Da die EU die Benutzung von iTANs verbietet (wieso maßt sich die EU sowas an ?? – ist doch Sache der Banken), bietet die ING-Bank (außer einem gesonderten TAN-Generator oder den mTANs) die Nutzung einer App auf dem Handy an. Der Zugriff erfolgt durch Eingabe von gerade mal 5! Ziffern auf dem Handy. Transaktionen müssen durch diese 5 Ziffern bestätigt werden. Mir scheint, das ist nicht sonderlich sicher.
Was ist die Meinung der Sicherheitsexperten?
Hallo rolfv,
das Problem der iTAN ist, das diese oft auf dem gleichen Gerät verwendet wird, auf dem auch das Onlinebanking gemacht wird. Wichtig für die Sicherheit ist hier immer der Medienbruch. Also bei Nutzung von Onlinebanking mit dem Smartphone sollten Sie dort keine TANs empfangen. Denn eine weitere App könnte sich dazwischen schalten und die TAN für eine abgeänderte Überweisung verwenden und dann ist das Geld weg.
Ich selbst verwende sogar noch die gute alte TAN Liste, auch wenn es nicht immer so bequem ist, da ich unterwegs nicht mal eben eine Überweisung tätigen kann. Aber im Prinzip ist die Herkunft der TAN egal, so lange Sie diese selbst per Hand ins Onlinebanking eingeben müssen.
Mit freundlichen Grüßen
Dirk Kleemann
Hallo Herr Kleemann,
vielen Dank für Ihre Antwort.
Bei meiner Bank heißt die „gute alte TAN Liste“ iTAN-Liste. Das ist nicht die mTAN, die von der Bank als SMS an das Handy gesendet wird.
Mit der DiBa-App auf dem Handy ist natürlich der Medienbruch gewährleistet, da ich Onlinebanking nur auf dem PC mache. Die Transaktionen werden durch Eingabe der gleichen 5 Ziffern und Druck auf einen Button auf dem Handy bestätigt. TAN-Nummern werden nicht erzeugt.
Mir ging es um die Sicherheit der App selbst. Sie wird auf dem Handy durch Eingabe von nur 5 Ziffern geöffnet. Nach 3 falschen Eingaben wird die App gesperrt. Danach kann man den Kontostand und das Wertpapierdepot sehen und bei Wunsch auch Überweisungen oder Aktientransaktionen tätigen. Das heißt: kein Medienbruch! Schon das allein erfüllt m.E. nicht das Sicherheitsbedürfnis der meisten Nutzer. Deshalb meine Frage vom 9.4.
Bitte sagen Sie Ihre Meinung dazu.
Mit freundlichem Gruß
Rolf Vonau
Übrigens: ich hatte früher die eingescannte TAN-Liste unter einem Passwort mit VeraCrypt auf dem Laptop gespeichert. So konnte ich auch unterwegs Überweisungen tätigen.
Hallo Herr Vonau,
Ihre Anfrage war der Anlass, dass ich jetzt auf meinem Smartphone die App Foto-TAN meiner Bank installiert habe. Diese ist ein reiner TAN-Generator für die Verwendung beim Online-Banking am PC – nicht mit dem Smartphone.
Details sind in https://www.wikibanking.net/onlinebanking/verfahren/phototan/ beschrieben. Die App erzeugt auf dem Smartphone ein 6stellige TAN, die ich am PC eintippen muss. Das Verfahren ist so sicher, wie das Smartphone. D.h., wenn ich dieses verliere, ist nicht nur der (bei der Bank mit seiner Seriennummer registrierte) „TAN-Generator“ weg, sondern ich kann auch nicht die Bank anrufen, um mein Konto zu sperren: Telefonzellen gibt´s ja auch keine mehr.
Der Unterschied zum mobilen TAN (mTAN), bei dem die TAN von der Bank generiert auf ein Handy geschickt wird, ist, dass bei der mTAN nur die Handy-Rufnummer registriert ist. Wenn ein Betrüger sich eine SIM-Karte für meine Rufnummer ausstellen lässt, kann auf mein Konto zugreifen, wenn er die Anmeldedaten und die PIN kennt. Er braucht dazu mein Handy nicht.
Eine Home-Banking App erfordert einen zweiten Weg für die TAN, was aber unterwegs nicht so einfach ist, wie in https://www.vr-banking-app.de/vr-securego.html beschrieben. Ein richtiger Medienbruch ist das nicht, auch wenn ich die TAN zwischendurch aufschreiben muss.
VG
noha
Hallo Herr Vonau,
es ist also eine komplette BankingApp, dazu kann ich wenig sagen. Selbst wenn ich sie mir ansehen könnte, könnte ich ja nur etwas oberflächliches sagen. Um die Sicherheit richtig einschätzen zu können, müsste man sich den Code ansehen und die App während der Laufzeit analysieren.
Mit freundlichen Grüßen
Dirk Kleemann
OK, ich werde mal einen Monat lang mit der App arbeiten