Jump to content
Fleisch

Umstellung auf ChipTAN und SMSTan

Recommended Posts

Fleisch
Posted

Hallo zusammen,

 

die Sparkassen in Deutschland stellen Stück für Stück auf ChipTAN-Verfahren um, bei dem man statt einer TAN-Liste so ein kleines Plastikgerät bekommt, welches dank Zappelstreifen am Monitor eine TAN ausgibt / bestätigt.

 

Bei uns wurde einem dies bislang kostenfrei angeboten, aber Januar 2011 wird gezwungen oder der Onlinezugang deaktivert.

 

Wer von Euch hat diese Umstellung schon hinter sich, noch vor sich und wie steht ihr dazu ? Gibts bereits Meinungen, Erfahrungen usw. ? Mein letzter Kenntnisstand ist, dass das Verfahren bereits schneller gehackt wurde als das alte man aber an der Umstellung festhält.

 

Ich bin gespannt, was ihr dazu sagt. Bitte nur über das Verfahren usw. diskutieren. Merci

Share this post


Link to post
marcel
Posted

Hier kostet das Gerät ca. 10. Ab Januar ist iTan auf 1000/Tag begrenzt, ab März muß man umsteigen.

Was die Sicherheit angeht, kann ich nicht beurteilen, was besser ist, aber das man jetzt immer die EC Karte braucht finde ich schon sehr lästig. Wie gut die Handhabung des Geräts funktioniert, bleibt abzuwarten.

 

Marcel

Share this post


Link to post
BondFan
Posted · Edited by BondFan

Bei meiner Sparkasse soll das Ding auch 10 Euro kosten und es wird neben chipTAN auch noch das smsTAN-Verfahren angeboten und HBCI natürlich. Neue Online-Konten werden offenbar schon jetzt nicht mehr mit iTAN angeboten. Allerdings hab ich auch keine Info gesehen, ab wann Bestandskunden umsteigen müssen. Da scheinen die einzelnen Spaßkassengruppierungen alle ihr eigenes Süppchen zu kochen.

 

Die Bedienung der Geräte scheint ja recht einfach zu sein, was mir nur zu denken gibt ist die Tatsache, dass die TAN aus den Auftragsdaten errechnet wird. Wenn der Algorithmus geknackt / gehackt wird kann man sich die passende TAN zum Konto leer räumen selbst errechnen. Stellt sich die Frage in wie weit die eigene Original Sparkassenkarte in das Sicherheitskonzept einbezogen ist oder ob bereits eine Kopie ausreicht.

 

Ich habe mich mit dem Thema noch nicht wirklich beschäftigt, da mich meine Sparkasse noch nicht direkt darauf angesprochen hat, aber so auf den ersten Blick würde ich chipTAN als das kleinere Übel betrachten, gefolgt von der guten alten iTAN. Das smsTAN-Verfahren würde für mich auf keinen Fall in Frage kommen, so ein Handy ist schnell mal weg. Alle TAN-Verfahren haben so ihre Lücken und einen Tod kann man dabei nur sterben. Aber egal welches Verfahren benutzt wird, die PIN wird ja ebenfalls noch benötigt und die lässt sich wie bisher phishen.

 

Und wie soll das ganze mit Banking-Programmen wie Star Money funktionieren ? Die müssten diese Grafik ja nach dem gleichen Schema erzeugen wie die Bank auf ihrer Homepage.

Share this post


Link to post
Scoobydoo
Posted

Da ich bei der Sparkasse arbeite, kann ich euch sagen dass des von Sparkasse zu Sparkasse verschieden ist. Früher oder später will man wohl komplett auf iTan verzichten, blos wann welche Sparkasse umstellt ist ungewiss.

 

Aus Testphasen (und Schulungen) kann ich sagen, dass smsTAn und chipTan aufjedenfall sicherer sind als das derzeitige iTanverfahren. Wir hatten bisher auch noch keine Schadensfälle so wie ich das mitbekommen hab.

Share this post


Link to post
BondFan
Posted

Mal ehrlich, glaubst Du wirklich, dass Sparkassen oder Volksbanken freiwillig Fälle zugeben, in denen Ihre Sicherungssysteme ohne Kundenverschulden versagt haben ? Ich glaube nicht daran, dass die Banken, welche für die breite Masse der Bevölkerung sozusagen eine Grundversorgung zum Thema Geld darstellen, so etwas an die große Glocke hängen. Der Vertrauensverlust bei Otto Normalverbraucher und Lieschen Müller wäre einfach zu enorm. Da wird erst mal die Schuld beim Kunden gesucht, bevor das tolle System nen Fehler hat.

Share this post


Link to post
webber
Posted

chiptan ist das letzte was mir in die tüte kommt. Völlig unpraktikabel bei mehreren konten ....

 

Da wird dann das konto gekündigt. Die sparkassen wollen doch nur das porto und die druckkosten für die listen nicht zahlen

Share this post


Link to post
Fleisch
Posted

also ich hab da bei der Sicherheit eben genau aus dem Grund der Errechnung meine Zweifel. Zum Thema Schadensfälle und Wahrscheinlichkeit hier mal noch ein Artikel

 

http://go.raidrush.ws/?http://www.heise.de/newsticker/meldung/chipTAN-Verfahren-der-Sparkassen-ausgetrickst-866115.html

 

Ich empfehle auch mal die beiden weiterführenden Artikel dazu am unteren Ende des Artikels zu lesen.

Share this post


Link to post
Stockinvestor
Posted

Ich habe sowieso nicht kapiert warum das iTan-Verfahren geknackt werden kann. Höchstens, wenn jemand an die Liste mit den iTANs kommt.

Zu jeder Transaktion gibt es eine iTAN zur Bestätigung. Überweise ich Geld an ein Konto muss ich z.B. iTAN Nr. 23 eingeben, was hat der Hacker davon, wenn er eine Überweisung auf ein anders Konto tätigen will. Er benötigt doch eine ganz andere iTAN für seine Überweisung.

Aber selbst wenn das funktionieren würde, wäre es nicht sinnvoll auf dem Bildschirm anzuzeigen wieviel Personen gerade auf einem Konto Zugriff haben.

Wenn man beim Anmelden merkt, dass da zwei Personen gerade angemeldet sind könnte man doch merken, dass da einer die Zugangsdaten geknackt hat.

Share this post


Link to post
BondFan
Posted

Das Problem beim iTAN ist, dass Deine Überweisung auf dem Weg zur Bank abgefangen werden könnte und gar nicht dort ankommt. Zeitgleich gibt ein Hacker seine Überweisung an die Bank und muss TAN 23 eingeben. Dies meldet er an Dich weiter und für Dich sieht es so aus, als ob die TAN für Deine Überweisung ist. In Wirklichkeit legitimierst Du damit aber die Überweisung des Hackers, entweder direkt an die Bank oder die TAN wird mit Hilfe eines Trojaners gephisht und der Hacker gibt sie ein.

Share this post


Link to post
boll
Posted

Ich hasse das Plastik-Dingen. Viel zu umständlich, dass ich jedes Mal in mein Portemonnaie greifen muss, um die Girocard herauszuholen, damit ich dann endlich mit etwas Geschick vor dem Monitor, die Überweisung ausführen kann.

 

Wenn das Ausgabebild auf dem Monitor etwas verzerrt dargestellt wird, muss ich dies ggf. so anpassen, dass das Gerät wieder in der Lage ist, eine TAN zu generieren.

 

Auf der iTan-Liste habe ich immer kurz notiert, wann und wofür diese benutzt wurde. Jetzt habe ich einen blanko Zettel, auf dem ich das dokumentiere.

 

Eine Überweisung schnell am Arbeitsplatz durchführen, ist nun auch "schwieriger" geworden. Kommt sicherlich bei dem ein oder anderen Chef nicht so gut an, wenn man mit dem Gerät inkl. Girokarte vor dem Monitor hantiert. Die gute alte iTAN-Liste ist da deutlich unauffälliger auf dem Schreibtisch.

Share this post


Link to post
Stockinvestor
Posted

@Bondfan

Vielen Dank für den Erklärungsversuch, aber ich hab keine Vorstellung darüber wie das technisch machbar ist, dass ein Datenpaket abgefangen werden kann und durch ein neues ersetzt wird. Scheint aber irgendwie machbar zu sein.

Share this post


Link to post
35sebastian
Posted

chiptan ist das letzte was mir in die tüte kommt. Völlig unpraktikabel bei mehreren konten ....

 

Da wird dann das konto gekündigt. Die sparkassen wollen doch nur das porto und die druckkosten für die listen nicht zahlen

 

Sehe ich auch so. chiptan oder mobiletan . Nein, danke.

Dann kündige ich.

Share this post


Link to post
marcel
Posted

Sehe ich auch so. chiptan oder mobiletan . Nein, danke.

Dann kündige ich.

 

Kündigen werde ich nicht, zu umständlich und man hat ein paar Vorteile bei der Sparkasse, z.B. das einfache Einlösen von Auslandschecks.

Aber es ist schon blöd jedesmal die EC-Karte aus der Jacke zu kramen und daran zu denken, sie wieder einzustecken.

Ich werde wohl einen Dauerauftrag auf mein zweites Giro einrichten und Überweisungen von dort unternehmen.

SMSTan ist eh unpraktikabel.Ich habe schon SMS bekommen, die ein Jahr alt waren, viele kamen gar nicht an. Aber im Normalfall ist mein Handy eh nicht aufgeladen, da ich es nur gekauft habe, weil ich einen Monat kein Festnetz hatte.

 

Marcel

Share this post


Link to post
BondFan
Posted

Aber wie sehen die Alternativen aus ? HBCI ?

Die Deutsche Bank gibt auf der Neu-Konten-Seite an, dass iTAN und/oder mobileTAN genutzt werden können. Bei der Commerzbank hab ich dazu nichts gefunden, hier wird aber neben dem Webportal auch noch Star Money angeboten.

 

Mich würde vor allem interessieren, wie chipTAN in eine Banking-Software eingebaut wird. Ich tätige meine Überweisungen nahezu nur über die Software und nur in Ausnahmefällen über das Webportal.

Share this post


Link to post
obx
Posted

Aber wie sehen die Alternativen aus ? HBCI ?

Die Deutsche Bank gibt auf der Neu-Konten-Seite an, dass iTAN und/oder mobileTAN genutzt werden können.

Also meine Bank nutzt das mobileTAN-Verfahren, mit dem ich alles in allem ziemlich zufrieden bin. Ich gebe die Daten in der Überweisungsmaske ein und bekomme dann auf mein Handy eine SMS mit einer TAN, die ich dann eingeben muss.

 

In der SMS stehen aber sowohl der von mir eingetragene Wert, als auch Kontonummer und BLZ des Überweisungsempfängers. Diese Art der mobileTAN wiegt mich da, zumindest subjektiv, in Sicherheit. In der SMS mit der TAN sind alle Daten drin, die ich auch in der Maske zuvor eingegeben habe.

 

Ich gehe doch davon aus, dass wenn jemand jetzt noch die Überweisung abfängt und die Daten nachträglich ändert, dass er diese mobileTAN nicht mehr nutzen kann. Denn in dieser steht ja ein ganz anderer Kontoempfänger drin.

Share this post


Link to post
Akaman
Posted

Bei der Commerzbank hab ich dazu nichts gefunden,

Sie verwendet das iTAN-Verfahren. Zusätzlich wird nach erfolgter Transaktion eine BEN zurückgesendet (keine Ahnung, wofür das steht), das ist eine Kombination aus drei Buchstaben. Die für die jeweiligen iTANs richtigen BENs sind ebenfalls in der iTAN-Liste aufgeführt.

 

Laut CoBa wird dadurch zwar nicht verhindert, dass die iTAN gehijackt wird, aber es fällt sofort auf, da der Hijacker nicht die richtige BEN erzeugen kann.

 

Ich finde übrigens CoBa nicht so wahnsinnig prickelnd, aber es ist gar nicht einfach, für eine kleine GmbH eine Bank zu finden.

Share this post


Link to post
otto03
Posted

Bei der Commerzbank hab ich dazu nichts gefunden,

Sie verwendet das iTAN-Verfahren. Zusätzlich wird nach erfolgter Transaktion eine BEN zurückgesendet (keine Ahnung, wofür das steht), das ist eine Kombination aus drei Buchstaben. Die für die jeweiligen iTANs richtigen BENs sind ebenfalls in der iTAN-Liste aufgeführt.

 

Laut CoBa wird dadurch zwar nicht verhindert, dass die iTAN gehijackt wird, aber es fällt sofort auf, da der Hijacker nicht die richtige BEN erzeugen kann.

 

Ich finde übrigens CoBa nicht so wahnsinnig prickelnd, aber es ist gar nicht einfach, für eine kleine GmbH eine Bank zu finden.

 

BEN = BEstätigungsNummer

Share this post


Link to post
Akaman
Posted

BEN = BEstätigungsNummer

Danke, otto! Wäre ich nicht drauf gekommen, da es eine Buchstabenkombination ist. Egal, hätte ich wohl mal gugeln sollen.

Share this post


Link to post
Stratege
Posted · Edited by Stratege

Aussage einer Sparkassenmitarbeiterin, als ich sie etwas herausforderte indem ich auf ihre Aussage "Das Chip-TAN-Verfahren sei viel sicherer als das iTan-Verfahren" entgegnete, dass ich auch zum Chip-TAN-Verfahren schon etliche kritische Stimmen gehört habe:

 

Wir haben täglich Kunden, deren iTANs gehackt wurden; beim Chip-TAN-Verfahren gab es einen solchen Fall noch nicht.

 

Ich finde weniger den zweiten Satzteil verwunderlich - das Chip-TAN-Verfahren wird auch noch nicht in der breiten Masse verwendet, die Umstellung soll erst nächstes Jahr endgültig vorgenommen werden - sondern die Aussage, dass täglich (!) bei Kunden einer kleineren regionalen Sparkasse das iTAN-Verfahren geknackt wird... :blink:

Share this post


Link to post
webber
Posted

wenn die dann auf chiptan umstellen, stellen die hacker halt eben auch um ...

is doch irgendwie immer das selbe ...

Share this post


Link to post
ipl
Posted

Hab den Thread jetzt ziemlich verspätet gelesen... ^^

 

Die "Schwachpunkte" des ChipTAN-Verfahrens im Artikel lassen sich genauso und noch mehr auf das iTan-Verfahren anwenden. ChipTAN ist auf jeden Fall sicherer. Es wurde auch gar nicht das eigentliche Verfahren geknackt (keiner kann die TAN selbst berechnen), sondern nur der Übertragungsweg angegriffen - der mit iTan ja identisch ist (nämlich Internet/Browser).

 

HandyTAN ist im Idealfall genauso sicher wie ChipTAN und gar nicht mehr computergesteuert angreifbar (sondern nur über realen Diebstahl), aber die Sparkassen-Ausführung des Geräts, die u.U. keine genauen Transaktionsdaten anzeigt, ist natürlich für die Tonne bzw. (bis auf einen Spezialfall) gleichzusetzen mit iTan.

 

Ich habe sowieso nicht kapiert warum das iTan-Verfahren geknackt werden kann. Höchstens, wenn jemand an die Liste mit den iTANs kommt.

Zu jeder Transaktion gibt es eine iTAN zur Bestätigung. Überweise ich Geld an ein Konto muss ich z.B. iTAN Nr. 23 eingeben, was hat der Hacker davon, wenn er eine Überweisung auf ein anders Konto tätigen will. Er benötigt doch eine ganz andere iTAN für seine Überweisung.

Aber selbst wenn das funktionieren würde, wäre es nicht sinnvoll auf dem Bildschirm anzuzeigen wieviel Personen gerade auf einem Konto Zugriff haben.

Wenn man beim Anmelden merkt, dass da zwei Personen gerade angemeldet sind könnte man doch merken, dass da einer die Zugangsdaten geknackt hat.

Alles, was dein Bildschirm anzeigt, wird im schlimmsten Fall vom Hacker fremdgesteuert. Inklusive der Anzahl der angemeldeten Personen, die angeblichen Transaktionsdaten, für die du die TAN vergibst, etc. Was der Hacker aber nicht steuern kann, sind dein Handy oder das TAN-Gerät - bzw. beide Geräte zeigen mit der TAN auch die eine einzige Transaktion an, für die die jeweilige TAN verwendet werden kann. Oder im Sparkassenfall: sie sollten es. :rolleyes:

 

Wenn das Ausgabebild auf dem Monitor etwas verzerrt dargestellt wird, muss ich dies ggf. so anpassen, dass das Gerät wieder in der Lage ist, eine TAN zu generieren.

Es wird ein Flickercode benutzt, es gibt da nichts, was verzerrt dargestellt werden kann. Hauptsache dein Monitor zeigt Schwarz und Weiß noch richtig rum an. ^^

Share this post


Link to post
ipl
Posted

Bei der Commerzbank hab ich dazu nichts gefunden,

Sie verwendet das iTAN-Verfahren. Zusätzlich wird nach erfolgter Transaktion eine BEN zurückgesendet (keine Ahnung, wofür das steht), das ist eine Kombination aus drei Buchstaben. Die für die jeweiligen iTANs richtigen BENs sind ebenfalls in der iTAN-Liste aufgeführt.

 

Laut CoBa wird dadurch zwar nicht verhindert, dass die iTAN gehijackt wird, aber es fällt sofort auf, da der Hijacker nicht die richtige BEN erzeugen kann.

Ich kenne jetzt keine Einzelheiten, aber was hindert den Hijacker daran, seine gewünschte Transaktion mit der abgefangenen iTAN durchzuführen und die korrekte BEN anzuzeigen?

 

Irgendwie scheint CoBa da falsche Sicherheit zu suggerieren.

Share this post


Link to post
Akaman
Posted · Edited by Akaman

Ich kenne jetzt keine Einzelheiten, aber was hindert den Hijacker daran, seine gewünschte Transaktion mit der abgefangenen iTAN durchzuführen und die korrekte BEN anzuzeigen?

 

Irgendwie scheint CoBa da falsche Sicherheit zu suggerieren.

Danke für den Hinweis, ipl! Was für mich daraus folgt, weiss ich aber noch nicht.

Share this post


Link to post
Archimedes
Posted

Die Chip TAN Systeme mit Code Eingabe oder Code Übertragung sind sehr sicher.

"Knacken" kann man die starke Verschlüsselung nicht,

es geht dem Hacker daher darum dem Opfer etwas vorzugaukeln.

Was wahrscheinlich viele nicht wissen, ist dass die Code Zeile der Transaktionsdaten die TAN auf die Kontonummer des Empfängers festlegt.

D.h. solange man in der Codezeile die richtige Kontonummer eingibt,

kann auch ein Hacker mit der TAN nichts anfangen.

Nur wenn der Kunde eine gefälschte Codezeile mit der Kontonummer des Hackers eingibt,

kann das Geld gestohlen werden.

 

Bei SmartTAN optic muß der Kunde die Daten nicht mehr selber eingeben sondern läßt sie übertragen.

Der Kunde ließt dann den Betrag und die Kontonummer des Empfängers vom Display des TAN Gerätes

und bestätigt die Richtigkeit mit Eingabe der generierten TAN.

Ist der Kunde sorglos und vergleicht die im TAN Gerät angezeigt Kontonummer nicht mit der des Empfängers,

kann das Geld umgeleitet werden.

Daher kann davon ausgegangen werden, dass es bald in einer der reißerischen Reportagesendungen einen Bericht über SmartTAN optic Opfer geben wird.

Share this post


Link to post
ipl
Posted
Nur wenn der Kunde eine gefälschte Codezeile mit der Kontonummer des Hackers eingibt, kann das Geld gestohlen werden.

Die Codezeile scheint nicht verschlüsselt zu sein, eine Manipulation ist anscheinend möglich.

 

Bei SmartTAN optic muß der Kunde die Daten nicht mehr selber eingeben sondern läßt sie übertragen.

Der Kunde ließt dann den Betrag und die Kontonummer des Empfängers vom Display des TAN Gerätes

und bestätigt die Richtigkeit mit Eingabe der generierten TAN.

Ist der Kunde sorglos und vergleicht die im TAN Gerät angezeigt Kontonummer nicht mit der des Empfängers,

kann das Geld umgeleitet werden.

Daher kann davon ausgegangen werden, dass es bald in einer der reißerischen Reportagesendungen einen Bericht über SmartTAN optic Opfer geben wird.

Du hast den Artikel wohl nicht (aufmerksam) gelesen. Es ging um die Schwachstelle des Sparkassen-TAN-Geräts, bei der das Gerät die Kontonummern gar nicht erst anzeigt, sei der Kunde noch so aufmerksam - das ist bei Sammelüberweisungen der Fall.

 

Ich habe aber gerade gelesen, dass der Trick mit Umwandlung einer Einzelüberweisung in eine Sammelüberweisung mit einem Posten neuerdings nicht mehr funktioniert. Die Sparkassen haben reagiert und die Display-Anzeige solcher Einzel-Sammelüberweisungen geändert. Für das Update dürfte vermutlich ein neues TAN-Gerät notwendig werden. Volksbanken nehmen derartige Einzel-Sammelüberweisungen dagegen gar nicht erst an.

 

Bleibt noch die Schwachstelle bei "echten" Sammelüberweisungen... Aber das dürfte im Privatbereich eher eine Ausnahme sein.

Share this post


Link to post

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×
×
  • Create New...