Na aber welches Scenario befürchtest du denn, das durch die App besser zu verhindern ist?
Um ChipTAN anzugreifen ohne das du es mitbekommst müsste der Angreifer den QR Code manipulieren den dir die Bank zum generieren der TAN auf dem ChipTAN generator bereitstellt. Oder verstehe ich das falsch? Also das der TAN Gemerator oder die Bankkarte Manipuliert ist schließe ich mal aus.
Den QR Code kann der Angreifer doch nur mittels MITM manipulieren? Oder gibts da noch andere Wege?
Aber genau gegen dieses Scenario ist die TAN App doch auch nicht sicher.
Aber ist ja auch egal. Ich stimme ja zu das beide Verfahren durch die Experten als Sicher eingestuft sind.
Von daher sehe ich das hier eher als Meinungsaustausch.
Ich persönlich bevorzuge wenn erforderlich, separate TAN-Generatoren (Hardware!) die idealerweise ohne die Bankkarte/EC-Karte etc. auskommen. Sicherer sind dann nur noch Verfahren mit RSA-Chipkarte. Idealerweise, arbeiten die separaten TAN-Generatoren dann noch mit Photo-TAN, so dass einem die Überweisungsdaten noch mal angezeigt werden.
Wenn man über die WEB-Site der Bank geht, kann man ja ohnehin prüfen, ob das Zertifikat für die betreffende Bank ausgestellt ist. Das geht natürlich bei entsprechenden Apps nicht.
Auf meinem Smartphone würde ich eine Photo-TAN-App nur notfalls nutzen wollen und nur dann, wenn ich dieselbe auch auf dem Gerät „einsperren“ kann. Sei es durch DNS-Blockade oder mittels Firewall. Keinesfalls kommt mir da eine Push-TAN-App in Frage.
Nebenbei bemerkt, liest man in einigen Online-Nachrichten das aktuell wieder einige zweifelhafte Personen sich mit dem Thema Android und Banking intensiv mit potentiellen „Kunden“ befassen.
Android gilt ja als recht sicher. Aber offenbar ist die Verbreitung ausreichend hoch und die potentielle Nutzer-Zielgruppe groß genug, um Aufwand zu treiben…
Nicht ganz das Thema, aber ich habe zum ersten Mal eine Banking-App einer deutschen Bank bei F-Droid gesehen - vielleicht macht das ja Hoffnung, dass auch andere Banken in Zukunft ihre Apps nicht nur ausschließlich im Play oder App Store anbieten…
Danke euch allen für die interessanten Meinungen und Erfahrungsberichte.
Ich sehe es ähnlich wie @anon81413227 , dass wir durch unsere Nutzung auch das Angebot mitunterstützen und oft tun wir das aus Bequemlichkeit. Und ich denke dabei auch an die älteren Menschen, die gezwungen werden sich für das Banking extra ein Smartphone zu besorgen.
Deshalb ist für mich klar, dass ich das TAN-Verfahren mittels Lesegerät nutzen werden, wenn es noch möglich ist. Genauso handhabe ich das auch mit dem Zahlen in der Öffentlichkeit und zahle immer mit Bargeld.
Ich höre immer wieder Menschen, die sich darüber beschweren, dass das Bargeld abgeschafft werden soll, aber sie selbst verwenden es meistens überhaupt nicht Ich fange da gerne bei mir selbst an und reflektiere was ich da tagtäglich tue und ob es Alternativen gibt, die meinen Werten entsprechen.
Ich mache seit 1995 Electronic Banking. Nicht nur privat und für unseren Verein, sondern auch für eine ganze Reihe von Firmenkunden. Noch nie ist bei sicherlich zehntausenden Zahlungen ein Schadensfall aufgetreten, auch nicht wie von Dir befürchtet (wobei ich meist kein Browser-Banking machte, sondern ein Electronic Banking-Programm nutzte, aber auch mit PIN/TAN).
Stattdessen sind mir aber aktuell im Freundeskreis zwei üble Betrugsfälle (beide Male Seniorinnen) bekannt. Einmal ein Betrügerpärchen, das am Geldautomat die PIN ausgespäht und dann mit einem fiesen Trick die Karte abgezogen hat. Einmal durch einen Computervirus und “Stimme von Microsoft” (Zahlungen wurden vom Opfer dann selbst ausgeführt). Wieviele weitere Freunde geschädigt wurden, dies aber - aus Scham - mir nicht berichtet haben, will ich mir gar nicht vorstellen. Ich wurde in beiden Fällen um Hilfe gebeten, sonst wüsste ich vermutlich auch davon nichts.
Ich denke, für Onlinebanking zu Hause an einem virengeprüften Rechner und mit unserem Sicherheitsbewusstein dürften beide Methoden völlig ausreichend sicher sein.
Die weiter oben angesprochenen Schadensstatistiken dürften nicht vorhanden sein, die Banken halten das sicherlich möglichst unterm Teppich. Zumal ja in vielen Fällen die Schuld auf den Kunden abgewälzt wird.
Eine TAN dient dazu, dass der Anwender eine Transaktion gesondert prüft und freigibt.
Das Szenario was die PushTAN aufgrund ihres begrenzten Funktionsumfang nicht abdeckt sind alle Transaktionen die nicht eine einzelne Überweisung darstellen, die anhand einer vorliegenden Rechnung geprüft werden können. Bei allen anderen Transaktionen bleibt dem Anwender nur die Prüfung der von der Anwendung selbst und ohne zweiten Kanal bereitgestellte 8-stellige Nummer zum QR-Code, also praktisch keine Prüfbarkeit der Transaktion selbst.
Dieses ließe sich auf vielfältige Weise angreifen wie z. B. über einen manipulierter Browser, Banking-Anwendung, DNS-Umleitung auf eine Phishing-Seite, Betriebssystem, … die es einem Angreifer erlauben dem Anwender eine Transaktion unterzuschieben und ihn dazu zu bringen diese zu bestätigen.
Da gehe ich auch von aus, da mir ebenfalls keine größeren Fallzahlen der beiden TAN-Verfahren bekannt sind.
@debugger,
seit undenklich vielen Jahren nutze ich einen externen Kartenleser (REINERSCT) und eine von der EC-Karte unabhängige Bankkarte.
So kann ich unter Vorgabe einer Vorgangsziffernfolge der Desktop-Anwendung (Volksbank) meiner Bank am Kartenlesegerät eine TAN generieren.
Um aber auch Trackingmöglichkeiten vom Browser (Firefox) auszuschließen, setze ich als kostenlose Banking-Software (eine Spende ist immer gerne gesehen) hibiscus unter Jameica von Olaf Willuhn (www.willuhn.de/products/hibiscus/) ein.
Diese SW nutzt u.a. das “Smart-TAN plus optische-Verfahren” via USB zum externen Kartenleser. So brauche ich nur noch die Überweisungsdaten am PC erfassen, den Rest macht dann die Banking-Software.
Wirklich traurig bin ich darüber, dass die Bankenwelt - die einst des nahezu absolut sichere HBCI-Verfahren mit ausgetauschten Schlüssel betrieben hat - auf das sehr unsichere PIN-TAN-Verfahren hereingefallen ist. Meine letzten Infos darüber sprechen von einem dreistelligem Millionenbetrag an Schäden - pro Jahr!
Viele Grüße
Michael
Mir sagte damals ein Mitarbeiter meiner Bank, dass das HBCI-Verfahren angeblich keinen europäischen Standard entspricht und als deutsche Lösung allein stünde. Die Banken müssten sich europäischen Standards anpassen. Ich habe nicht hinterfragt, ob HBCI tatsächlich nur eine deutsche Lösung war. Ich habe dieses Verfahren bis zur Abschaltung angewandt. Andererseits gibt es mit dem Chip-TAN-USB-Verfahren ein ähnliches Verfahren, das ich zusammen mit ALF-Banco verwende.
Ich wurde oft dafür kritisiert, dass ich das HBCI-Verfahren nutzte. Denn der Kartenleser kostet schließlich Geld. Sicherheit darf nichts kosten und dann jammern die gleichen Leute, wenn Bankenwebseiten gehackt werden und sie den Schaden haben. Geiz am falschen Ende gehört bestraft. Ich persönlich lehne Banking am Smartphone ab. Zumal die App meiner Bank leider mit GOS zickt. Sollte ich tatsächlich mal außerhalb meines Zuhauses etwas überweisen müssen, dann gehe ich hierzulande an ein Bankingterminal oder überdie Banken- Webseite mit Netbook und Foto-QR-Gerät.
Ich fange da gerne bei mir selbst an und reflektiere was ich da tagtäglich tue und ob es Alternativen gibt, die meinen Werten entsprechen.