben, dass der Übertragungskanal der durch die TAN freizugebende Information nicht vom Übertragungskanal der Webseiten- / App-Darstellung getrennt ist. Einzig bei der einfachen Überweisung hat der Benutzer eine Prüfmöglichkeit anhand der ihm vorliegenden Rechnung die er auf einem anderen Kanal erhalten hat. Alle andere Transaktionen muss er blind, anhand der Anzeigen der Webseite bestätigen.
