Hi,
Ich sichere meine Konten wenn möglich immer mit 2FA, am liebsten mit meinem YubiKey.
Irgendwie gibt es scheinbar keine Banken welche 2FA anbieten. Zumindest nicht in einer vertretbaren Form.
Eine 2FA per SMS ist beispielsweise sehr unsicher.
Gibt es dafür einen technischen Grund?
Hat tomorrow vor physisches 2FA einzuführen?
Gruß
Das Problem ist Folgendes:
Es ist rechtlich vorgeschrieben, dass dir im SCA-Prozess selbst mitgeteilt wird, was genau du durch das SCA-Verfahren freigegeben wird. Eine Überweisung über 1000 Euro. Oder der Kontozugriff. Oder eine Kreditkartenzahlung …
Dazu braucht es einen Kommunikationskanal zwischen Bank und dir, den TOTPs oder Verfahren wie YubiKey design-bedingt nicht bieten können. Sie sind für diese Zwecke also schlicht nicht zulässig. Eine Bank könnte YubiKey höchstens zusätzlich anbieten, zum Beispiel, dass du für die TAN-APP dann statt eines Passcodes den Key als Schutz nutzt. Aber ein Verfahren wie App-TAN ersetzten können Banken nicht.
Hi,
Danke für die technischen Hintergründe. Ich hatte schon geahnt dass es sowas ist, da es ja alle Banken zu betreffen scheint.
Jetzt ist es doch so dass tomorrow keine TAN App hat, richtig? Wenn also jemand wie auch immer an meine Zugangsdaten kommt (unrealistisch, aber für mein Verständnis wichtig), kann er sich in mein Konto einloggen und Überweisungen tätigen? Oder gibt es da noch irgendeinen Sicherheitsmechanismus der mich schützt? 
Tomorrow nutzt Device Binding. Dein Handy selbst, der „Besitz“ des Handys ist der 2. Faktor. Für die Sicherheit ist nicht wichtig, dass TAN-App und Banking-App zwei unterschiedliche Apps sind. Wichtig ist, dass die Kommunikationskanäle technisch voneinander getrennt sind. Über Kanal A wird die Überweisung übertragen, über Kanal B dann die Freigabe. Tomorrow hat, wie einige andere Banken auch, beide Funktionen in die gleiche App eingebaut. Die DKB macht das so, auch Revolut. Die TAN-Funktion erfolgt über ein Endgerät, das als „sicher in deinem Besitz“ gilt. Deswegen ist das Verfahren, auf ein neues Handy umzusteigen, auch etwas kompliziert. Es muss sichergestellt werden, dass das neue „vertrauenswürdige Gerät“ wirklich von der richtigen Person eingerichtet wird.
Wo bitte soll das genau stehen?
Mutmaßlich?
Der Unterschied besteht zwischen F2A und SCA oder wie es richtig heißt MFA, SCA ist nur die rechtliche Definition, das MFA weniger Einschränkungen hat wie die Authentifizierung mit 2 verschiedenen Merkmalen abzulaufen hat. Das was hier allen so wichtig ist, eine Authentifizierung ohne Passwort, weil die User zu blöd zu sein scheinen vernünftige Passwörter zu generieren.
Oder besser, mit asymetrischer Schlüsselverteilung kommt man dem user entgegen sichere Passwörter, welche die Anbieter entweder im Klartext oder mittels sha128 in der cloud speichern, automatisch zu benutzen indem man Schlüssel verwendet anstatt Passwörter.
Davon mal abgesehen spielt es also absolut keine Rolle, welche Hardware deine privaten (geheimen) Schlüssel speichert und sich in deinem Besitz finden.
Da Yubikey auch FIDO2 und Passkey unterstüzt und im Prinzip ein TPM für die Hosentasche darstellen kann, ist er dem Smartphone was deine Sicherheit angeht sogar überlegen, da er ja sogar von der Hardwareseite die Schlüssel dem Gerät was mit dem Internet verbunden ist, vorenthält und zusätzlich mit PIN abgesichert ist.
Wer weiß denn, welche AI auf dem Smartphone nicht damit beschäftigt ist, die geheimen Schlüssel aus den TPM Element auf deinem Smartphone zu extrahieren, um sich deine Daten auf dem Konto anzuschauen?
Das liegt schlicht daran, dass die Banken alle den selben beauftragt haben die App zu entwickeln, bzw. die dann voneinader abschreiben, das ist dort genauso wie bei den Krankenkassen Apps mit ihren Gematik Vorgaben, zu dem sehen die auch noch fast alle gleich aus. Wird wahrscheinlich auch wieder eine Usability Sache sein, um einen etwa gleichen Standard zu bieten, wo auch Wechsel einfacher zu gestallten sind.
Verwechseslt du gerade was mit den von VISA verwendeten 3D Secure? Wäre mir neu bei einer Überweisung mit mail/passwort Anmeldung in der App nochmal was bei einer Überweisung bestätigen zu müssen?
Alle bis auf die Sparda/ Raifeisen Banken, die erst jetzt gezwungerner Maßen bis Septemper ihre Verfahren umstellen müssen.
Sind wir bei der gleichen Bank? Auf dem anderem Handy ist nicht mal eine Abmeldung oder Bestätigung nötig, das erledigt sofort das neu angemeldete Gerät, welches eine Verifizierung mittels 6 stelligen code an deine E-Mail Adresse, dein Gerät sofort registriert. Was ist daran kompliziert? E-Mails abrufen? Zahlen eintippen? (Oder wurde das mittlerweile geändert und man muss seine Identität mit der Ausweisapp bestätigen? Weil Identitäts Dienstleister sind ja bekanntermaßen der allerletzte Datenschutz Super Gau.)
In Zukunft bräuchte man also nur noch e-mail accounts zu hacken und kann Reihenweise Bankkonten übernehmen 
Da wäre so ein Hardware token oder eine NFC Karte von Vorteil, aber Sicherheit und Datenschutz waren noch nie Priorität, einfach zu bedienen, leicht verständlich, maximaler Datenaustausch und so Mitwirkungslos durch den User wie nur möglich, muss es sein.
Hallo Mumpitz,
Geiler Text, sehr informativ 
Es ist schön zu sehen dass auch andere Leute sich über die Sicherheit ihres Kontos sorgen machen..
Solange es keine Bank in DE gibt welche vernünftiges 2FA anbietet bleibt wohl nichts übrig außer das Handy an den Körper zu ketten, FaceID und Fingerabdruck zu deaktivieren, 12 stellige PIN zu vergeben und das E-Mail Konto vernünftig zu sichern..
Ich glaube ich parke erspartes was ich aktuell in Pockets habe (Notgroschen und sowas) dann lieber zukünftig in meinem Scalable Konto. Das hat immerhin 2FA im Anmeldeprozess.
Und das ist eigentlich erstmal auch alles was ich wollte! Das man, selbst wenn man mein Handy klaut und die FaceID umgeht, immer noch ne 2FA braucht.
Wirklich wirklich schade.
Zum Entsperren von Smartphones sind biometrische Daten eher schlecht als Recht, aber es gibt trotzdem noch die Möglichkeit nach einer Anmeldung mit Fingerabdruck eine Art 2FA zu machen mit PIN/Password, Password bleibt max 24h Stunden aktiv, einmalig eingegeben bleibt die PIN aktiv, 3 Mal falsche PIN ist das PW wieder fällig, genau wie nach reboot.
Sobald man eingeloggt ist, kann man bei den Apps wo es verfügbar ist immer noch zusätzlich mit biometrischen Daten den Zugang sperren.
Es sind Kombinationen die es „sicher“ machen.
Gerne würde ich es sehen, das zum Entsperren von Hardware Token möglich wären, weil dann fühlt man sich sicher, aber wer würde sich schon gerne die Arbeit machen wollen und jedesmal eine NFC Karte auf den Kartenleser zu legen, um sich einloggen zu können. Hier ich 
Du beschreibst falsch, wie man ein neues Handy autorisiert.
Richtig ist, dass der Link zum Entkoppeln an die registrierte E-Mail-Adresse gesendet wird. Falsch ist, dass das alleine ausreicht. Für eine erfolgreiche Konto-Übernahme durch dritte müssen diese Infos kompromittiert sein:
Nur wenn ein Angreifer Zugriff auf alle diese Infos hat, kann er ein neues Gerät mit dem Konto koppeln. Die Info, dass man nur die E-Mail-Adresse hacken muss, ist schlicht falsch.
Die Anforderungen für SCA sind für Überweisungen und Kartenzahlungen seit 2018 (PSD2) recht ähnlich geregelt. Dass man kleine Überweisungen ohne SCA ausführen kann und mit der Karte kontaktlos an der Supermarktkasse zahlen kann, basiert auf der gleichen gesetzlichen Grundlage. Die Form, wie SCA durchgeführt wird, ist halt nur nach Medium unterschiedlich: Karten-PIN bei Zahlungen im Geschäft, Überweisungs-TAN bei Überweisungen, oder 3D-Secure bei Online-Kartenzahlungen. Wenn SCA im Spiel ist, sind das immer 2-Faktor-Autorisierungen: Ich halte die Karte in der Hand (Besitz) und gebe die PIN ein (Wissen). Oder ich führe eine Überweisung durch, habe mich vorher ins Konto eingeloggt (Wissen) und bestätige diese auf dem autorisierten Gerät (Besitz).
Mit PSD2 hat der Gesetzgeber den alten SCA-Standard bei Kartenzahlungen als nicht mehr ausreichend angesehen und vorgegeben, dass in Europa auch Online-Kartenzahlungen mit einer TAN freigegeben werden müssen. Seitdem gibt es also nicht mehr nur für Überweisungen TANs, sondern auch für Kartenzahlungen. Die meisten Banken lösen das inzwischen über App-Notifications, oder haben, wie die Sparkassen, eine eigene separate TAN-App, die alle Freigaben erledigt, egal ob Überweisungen oder Kartenzahlungen.
Wenn du mehr darüber wissen möchtest worauf ich mich mit den „zwei getrennten Kommunikationswegen“ beziehe, dann ist vielleicht die Doktorarbeit von Vincent Haupert interessant, die sich genau mit der Sicherheit der TAN-Verfahren befasst: Sicherheit mobiler Bankgeschäfte zwischen Innovation und Regulierung
Relevant ist, dass es nicht reicht, einen Zugangsweg zu kompromittieren. Konto-Passwort alleine reicht nicht, man muss auch den Übermittlungskanal kompromittieren, über den die TAN-Freigaben erfolgen.
Stimmt, das App Passwort braucht er noch um die E-Mail zu senden die das alte Gerät abmeldet und die SMS auslöst für das neue Gerät. Wie funktioniert das noch mal mit dem Passwort ändern? Aber lassen wir das.
Das wird nicht mehr mittels 3D Secure von VISA gemacht? Wann erfolgt die Umstellung bei tomorow? Weil aktuell wird 3D Secure nur einmal beim hinterlegen ausgeführt und später reicht ein einfacher kaufen klick und Karte bestätigen klick aus, um einen online Kauf auf Plattformen zu erledigen? Weil so läuft das aktuell bei mir. Einmalige Zahlungen müssen auch per 3D Secure bestätigt werden. Bei einer in der App ausgeführten Überweisung erfolgt die Anmeldung über Fingerprint welche dann beim ausführen der Überweisung nochmal abgefragt wird, wo ich mich schon immer Frage wo dabei eine erhöhte Sicherheit sein soll, zweimal kurz hintereinander das gleiche Merkmal abzurufen?
Diese TAN bekommen wir aber nie zu sehen korrekt?
Und danke für den Link, werde ich mal reinschauen!
Für eine erfolgreiche Konto-Übernahme durch dritte müssen diese Infos kompromittiert sein:
E-Mail-Postfach
Tomorrow-App-Passwort
SMS
Nur wenn ein Angreifer Zugriff auf alle diese Infos hat, kann er ein neues Gerät mit dem Konto koppeln.
Ok, ich möchte folgendes Szenario malen:
Der Durchschnittsuser benutze die selbe E-Mail - Passwort Kombination für viele, wenn nicht sogar alle Dienste. Regelmäßig klauen Hacker ganze Datenbanken mit Mail/Passwort Kombination und stellen Sie für einen schmalen Taler Online.
Der Durchschnittsuser schützt sein Email Postfach in etwa so gut wie sein Bank Account, also so bequem wie nur möglich. Damit hätte der angreifer in diesem Szenario doch schon Zugriff aufs Email Postfach sowie das Tomorrow App Passwort, richtig? Vorrausgesetzt der User nutzt immer das selbe Passwort. Und wir drei in diesem Thread wissen doch, die allermeisten tun genau DAS.
Bleibt als letzte Linie der Verteidigung des DAU die SMS.
Ich meine mich zu erinnern das SMS als Authentifizierung als sehr unsicher deklariert wurde.
Eine Sicherheitslücke ist dabei wohl das SIM Swapping, was nicht so schwer umzusetzen sein soll.
Ich gebe zu, um so einen Angriff umsetzen zu können muss man sein Opfer schon einigermaßen kennen. Zumindest braucht man neben Email und Passwort noch eine Telefonnummer. Aber wie viele Registrierungsformulare heutzutage fragen neben Email/Passwort noch ne Mobilfunknummer ab? Sehr viele.. Dementsprechend landen auch diese Online.
So. Ist so ein Angriff sehr einfach? Nein.
ABER: Es geht hier um ein Bankkonto! Der Schaden kann IMMENS sein.
Übersehe ich hier was? Ist unser Banksystem, so wie du es beschreibst, für das was es schützen soll nicht etwas zu unbedacht? Und damit meine ich nicht nur tomorrow, sondern alle Banken in DE.
Tomorrow muss für Karten-TAN-Freigaben natürlich die technische Plattform von VISA nutzen. Mein Punkt ist dieser, dass die Vorgaben für SCA harmonisiert sind, es gelten die gleichen gesetzlichen Anforderungen an VISA wie auch an Tomorrow.
Tomorrow bietet ja nur eine App an. Transaktionen und Freigaben erfolgen dadurch immer auf dem gleichen Gerät, anders als bei der Sparkasse, wo man z.B. am Laptop eine Überweisung aufgibt, und dann am Handy diese bestätigt. Wenn man einen TAN-Generator bei der Sparkasse nutzt, gibt man tatsächlich eine Nummer ein. Nutzt man die App von der Sparkasse für die TAN-Freigabe, loggt man sich in diese z.B. per Face-ID ein, und gibt mit einem Wischer von links nach rechts die Transaktion frei. Eine TA-Nummer sieht man hier auch nicht, diese wird im Hintergrund aber trotzdem noch übertragen. Ein Übertragungskanal für den Auftrag (übers Online-Banking), ein Übertragkungskanal für die Freigabe-TAN über die App.
Nutzt man bei der Sparkasse jetzt aber auch die App statt des Online-Bankings, gibt man in der App die Auftragsdaten ein, springt dann rüber zur TAN-App, „wischt“ den Auftrag frei, und die Überweisung ist durch.
Tomorrow hat nur eine Option, einen Auftrag zu übermitteln: die App. Die TAN-Freigabe kann dadurch in die App integriert sein, wenn Gerätebindung genutzt wird. Genau das gleiche technische Konzept nutzt die Sparkasse für die TAN-App. Die Übermittlung der TAN erfolgt im Hintergrund, wie du richtig beschreibst. Aber auch bei der Sparkasse sieht man keine Transaktions-Nummer mehr. Wenn die Tomorrow-App keine Berechtigung für Face-ID oder Fingerabdruck hat, dann erfolgt die Autorisierung über den Sperrcode des Telefons (iOS, kann bei Android anders sein, keine Ahnung).
Diese „Freigabe im Hintergrund“ ist natürlich nur möglich, da alles in der gleichen App stattfindet und Gerätebindung zum Einsatz kommt.
Ein „typischer“ Betrugsversuch bei einer kompromittierten TAN-Verbindung ist zum Beispiel, dass die TAN-App anzeigt, man würde 200 Euro an „Name A“ überweisen. In Wahrheit gibt man aber eine Überweisung über 20.000 Euro an „Name B“ frei. Die Angreifer zeigen also falsche Infos, die man dann guten Glaubens freigibt. Damit das funktioniert, muss ein Angreifer falsche Auftragsdaten übermitteln und zusätzlich eine falsche Meldung zum Vorgang im Freigabemedium (TAN-App) erzeugen können. Meines Erachtens hat Tomorrows Lösung das im Griff. Mir ist kein Fall bekannt, in dem Angreifer bei irgendeinem Solaris-Konto das technisch überwunden haben. Viel häufiger sind in letzter Zeit Angriffe, die sich unter „APP Scams“ zusammenfassen lassen, Authorized Push Payment Scams. Hier ist nicht die Technik gehackt, sondern Nutzer:innen geben willentlich „falsche“ Transaktionen frei.
Du sagst also, Nutzer:innen sind viel zu faul, ein Bankkonto und ein Mailpostfach mit separaten Passwörtern zu schützen? Wenn dem so ist, würde genau diese Usergruppe dann YubiKeys nutzen, separate USB-Dongles mit krypografischen Schlüsseln? Oder sind das die Leute, die ihren elektronischen Personalausweis samt PIN parat haben? Welches Sicherheitskonzept schlägst du denn vor für die breite faule Masse?
Die Gerätebindung basiert auf SMS, das ist korrekt. Bei der Kontoeröffnung wird durch eine SMS-TAN auch das Handy verifiziert. Der Dienstleister, der die Identität feststellt, stellt auch fest, dass sich eine SIM mit genau dieser Nummer im Besitz der gleichen Person befindet. Die Gerätebindung ist quasi eine Ableitung davon. Wer mit dem Handy auch seine Telefonnummer ändert (bzw. keinen Zugriff auf die alte Nummer mehr hat), muss sich neu per Ausweisdokument verifizieren und kann die Gerätebindung nicht einfach auf ein neues Handy übertragen.
SIM-Swap ist natürlich ein möglicher Angriffsvektor. Neben dem elektronischen Personalausweis gibt es aber eigentlich keine Alternative, die Banken in Deutschland zur Online-Kontoeröffnung nutzen können. Klar, da gibt es noch andere Dinge wie Bund-ID und ein Elster-Zertifikat, aber wie vertraut sind Druchschnitsnutzer:innen denn damit?
PS: Ich habe kein Scalable-Konto mehr. Ich habe mir aber eben mal die öffentlich verfügbaren Infos durchgelesen, wie man bei Scalable ein neues Handy für 2FA einrichtet: Man muss auf dem alten Handy die Gerätebindung aufheben, und dann auf dem neuen Handy diese neu einrichten. Autorisiert wird dieser Vorgang per SMS und Bestätigungslink per E-Mail. Also eigentlich identisch zu Tomorrow.
Cool ist ggf. der Backup-Code. Bei Tomorrow ist man im Fall des Verlusts des Sicherheitsmediums auf Hilfe durch den Kundendienst angewiesen.
Ja, ich glaube du kriegst die breite Masse um ein vielfaches schneller dazu einen kleinen Hardwareschlüssel zu benutzen als sie zu belehren immer brav ein kryptographisch sicheres Passwort pro Acc. zu erzeugen und sicher zu speichern.
Beweisstück A: Jeder in meiner Familie.
Wenn ich die Möglichkeit hätte zu sagen „Hallo Mama, steck dir dieses Stück Plastik an den Schlüsselbund und wenn du dich irgendwo einlogst halt das an dein Handy“ würde Sie das eher machen als sich 392 verschiedene Passwörter in einem Passwortmanager zu erstellen.
Mein Punkt ist: Du stellst es hier gerade als völlig unrealistisch da dass Leute USB Dongle als 2FA nutzen würden, dabei wurden eben diese als sichere aber auch einfache Methode des Kontoschutzes erfunden.
Zu deinem Beispiel Perso + Pin zusammen im Geldbeutel: Ja, genau diese Leute würden sowas annehmen! Das sind Leute die sich keinen Pin merken wollen/könen! Aber einen Schlüsselanhänger der Sie in Ihr Konto lässt würden die mit Kusshand nehmen!
Ich will hier auch nicht streiten. Ich verstehe nur nicht warum die Idee eines Hardwaredongles dich so abschreckt..
Die Idee des Hardwaredongels schreckt mich überhaupt nicht ab.
Fürs Online-Banking sind Smartphones mit TAN-Apps ja genau so etwas. Wer sich über den Browser ins Online-Banking einloggt, muss alle 30 Tage oder so (habe die gesetzliche Regel gerade nicht im Kopf) den Log-in mit einer TAN bestätigen. Das Handy, per Device-Binding, fungiert hier als 2. Faktor, als „Hardware“, ohne die ich nicht ins Konto komme.
Im Mobile Banking wird es tricky, weil die Geräte nicht getrennt sind. Faktor 1 sind die Login-Daten ins Konto, Faktor 2 ist der Besitz des Gerätes. Ein YubiKey wäre ein 3. Faktor, der den Zugriff natürlich noch weiter absichern würde. Und wie ich in meiner Eingansantwort in diesem Thread schrieb: Banken könnten YubiKeys zusätzlich anbieten. Ein Hardwareschlüssel kann aber ein TAN-Verfahren wie z.B. VISA 3D Secure nicht ersetzen, da er den Rückkanal für die Informationen zur Transaktion, die freigegeben werden soll, nicht bereitstellt. Ein denkbares Szenario wäre eine TAN-App, in die man sich dann nicht per Touch-ID sondern per YubiKey oder Personalausweis einloggt, ähnlich dazu, wie man den Perso nutzen kann, sich in sein Steuerkonto einzuloggen.
Ein Knackpunkt bleibt aber: Wie stellt man die initiale Verbindung des Hardwareschlüssels mit dem Account her? Eine Person muss identifiziert werden, und der Schlüssel dann mit dieser Person verknüpft werden. Das kann z.B. auf Basis des elektronischen Personalausweises erfolgen. Bei der Kontoeröffnung per Video-Ident ist es aber in der Regel die SIM-Karte. Natürlich spielen hier ökonomische Interessen der Anbieter eine Rolle. Und auch bei einer Kontoeröffnung per eID wird dann meiner Erfahrung nach z.B. bei einem Wechsel des Smartphones nicht erneut eID genutzt.
Vor wenigen Tagen hat Finanz-Szene berichtet, dass in Deutschland täglich über 40.000 Konten eröffnet werden. Zur eID-Akzeptanz konnte ich keine guten Zahlen finden, für 2024 kursiert eine Zahl, dass 22 % der Befragten die eID-Funktion bereits genutzt haben. Kein Finanzdienstleister wird ausschließlich auf eID setzen. Laut FAQs bietet Tomorrow drei Identifizierungsverfahren zur Kontoeröffnung an: Video, Post und eID. Ob eID z.B. im Fall eines Handyverlusts einen Option ist, kann ich nicht sagen.
Meine Argumente in diesem Thread, in dem es um die konkrete Sicherheit des Tomorrow-Kontos geht, noch einmal zusammengefasst:
Hier vielleicht noch eine technische Randnotiz: PSD2 regelt ja nicht nur SCA für Transaktionen und den Kontozugriff, sondern auch den Zugriff durch Drittanbieter-Apps: die Multibanking-Apps. Für diese Apps gelten die gleichen Regeln wie für die Apps der Banken selbst. Anbieter wie Moneymoney oder Starfinanz haben aber hier den Nachteil, dass sie zwangsläufig separate Apps sind. Die können schlechterdings die TAN-Funktion nicht in die App integrieren. Wer also z.B. Moneymoney auf dem Laptop nutzt, kann dort eine Überweisung beauftragen und muss dann die Tomorrow-App nutzen, um diese freizugeben.
Zum Abschluss: ganz utilitaristisch, wie schützt eine Bank seine Nutzer:innen größtmöglich gegen Betrug? Meiner Ansicht nach ist in der überwiegenden Anzahl der Fälle nicht die technische Sicherung das Problem, sondern Social Engineering und Phishing. Wäre es nicht zielführender, hier anzusetzen? Die Betrugsmasche per Wallet ist ein gutes Beispiel: Apple Pay gilt als vergleichsweise sicher. Hilft aber nichts, wenn Betrüger Kontoinhaber dazu bringen, aus „eigenen Stücken“ per TAN der Installation einer digitalen Karte im Wallet auf dem fremden Handy der Betrüger zuzustimmen. Ob man so eine Autorisierung per Hardware-Key oder Face-ID freigibt, macht dann auch keinen Unterschied mehr.
Nur zur Sicherheit, damit das nicht wieder falsch ausgelegt wird: Das ist keine Argumentation gegen sichere SCA. Die Frage ist ganz pragmatisch: Wie kann man die größtmögliche Anzahl an Kund:innen vor Betrug bestmöglich schützen? Und da ist Bequemlichkeit natürlich ein Faktor, und den darf man bei Sicherheitskonzepten nicht ignorieren. Ist ja beim Backup von Daten nicht anders: Jeder weiß theoretisch, wie wichtig Backups sind. Funktioniert im großen Stil aber nur, wenn’s im Hintergrund automatisch passiert.
Erstmal, danke für die ausführliche Antwort.
Ich glaube wir haben ein bisschen aneinander vorbei geredet.
Dass ein YubiKey o.ä. keine APP-TAN o.ä. ersetzen kann verstehe ich, will ich auch gar nicht.
Hardwareschlüsel mit Account verbinden: Darüber habe ich noch gar nicht nachgedacht. Das stellt leider wirklich eine Hürde da.
Im Grunde hast du meinen Standpunkt mit 3FA ganz gut zusammengefasst. Das ist es was ich persönlich begrüßen würde. Ich finde nämlich die 2FA bestehend aus Besitz (Handy) und Wissen (PIN) bzw FaceID/Fingerabdruck (Besitz schätze ich?) ein wenig unausreichend. Zu einfach lässt sich ein Fingerabdruck fälschen. Wahrscheinlich aber auch etwas Paranoid darüber nachzudenken.
In vielen meiner Konten läuft es so: Das Gerät muss bekannt sein, das Passwort muss bekannt sein und dann noch der YubiKey.
Also nochmal zusammengefasst: YubiKey als dritte Authentifizierung im Loginprozess der App, NICHT als TAN alternative. 
Die OS-eigenen biometrischen Verfahren sind aus regulatorischer Sicht hier gleichzusetzen mit einem Passwort. Es ist also „Wissen“.
Face-/Touch-ID nutzen zwar Biometrie, aber aus OS-Sicht ersetzten Sie die APIs für Benutzername/Kennwort. Die Banking-App bekommt ja nicht biometrische Infos des Nutzers zur eigenen Überprüfung weitergeleitet sondern lediglich das OK, dass der Nutzer authentifiziert wurde.
Gerätebindung ist „Besitz“ und Log-in mit Benutzername + Passwort oder alternativ z.B. Face-ID sind dann „Wissen“.
Fingerabdrücke lassen sich fälschen. Hardwarekeys lassen sich klauen … irgendwas ist immer. Man könnte argumentieren, dass private Schlüssel, die in einem per PIN gesicherten Smartphone verschlüsselt gespeichert sind, sicherer sind als Hardware-Keys, die jedem zur Verfügung stehen, dem sie in die Hände fallen. Gerade Smartphones und Schlüsselbund mit Hausschlüsseln werden ja auch gerne mal in räumlicher Nähe zueinander spazieren geführt. Handtasche geklaut, Konto leer. Man kann den Yubikey natürlich auch noch mal mit einer PIN schützen. Dann sind wir bei 4FA.
Das nur kannst du streichen, bis auf ein paar Änderungen wo ich den Datenschutz kritisiere, ist die App richtig gut. Aber was du beschreibst ist bei der ING Diba auch mit einer Webseite möglich, also entweder mit Webseite und Handy oder nur mit dem Handy. Hier wird neben einem Passwort ein PIN verwendet die ich nicht mit dem Fingerabdruck ersetze, diese PIN ist beim einloggen wie beim Bestätigen einzugeben.
Ich meine aber zuvor war es bei tomorrow so, das man mit mail Passwort login keine weitere Bestätigung mit PIN oder sonst was geben musste. Erst beim Wechsel auf dem Fingerprint wurde dieser fällig.
Mittlerweile wird es wahrscheinlich echt einfacher sein die Betroffenen zu überzeugen irgendwelche Absurden Zählungen zu leisten hanstatt die Konten zu hacken.
Der Haken bei der Sache ist, das von dir genannte zwei Kanal TAN Verfahren wird nirgends in PSD2 für irgendetwas vorgeschrieben, SCA bedeutet starke Kundenauthentifizierung wo mit 2 von 3 Merkmalen festgestellt werden soll das es sich um diesen Kunden handelt und das dem Verfahren bei der Bestätigung Empfänger, Referenz und Betrag mitgeteilt wird. Im Zuge der PSD3 wird zusätzlich noch eine Überprüfung der Bank ob Name zu IBAN passt gefordert. Wie dieses MFA Verfahren ansonsten aussieht ist dem Gesetzgeber völlig egal, die Bank muss es nur ordentlich als gültiges SCA Verfahren dokumentieren um im Betrugsfall aus der Haftung raus zu sein, damit der Bank kein Schaden entsteht und der Kunde auf den Kosten sitzen bleibt. Da es hier nur um ein Haftungsfrage geht, frage ich, warum wird die Bank nicht immer in Haftung genommen, denn dann würden sie das sicherste Verfahren wählen und nicht das Kinderfreundlichste. Problem gelöst, aber Nein man möchte extra ein ZAG verabschieden in dem es nur um Haftungsfragen zwischen Dienstleister und Anbieter Empfänger und Zahler geht. Bravo!
Hier geht es nicht um die Sicherheit des Kunden sondern nur um eine Haftungsfrage.
Diese 3 Merkmale gibt es, wovon 2 in exakt vier Fällen gefordert werden
Wissen, also Eingaben die nur der Kunde wissen kann, wie PIN, Passwörter oder persönliche Sicherheitsfragen.
Besitz, zuvor registrierte Geräte, wie Smartphone TAN Generator, Alle TAN Verfahren außer iTAN
Inhärenz, biometrische Daten welche im TPM als Schlüssel hinterlegt sind
die vier Fälle schreiben eine SCA zur Zahlungsauslösung vor:
Einloggen in den Online Account
Überweisung zu einem anderem Konto
Online Einkäufe
Und sobald ein Kanal von einem Dienstleister in Anspruch genommen wird zum Konto
Wenn tomorrow eine Smartphone Verknüpfung anhand von einer SMS an die Mobilfunknummer vornehmen kann, dann wäre ein FIDO2 Verfahren mit dem TPM chip, einer Smartcard oder einem Hardware token keine zusätzliche Option sondern die von vielen gewünschten alternative, dann bräuchte es auch keine Angabe einer Mobilfunknummer um das Merkmal des Besitzes zu erfüllen, alleine der login in die App plus die Verwendung eines Tokens erfüllen die SCA Anforderungen. Aber warum sicher wenn es auch anders geht und dennoch ausreicht. Auch die Absicherung über das TPM selber als Besitz wäre durch die App möglich völlig ohne Mobilfunknummer, oder Anschaffung eines tokens.
Ich erinnere auch gerne an eine Minimierung der Datenerhebung.
Ich habe mal versucht Banken zu finden die FIDO2 anbieten und hab dazu nur unzählige Bestätigung eines geeigneten Verfahrens für SCA gefunden und eine Bank, die Berliner Sparkasse, welche das moderne und sichere Verfahren anbieten.
Das „nur“ bezieht sich darauf, dass Auftrag und TAN-Freigabe bei Tomorrow bei Überweisungen auf dem gleichen Gerät passieren. Tomorrow braucht hier keinen Modus zur Auftragsfreigabe im Onlinebanking. Für Zahlungsauslösedienste (Multibanking-Apps, über die man auch Übwerisungen ausführen kann), wird dann wieder die App genutzt. Das macht das Nutzererlebnis der SCA eben teils besonders bei Tomorrow, Karte und Überweisung unterschieden sich stärker in der Regel.
Die getrennten Kommunikationswege für TAN und Überweisungsauftrag sind implizit durch die Anforderung der Unabhängigkeit der Faktoren gegeben. Das bedeutet, dass die Überweisungsdaten (Auftrag) und die TAN über unterschiedliche Kommunikationskanäle übertragen werden müssen, um die Unabhängigkeit sicherzustellen und die Sicherheit zu erhöhen. Diese Anforderung ist in Art. 97 (2) der PSD2 sowie in der Delegierten-Verordnung (EU) 2018/389, die technische Regulierungsstandards definiert, festgelegt. Dort heißt es im Wortlaut:
Wenn eines der Elemente der starken Kundenauthentifizierung oder der Authentifizierungscode selbst von einem Mehrzweckgerät verwendet wird, sehen die Zahlungsdienstleister Sicherheitsmaßnahmen zur Minderung des Risikos vor, das aus der missbräuchlichen Verwendung eines solchen Mehrzweckgeräts erwachsen würde. [Die Risikominderungsmaßnahmen beinhalten] alle folgenden Komponenten: Nutzung getrennter sicherer Ausführungsumgebungen durch die im Mehrzweckgerät installierte Software …
Das Landgericht (LG) Heilbronn hat am 16. Mai 2023 (Az. 6 O 10/23) in einem Urteil angemerkt, dass das App-TAN-Verfahren bei der starken Kundenauthentifizierung (SCA) nicht den Anforderungen genügt. Das Verfahren, bei dem TAN und Zugang zum Online-Banking zwar durch zwei verschiedene Apps, aber auf demselben Smartphone erfolgen, nutzt keine getrennten Kommunikationswege. Daher fehlt nach Ansicht des Gerichts eine Authentifizierung aus mindestens zwei voneinander unabhängigen Elementen, wie es § 1 Nr. 24 ZAG und Art. 4(30) PSD2 verlangen.
Deutscher Wortlaut Art. 4(30) PSD2
„starke Kundenauthentifizierung“ eine Authentifizierung unter Heranziehung von mindestens zwei Elementen der Kategorien Wissen (etwas, das nur der Nutzer weiß), Besitz (etwas, das nur der Nutzer besitzt) oder Inhärenz (etwas, das der Nutzer ist), die insofern voneinander unabhängig sind, als die Nichterfüllung eines Kriteriums die Zuverlässigkeit der anderen nicht in Frage stellt, und die so konzipiert ist, dass die Vertraulichkeit der Authentifizierungsdaten geschützt ist;
Klar, das läuft so:
du registrierst deine Karte für den Dienst, bekommst dann einen Brief mit einem Code zugesendet, mit dem der Token generiert wird, denn du auf dem USB-Key speicherst
Haken:
Eingabe der Zahlungsdaten (Onlineshop) und Freigabe (Verbindung zum Bank-Server) erfolgt über zwei getrennte Kanäle, und der Prozess kommt der Anforderung nach, dich über die genauen Transaktionsdaten zu Informieren. Würde man dieses Prinzip aufs Onlinebanking übertragen, ginge das genauso. Der Token alleine kann das TAN-Verfahren nicht ersetzten, er ist „nur“ das Passwort für die Applikation, die die Freigabe abwickelt.
Wie sicher ist es nun zum Beispiel, wenn ein Angreifer die Kommunikation zwischen Bank und dem Popup-Fenster zur Bestätigung der Zahlung im Browser manipulieren kann? Durch schadhaften Code wird dir angezeigt, dass du 129 Euro für Schuhe an Händler XY freigibst. Im Hintergrund aber gibst du 12900 Euro frei. (Das ist ein konkretes Beispiel, wie Angreifer beide Kommunikationskanäle kompromittiert haben. Im Hintergrund haben sie die Auftragsübermittlung kompromittiert, statt 129 wurden 12900 zur Buchung eingereicht. Und du kannst diese Manipulation nicht entdecken, da dir im Freigabeprozess ebenfalls die „falschen“ 129 Euro angezeigt werden. So ein Szenario hat Vincent Haupert damals beim CCC demonstriert, nur mit anderen Medien.)
Ich habe das Verfahren nicht getestet. Ich beschreibe das hier auf der Basis der Infos der Berliner Sparkasse, die das auf der eigenen Website so erläutern. Laut Website wird das nur für Desktop-Computer angeboten. Wie das fürs Shoppen mit dem Handy funktioniert, wird nicht erwähnt. Ich vermute, es geht schlicht nicht. Man bräuchte auf dem Smartphone dann eine App, die die PIN des Key abfragt und die Freigabe an den Browser fürs Onlineshopping sendet. Und es bleibt das Grundproblem: Das Einrichten des alternativen TAN-Verfahrens ist davon abhängig, ein vorheriges TAN-Verfahren aktiviert zu haben. Ich nehme deswegen an, dass es ähnlich zum SIM-Swapping ein paar Angriffsvektoren gäbe, das Freigabeverfahren auszuhebeln: indem man vorher ansetzt. Coole Sache also, aber in dieser Form noch nicht wirklich konsequent umgesetzt.
Da gäbe OpenKeyChain, die Yubikey App und der Passwort Manager, welche mit NFC/USB Token was anfangen können.
Bei meinem PW Manager konnte ich zum Beispiel den Yubikey als Vorraussetzung setzen mein Masterpasswort zu entschlüsseln das für alle Passwörter benötigt wird, denn bis alles auf Passkey Fido2 umgestellt ist, wird es noch Jahre dauern und Passkey setze ich nur ein solange ich mein Yubikey verwenden kann, der die geheimen Schlüssel trägt, die haben nichts in der cloud beim Anbieter verloren.
In diesem Szenario hat der Angreifer den Verkäufer und /oder die Bank kompromittiert, bzw eine MITM Angriff erfolgreich ausgeführt und manipuliert den Datenstrom. Da kannst du gar nichts machen und ich hoffe das dies im Nachhinein durch Aufzeichnungen nachgewiesen werden kann und der Käufer dann auch keine Haftung trägt.
Ich würde die FIDO2 mit Smartcard oder Yubikey aber gerne anders einsetzen und zwar für die Anmeldung in der App der Bank. Denn ich würde gerne weiterhin die Bestätigung am Smartphone für Online Einkäufe geben, hierzu muss ich die Banking App ja dann mit dem Key sowieso öffnen.
Ich finde den Zugang zur Bank, der ist immer noch zu lasch abgesichert einfach nur Mail/PW oder Fingerprint und man ist drin.
Weitere Sache die mir bei einigen Banking Apps ins Auge sticht, insbesonders beim Datenschutz relevant, da es ja dann auch den Google Play Service als Vorraussetzung mitbringt. Das wäre für mich ein Grund tomorrow zu verlassen. Noch sind sie brav und haben eine besondere Prüfung der Umgebung nicht implementiert. Und sollten sie es irgendwan (müssen) , hoffe ich das sie eine sichern über Hardware TPM Lösung zum zertifizieren des OS verwenden und nicht den Google Play Service, welcher easy verarscht werden kann.