Mobile TAN - Online Banking - Sicherheitsrisiko - Smartphone - Internet Banking | MCNeubert lawblog

mobile TAN – aber bitte nicht mobil nutzen

Dienstag, 7. Juli 2009 |  Autor:

Meine Bank bittet zwingt mich auf die mobile TAN umzusteigen, da in Zukunft Überweisungen über einem bestimmten Betrag nur noch mit mobile TAN möglich sind. Eigentlich eine praktische Sache, weil ich schon öfters von unterwegs etwas überweisen wollte, aber die iTAN-Liste nicht dabei hatte. Die mobile TAN soll recht sicher sein, also habe ich die Umstellung im Onlineportal meiner Bank eingeleitet. Heute erhielt ich den Aktivierungscode per Post. Im Brief gibt es gleich noch einige Sicherheitshinweise:

Um von dieser besonders hohen Sicherheit des mobile TAN-Verfahrens profitieren zu können, müssen Sie folgende Regeln einhalten:

  • Verwenden Sie für den Empfang der SMS nur Geräte, die nicht auch für die Nutzung des … Direct Banking verwendet werden. Dies gilt insbesondere für den Einsatz von sog. Smartphones und den Internetzugang mitttels GSM-Karte.
  • Die Bank erklärt mir nicht, warum das ein Sicherheitsrisiko sein soll, teilt mir aber mit, dass die Sicherheitsregelungen die Sonderbedingungen für das Direct Banking mit PIN und TAN ergänzen. Diese Änderungen gelten als genehmigt, wenn ich nicht innerhalb von 6 Wochen schriftlich widerspreche.

    Vielleicht schickt mir die Bank ja demnächst noch ein Zweithandy, denn ich habe nur ein Smartphone und möchte das auch als solches nutzen. Dazu gehört auch Onlinebanking, was nun nicht mehr geht – es sei denn ich nehme die alte iTAN-Liste mit.

    Besonders kundenfreundlich ist übrigens, dass ich im Rahmen der Umstellung auf die mobile TAN im OnlineBanking nicht auf diese „Sicherheitsfeatures“ hingewiesen wurde (zumindest ist es mir nicht aufgefallen), sondern erst per Post unterrichtet werde, wenn die Umstellung quasi schon abgeschlossen ist.

    Bleibt noch die Frage, ob die notwendigen Daten gespeichert werden, die belegen, dass ich über mein Smartphone das OnlineBanking genutzt habe und die mobile PIN an das selbe Handy verschickt wurde.

    Tags »    «

    Trackback: Trackback-URL | Feed zum Beitrag: RSS 2.0
    Thema: Allgemein

    Diesen Beitrag kommentieren.

    15 Kommentare

    1. 1
      RA JM 

      Eine meiner Banken nötigt bittet mich nunmehr zum zweiten Mal, mir so ein praktischen Gerätchen zwecks Erzeugung von TANs zuzulegen, das zweite natürlich teurer als das erste, das ich nun mangels weiterer Verwendbarkeit wegwerfen darf. Wirklich nett!

    2. Zur Frage, ob die Daten zur Feststellung der Smartphone-Nutzung gespeichert werden: Zumindest die auf den Handyinternetanbieter verweisende IP wird sicherlich gespeichert.

    3. 3
      swaust 

      Hi, die Sicherheitsbedenken bei Handybanking mit der mobileTAN liegen darin, dass ein Trojaner(oder was auch immer) auf dem Handy ist, sich am banking anmeldet, eine Überweisung ausfüllt, die SMS mit der TAN ausließt und ins Banking einstellt und die Zahlung autoriesiert. Und das Beste dabei, alle Anzeigen auf dem Bildschirm unterdrückt…..
      Hört sich zwar abenteuerlich an, ich kann aber verstehen, dass man hier ein Risiko hat….

    4. 4
      chris 

      Eigentlich nachzuvollziehen, denn der Vorteil und Sicherheitsgewinn der mobilen TAN liegt in der Kanaltrennung, d. h. auf dem einen Kanal (Computer / Internet) wird der Auftrag erfasst und auf einem davon getrennten Kanal (Handy / GSM) erhält man die Anzeige des Auftrages wie er bei der Bank angekommen ist. Nur so können Manipulationen aufgezeigt und überhaupt erkannt werden.
      Damit ist doch verständlich, dass ich das gleiche Gerät, auf dem ich den Auftrag erfasse, nicht auch für den Erhalt der SMS verwenden darf, da sonst die Sicherheistvorteile verloren gehen.
      Wenn jedoch der Auftrag am Computer erfasst wird, spricht doch nichts gegen die Verwendung eines Smart-/iPhones für den Empfang der SMS!

    5. @ chris

      Danke – die Kanaltrennung ist nachvollziehbar.
      Trotzdem ärgert mich das Verhalten der Bank – ich werde mehr oder weniger gezwungen auf mobile TAN umzusteigen und über die Einschränkungen erst per Post und nicht bereits vorher aufgeklärt.

      Außerdem spricht „mobile TAN“ für mobiles Onlinebanking und genau das ist aber nur umständlich möglich, da ich entweder das Laptop dabei haben muss oder mir unterwegs ein Internetcafe suchen muss.
      Ich denke auch, dass es in Zukunft immer mehr Smartphones mit Internetzugang geben wird und dann muss sich die Bank ohnehin eine neue Methode einfallen lassen.

    6. 6
      zoccke 

      Lieber 10 pöbelnde Engländer die allles kaputthauen als einen deutschen vielleicht noch studierten spießigen Dauerbesserwisser “ auf die Fresse “ Arsch……..

    7. 7
      Sabine 

      Was sagt ein Ossi, wenn er einen Tannebaum kaufen will?

      Ä tänschen, please.
      (nochmal laut sagen, daß man den Sinn versteht )

    8. 8
      Lutz 

      @Sabine:Was sagt ein Ossi, wenn er einen Tannebaum kaufen will?

      Ä tänschen, please.
      (nochmal laut sagen, daß man den Sinn versteht )
      ——————————–

      Bitte Sachse, und auf (Weihnachts-)Besuch in GB, mit Fischköppen klappt das nicht so gut, und auch nicht im Berliner (Nicht-)Dialekt, det kann ick se versichern.

    9. 9
      Michael 

      Aber heißt es denn auch wirklich, dass man das Smartphone nicht für das Ausfüllen der Überweisung verwenden darf, oder heißt es nur, dass man es nicht machen sollte, wenn man „von dieser besonders hohen Sicherheit“ profitieren will?

      Nichts desto trotz macht die Kanaltrennung natürlich Sinn, besonders wegen dem von „swaust“ beschriebenen Angriff. So abwegig ist dieser nämlich gar nicht! Ehrlicherweise muss man auch sagen, dass man sobald man einen Trojaner hat so und so nicht mehr sicher ist, da hier Überweisungen während der Erstellung manipuliert werden können.

      Btw., gibt es eigentlich schon Virenscanner für Smartphones?

      Michael

    10. 10
      Rudi 

      Meine i-tan Liste ist gut versteckt in einem Ordner. Wenn man mir mein Handy raubt oder wenn ich es verliere, ist mein Bankkonto nicht betroffen. Daher finde ich das bisherie i-tan Verfahren sicherer als das mit der mobilen Tan. Oder habe ich eine große Sicherheitslücke bei i-tan übersehen?

    11. 11
      geometrix 

      Es soll ja Menschen geben (Deutsche, Ossis und Wessis und viele andere) die ihre PIN auf die EC Karte schreiben und zur Sicherheit einen Zettel im Geldbeutel haben um zu Wissen was die Nummer auf besagter Karte zu bedeuten hat. Wundern sich dann aber wenn irgendwann das Konto abgeräumt ist.
      Im Laden benötige ich keine mobile TAN, im Internet wird am Hauseigenen Rechner bestellt, daß Handy liegt daneben. Kauf im Internet über das Mäusekino? Wäre für mich Tierquälerei.

    12. 12
      keineAngabe 

      Mein Gott, leute machen einen Aufstand … wer überweist eigentlich unterwegs (nur mit einem Smartphone bewaffnet) soviele Transaktionen?? Kleiner Tipp, es gibt auch TELEFONBANKING 😀 ich bin froh nicht mehr diese iTAN Listen verwenden zu müssen, habe meine auch zufällig irgendwo verlegt und nicht mehr gefunden :/ bin auf jeden Fall mit mobile TAN zufrieden

    13. 13
      irgendwer 

      Die iTAN wird in Ihrem Artikel vollkommen falsch bewertet. Ein Abfragesystem wird in Fragen der Sicherheit viel sicherer bewertet als jegliche durch Codierfunktion erstellte TANs. Das Problem stellt dabei die Codierfunktion dar. Die kann verraten werden, wie beim DVD-Copierschutz und auch bei den PIN für Chipgeldkarten schon geschehen. Auch kann der einmalige Schlüssel (Kreditkarte) erkannt sein und möglicherweise aus diversen Datenbanken aus dem INTERNET abgefragt werden. Ein massenweiser Angriff auf Konten wird dadurch für kriminelle Elemente recht interessant. Einmalschlüssel wie bei iTAN fehlen diese Sicherheitsprobleme.

    14. 14
      irgendwer 

      Welche Banken bieten noch ein Weilchen die iTAN an? Deutsche Bank, Commerzbank, comdirect, IngDiba, und noch jede Menge andere Banken. Einfach mal per eMail abfragen. Und dann schnellst möglich dahin wechseln, wenn iTAN-Nutzung verhindert werden soll.

    15. 15
      Micha 

      denke mal, das die Leute, die die neue Mobile tan für gefährlich halten, Recht behalten werden. Der Trend geht eindeutig zum Smartphone und die Leute die vorher aufgrund einer SMS ihre Pin verraten haben werden auch nicht merken wenn sie angegriffen werden. Das kommt davon wenn man die Systeme immer an die dümmsten User anpasst….

    Kommentar abgeben

    Mit dem Absenden Ihres Kommentars willigen Sie ein, dass der angegebene Name, Ihre E-Mail-Adresse und die IP-Adresse, die Ihrem Internetanschluss aktuell zugewiesen ist, von mir im Zusammenhang mit Ihrem Kommentar gespeichert werden. Die E-Mail-Adresse und die IP-Adresse werden natürlich nicht veröffentlicht oder sonst weitergegeben. Mehr hierzu in den Datenschutzhinweisen.