24.11.2017 11:05 - bearbeitet 24.11.2017 11:07
Sehr geehrte Damen und Herren, wie ist Ihre Stellungsnahme zu diesem Artikel, in dem steht, dass u.a. die Comdirect Banking App nicht sicher ist?
http://www.sueddeutsche.de/digital/exklusiv-online-banking-apps-sind-anfaellig-fuer-hacker-1.3762624
mfg
mpwh
24.11.2017 11:26 - bearbeitet 24.11.2017 11:27
Hallo @mpwh,
herzlich willkommen in unserer Community!
Wir sehen in dem veröffentlichten Szenario eines Angriffs auf die photoTAN derzeit keine erhöhte Gefahr für unsere Kunden und wir betrachten photoTAN weiterhin als sicheres TAN-Verfahren. Darüber hinaus gilt natürlich auch für die photoTAN das „Bei-uns-sind-Sie-sicher-Versprechen“, das Sie vor eventuellen Schäden schützt.
Beste Grüße
Jan-Ove
24.11.2017 12:59 - bearbeitet 24.11.2017 13:02
Endlich mal wieder eine schlechte Nachricht über die Sicherheit online-gestützter Transaktionen! Wurde auch Zeit...
Und diesmal von der renommierten SZ und nicht von Loc... (sorry!) Focus Money.
Als eine der Ursachen für die mangelnde Sicherheit wird in dem Artikel das Bedürfnis der Kunden bequem Online-Transaktionen durchführen zu wollen genannt. Ok. Ich hab's gerne bequem. Und obwohl regelmäßig die Sirenen zum Thema Onlinebanking-Sicherheit laut aufheulen, mache ich mir keine großen Sorgen. Leider fehlt in diesen Artikeln häufig ein Hinweis darauf, wie hoch das Risiko attackiert zu werden denn tatsächlich ist. Ist es dreimal so hoch, wie die Wahrscheinlichkeit vom Blitz getroffen zu werden? 30 mal oder gar 3.000 mal? Gut, der Artikel weist auf die grundsätzlichen Risken hin und das ist auch gut so. Wenn es Forschern gelingt - womöglich unter Laborbedingungen - eine Attacke zu simulieren, gilt das Lob vor allem ihrem Forschergeist. Lässt sich diese Attacke aber auch so einfach "auf der Straße" reiten? Das wissen wir vielleicht nicht genau, aber wir sollten darauf gefasst sein!
Es empfiehlt sich also unbedingt, die Hinweise der Banken und des BSI zur Sicherheit im Onlinebanking zu beachten!
Ansonsten halte ich es bei diesem Thema wie meine Helden aus dem kleinen uns allen bekannten Gallischen Dorf. Die haben nämlich bereits seit 37* Folgen Angst davor, dass ihnen der Himmel auf den Kopf fällt. Passiert ist es ihnen allerdings (noch!) nicht.
Meint der Schlaumax
* und drei Sonderbände
am 24.11.2017 15:16
Alle Diskussionen sind überflüssig, wenn man sich daran hält, nicht alle Teile einer Transaktion auf demselben Gerät zu empfangen. Manche Banken verhindern das im voraus.
Wenn man eine Überweisung auf dem PC/Laptop mit einer FinTS-Software macht, oder auch auf der Webseite, läßt man sich eine SMS aufs Handy oder Smartphone schicken oder Photo-TAN aufs Smartphone.
Wenn man eine Überweisung mit dem Smartphone macht, läßt man sich eben eine SMS auf ein anderes Handy schicken oder benutzt iTAN. So sind die Übertragungswege getrennt und es kann nach menschlichem Ermessen nichts passieren.
Wer eben faul ist und alles auf demselben Gerät machen will, muß für seine Faulheit eben ein kleines (ich behaupte nicht es sei besonders groß) Risiko eingehen.
Gruß
am 24.11.2017 16:08
Volle Zustimmung @apeman.
Warum es überhaupt legal ist, so etwas wie eine PhotoTAN-App als Bank anzubieten, ist mir unbegreiflich. Damit wird das eigentlich sichere TAN-Verfahren ad absurdum geführt. Glücklicherweise ist man zur Nutzung nicht gezwungen.
Die Technik von Promon (worum es hier bei der Schwachstelle geht) ist ein alter Hut, das war schon zu Zeiten als es bei Starmoney eingeführt wurde äußerst fragwürdig und ist es heute noch. Ein rein softwarebasierter Schutz ist immer zu umgehen, es erhöht nur etwas den Aufwand für die Kriminellen.
am 25.11.2017 01:15
baha schrieb:Warum es überhaupt legal ist, so etwas wie eine PhotoTAN-App als Bank anzubieten, ist mir unbegreiflich. Damit wird das eigentlich sichere TAN-Verfahren ad absurdum geführt.
Wenn Banking- und PhotoTAN-App auf demselben Gerät verwendet werden, sehe ich das auch kritisch, da dabei ein infiziertes Gerät ausreicht, um Überweisungen zu manipulieren. Aber deine Kritik scheint sich gegen das Verfahren allgemein zu richten. Könntest du etwas näher erklären, wieso du das Verfahren für unsicher hältst?
am 25.11.2017 08:39
baha schrieb:Volle Zustimmung @apeman.
Warum es überhaupt legal ist, so etwas wie eine PhotoTAN-App als Bank anzubieten, ist mir unbegreiflich. Damit wird das eigentlich sichere TAN-Verfahren ad absurdum geführt. Glücklicherweise ist man zur Nutzung nicht gezwungen.
....
Dieser Logik kann ich leider nicht folgen, @baha. Was führt die Variante "photoTAN" denn am TAN-Verfahren ad absurdum? Und in Frage zu stellen, ob das legal sei (denn jeder Furz, den eine Bank heutzutage macht, wird durch die Regulatorik-Mühlen, z. B. der BaFin, gedroschen) hat mit der Thematik m. E. nichts zu tun.
Die generelle Frage ist doch, ob ich mich mit dem mir von der Bank angebotenen Legitmierungs- bzw. Transaktionsfreigabe sicher fühle. Und da gehen die Geschmäcker oder Empfindungen eben auseinander. Häufig, weil dahinter eine unsichtbare und schwer zu verstehende Technik steht. Ungeachtet irgendwelcher theoretischen Angriffsmöglichkeiten - und die gibt es immer, denn 100% Sicherheit gibt es bekanntlich nicht - zählt für mich die Praxis.
Also in den Raum gefragt: Ist jemanden bislang bei der Verwendung des photoTAN-Verfahrens ein Schaden entstanden? Wenn nicht, wird es Zeit in den Wald zu gehen und Wildschweine zu jagen und auf die Aussage von SMT_Jan-Ove zu vertrauen.
Gruß vom Schlaumax
am 25.11.2017 13:37
Hallo zusammen,
ich meinte es so wie von Weinlese beschrieben. Es ist dann problematisch, wenn man sowohl die Transaktion als auch die TAN-Generierung mit dem selben Gerät durchführt.
Ansonsten ist PhotoTAN okay.
am 25.11.2017 14:54
Weinlese schrieb:Wenn Banking- und PhotoTAN-App auf demselben Gerät verwendet werden, sehe ich das auch kritisch, da dabei ein infiziertes Gerät ausreicht, um Überweisungen zu manipulieren.
Ich frage mich gerade viel eher, wie man mobiles Banking + Photo-TAN auf einem Gerät (für eine auf diesem Gerät initiierte Transaktion) verwenden kann: Ich kann ja den auf dem Display angezeigten Code nicht mit dem gleichen Gerät abfotografieren und muss mir die TAN somit auf einem anderen Weg besorgen (z.B. mTAN - die allerdings theoretisch abgefangen werden könnte).
Viele Grüße,
Jörg
am 25.11.2017 17:35
Die Banking- und photoTAN-Apps haben neben dem Abfotographieren der Grafik noch eine alternative Schnittstelle, die die Daten direkt von einer zur anderen App schickt. Der ganze Grafik-Zwischenschritt entfällt also. In dem Fall muss ich baha zustimmen; dass diese Möglichkeit überhaupt existiert, ist wirklich etwas absurd.