Computerwissen

Dies ist ein Begrüßungstext, der immer auf der QuA Landingpage (qa/index) angezeigt wird.

rolfv
VIP
rolfv
offline
Da die EU die Benutzung von iTANs verbietet (wieso maßt sich die EU sowas an ?? - ist doch Sache der Banken), bietet die ING-Bank (außer einem gesonderten TAN-Generator oder den mTANs) die Nutzung einer App auf dem Handy an. Der Zugriff erfolgt durch Eingabe von gerade mal 5! Ziffern auf dem Handy. Transaktionen müssen durch diese 5 Ziffern bestätigt werden. Mir scheint, das ist nicht sonderlich sicher.
Was ist die Meinung der Sicherheitsexperten?
Geschrieben in: Mobile Sicherheit 21:31, 09. April 2019
Beitrag teilen:
Antworten (5)
  • Akzeptierte Antwort

    17:59, 11. April 2019
    Hallo rolfv,

    das Problem der iTAN ist, das diese oft auf dem gleichen Gerät verwendet wird, auf dem auch das Onlinebanking gemacht wird. Wichtig für die Sicherheit ist hier immer der Medienbruch. Also bei Nutzung von Onlinebanking mit dem Smartphone sollten Sie dort keine TANs empfangen. Denn eine weitere App könnte sich dazwischen schalten und die TAN für eine abgeänderte Überweisung verwenden und dann ist das Geld weg.

    Ich selbst verwende sogar noch die gute alte TAN Liste, auch wenn es nicht immer so bequem ist, da ich unterwegs nicht mal eben eine Überweisung tätigen kann. Aber im Prinzip ist die Herkunft der TAN egal, so lange Sie diese selbst per Hand ins Onlinebanking eingeben müssen.

    Mit freundlichen Grüßen
    Dirk Kleemann
    google icon

    Wunderbar, dass Ihnen weiter geholfen werden konnte!

    Wir würden uns sehr freuen, wenn Sie uns eine Bewertung auf Google hinterlassen:
    Jetzt bewerten

    Die Antwort ist derzeit minimiert Show
  • Akzeptierte Antwort

    rolfv
    VIP
    rolfv
    offline
    19:58, 11. April 2019
    Hallo Herr Kleemann,
    vielen Dank für Ihre Antwort.
    Bei meiner Bank heißt die "gute alte TAN Liste" iTAN-Liste. Das ist nicht die mTAN, die von der Bank als SMS an das Handy gesendet wird.
    Mit der DiBa-App auf dem Handy ist natürlich der Medienbruch gewährleistet, da ich Onlinebanking nur auf dem PC mache. Die Transaktionen werden durch Eingabe der gleichen 5 Ziffern und Druck auf einen Button auf dem Handy bestätigt. TAN-Nummern werden nicht erzeugt.
    Mir ging es um die Sicherheit der App selbst. Sie wird auf dem Handy durch Eingabe von nur 5 Ziffern geöffnet. Nach 3 falschen Eingaben wird die App gesperrt. Danach kann man den Kontostand und das Wertpapierdepot sehen und bei Wunsch auch Überweisungen oder Aktientransaktionen tätigen. Das heißt: kein Medienbruch! Schon das allein erfüllt m.E. nicht das Sicherheitsbedürfnis der meisten Nutzer. Deshalb meine Frage vom 9.4.
    Bitte sagen Sie Ihre Meinung dazu.
    Mit freundlichem Gruß
    Rolf Vonau

    Übrigens: ich hatte früher die eingescannte TAN-Liste unter einem Passwort mit VeraCrypt auf dem Laptop gespeichert. So konnte ich auch unterwegs Überweisungen tätigen.
    google icon

    Wunderbar, dass Ihnen weiter geholfen werden konnte!

    Wir würden uns sehr freuen, wenn Sie uns eine Bewertung auf Google hinterlassen:
    Jetzt bewerten

    Die Antwort ist derzeit minimiert Show
  • Akzeptierte Antwort

    noha
    VIP
    noha
    online
    00:01, 12. April 2019
    Hallo Herr Vonau,

    Ihre Anfrage war der Anlass, dass ich jetzt auf meinem Smartphone die App Foto-TAN meiner Bank installiert habe. Diese ist ein reiner TAN-Generator für die Verwendung beim Online-Banking am PC - nicht mit dem Smartphone.

    Details sind in http://www.wikibanking.net/onlinebanking/verfahren/phototan/ beschrieben. Die App erzeugt auf dem Smartphone ein 6stellige TAN, die ich am PC eintippen muss. Das Verfahren ist so sicher, wie das Smartphone. D.h., wenn ich dieses verliere, ist nicht nur der (bei der Bank mit seiner Seriennummer registrierte) "TAN-Generator" weg, sondern ich kann auch nicht die Bank anrufen, um mein Konto zu sperren: Telefonzellen gibt's ja auch keine mehr.

    Der Unterschied zum mobilen TAN (mTAN), bei dem die TAN von der Bank generiert auf ein Handy geschickt wird, ist, dass bei der mTAN nur die Handy-Rufnummer registriert ist. Wenn ein Betrüger sich eine SIM-Karte für meine Rufnummer ausstellen lässt, kann auf mein Konto zugreifen, wenn er die Anmeldedaten und die PIN kennt. Er braucht dazu mein Handy nicht.

    Eine Home-Banking App erfordert einen zweiten Weg für die TAN, was aber unterwegs nicht so einfach ist, wie in https://www.vr-banking-app.de/vr-securego.html beschrieben. Ein richtiger Medienbruch ist das nicht, auch wenn ich die TAN zwischendurch aufschreiben muss.

    VG
    noha
    google icon

    Wunderbar, dass Ihnen weiter geholfen werden konnte!

    Wir würden uns sehr freuen, wenn Sie uns eine Bewertung auf Google hinterlassen:
    Jetzt bewerten

    Die Antwort ist derzeit minimiert Show
  • Akzeptierte Antwort

    16:02, 12. April 2019
    Hallo Herr Vonau,

    es ist also eine komplette BankingApp, dazu kann ich wenig sagen. Selbst wenn ich sie mir ansehen könnte, könnte ich ja nur etwas oberflächliches sagen. Um die Sicherheit richtig einschätzen zu können, müsste man sich den Code ansehen und die App während der Laufzeit analysieren.

    Mit freundlichen Grüßen
    Dirk Kleemann
    google icon

    Wunderbar, dass Ihnen weiter geholfen werden konnte!

    Wir würden uns sehr freuen, wenn Sie uns eine Bewertung auf Google hinterlassen:
    Jetzt bewerten

    Die Antwort ist derzeit minimiert Show
  • Akzeptierte Antwort

    rolfv
    VIP
    rolfv
    offline
    17:16, 12. April 2019
    OK, ich werde mal einen Monat lang mit der App arbeiten
    google icon

    Wunderbar, dass Ihnen weiter geholfen werden konnte!

    Wir würden uns sehr freuen, wenn Sie uns eine Bewertung auf Google hinterlassen:
    Jetzt bewerten

    Die Antwort ist derzeit minimiert Show
Login Bild

Bitte melden Sie sich an um eine Antwort zu verfassen

Sie müssen angemeldet sein um eine Antwort zu verfassen. Sie können hierfür das Anmeldeformular rechts nutzen oder sich registrieren.

Hier registrieren »