mTan vs (z.B.) chipTan

Ich persönlich bin schockiert, dass hier kaum anstatt keine Fälle bekannt. Darf man dazu mehr erfahren?

Vielleicht solltest du dein Schockiertheitslevel mal evaluieren und anpassen

Es gibt kaum bis gar keine Sicherheitsverfahren, bei denen es nicht Fälle gibt, bei denen Kunden behaupten man wäre gehackt worden und wäre das nicht selbst gewesen. Oft liegt da menschliches Versagen vor, manchmal war es wirklich ein Hacker. Wenn es ein Hacker war, stellt sich da natürlich auch immer die Frage, ob die Person vor dem Bildschirm das eigentlich fahrlässig mitverursacht hat.

Die Frage lautet am Ende doch nur: wie geht die Bank damit um. Wenn du 0,0(000)1% Missbrauch pro Jahr hast und die Bank erstattet die Beträge, ist doch alles fein. Du wirst aber kein Verfahren finden, dass dir einen 100%igen Schutz gewährleistet. Das ist doch das, was die Leute da draußen lernen müssen. Wir müssen nur von den Sachen wegkommen, die super unsicher sind.

Nehmen wir das mTAN-Verfahren: Das auszuhebeln lohnt sich nicht wenn man kaum Geld überweisen kann. NFCTan scheitert daran, dass nicht jeder ein NFC-Handy hat oder würde eine Weboferfläche für den Desktop konterkarieren.

LG,
Patrick

Social engineering und Phishing würde ich jetzt großzügig ebenfalls als Hack bezeichnen. Auch wenn hier nicht eine technische Infrastruktur sondern ein Anwender „gehacked“ wurde.

Mir ist tatsächlich kein Fall bekannt, wo SMS-TAN selbst technisch kompromittiert wurde. Mir fallen spontan zwei übliche Szenarien ein: Entweder wird die Sicherheitsabfrage zum Ändern der im Kundenprofil hinterlegten Telefonnummer überwunden und der Angreifer konnte hier seine eigene Nummer einschmuggeln. Oder SIM-Swapping, wobei die Nummer bleibt, der Angreifer aber SMS auf eine neue Ersatzkarte mit der gleichen Nummer umleiten kann. N26 litt zum Beispiel unter Angriffen nach dem ersten Muster, SIM-Swapping ist eigentlich ein alter Hut, betraf in der Vergangenheit auch klassische Filialbanken und wurde zumindest durch mal mehr oder weniger gewissenhafte Maßnahmen von Seiten der Mobilfunkbetreiber erschwert.

Fakt ist, dass SMS-TAN, anders als App-TAN-Verfahren, nicht weiter durch Dinge wie Gerätebindung „gehärtet“ werden kann. Es gilt nicht als unsicher, aber doch eine Spur weniger sicher als App-TAN, und deutlich unsicherer als Modelle mit externen TAN-Generatoren. Einige Banken verabschieden sich aktuell deswegen schon von SMS-TAN, bieten aber neben den nicht immer geliebten App-TAN dann in der Regel ein weiteres Verfahren an.

Die Sicherheit von SMS-TAN macht mir persönlich jetzt keine Sorgen. Denn das TAN-Verfahren alleine zu kompromittieren reicht ja nicht. Man braucht immer auch Zugang zum Konto, und hier ist, wie du richtig schreibst, der User das schwächste Glied, die größte Gefahr ist mit großem Abstand Phising. Dennoch fände ich es begrüßenswert, wenn sich hier bei der Solarisbank was tun würde, und man für Leute mit Wunsch nach höherem Sicherheitslevel eine Option böte. Man muss SMS-TAN ja nicht unbedingt ausmisten. Ich würde mir wünschen, man würde bei der TAN-Sicherheit auf einem branchenüblichen Durchschnittslevel landen. Nicht auf dem niedrigsten.

Moin @Stefan. Um hier mal Zweifel an der Sicherheit auszuräumen, kann ich das von @gummipunkt und @Frnk gesagte bestätigen. Lass mich folgendes hinzufügen: Wenn sich Kundinnen bei uns melden, dass ein Missbrauch stattgefunden hat, sind das meist Fälle von Kreditkartenmissbrauch. Infolgedessen prüfen wir dann die Transaktionen und geben die Fälle an unseren Zahlungsabwickler weiter, der den Disput mit den entsprechenden Händlerinnen aufnehmen. Dort wird selbstverständlich auch geprüft, ob das Visa 3D secure Verfahren erfolgreich durchlaufen ist. In den meisten Fällen ist dort auch eine m-TAN Fällig. Wir bekommen dann eine Nachricht vom Zahlungsabwickler mit der Rückmeldung: Chargeback akzeptiert oder abgelehnt. Wenn der Chargeback akzeptiert wurde, dann ist davon auszugehen, dass auch das m-Tan-Verfahren erfolgreich war und somit hier, wie Frnk beschrieben hat, auch durch den Missbrauchenden kompromittiert wurde. Gleichzeitig gibt es aber auch Fälle, in denen das Chargeback-Verfahren durch die Kundinnen missbraucht wird. Das fliegt dann natürlich auf. Im ersten Moment müssen wir aber natürlich nach dem Motto „innocent until proven guilty“ gegenüber den Kundinnen ausgehen.

Ich möchte das Thema nochmal anstoßen. Als am 23.11.20 eine enorme Störung des Vodafone-Mobilfunknetzes auftrat, konnte ich mit dem Tomorrow-Konto keine Überweisungen tätigen und auch Online nichts bezahlen, da beides den Erhalt von SMS voraussetzt. Von mehreren Tomorrow-Kunden im Freundeskreis habe ich vernommen, dass diese an dem Tag das Konto aufgrund nicht wie gewünscht nutzen konnten. SMS kamen teilweise noch ein bis zwei Tage später nicht an, sodass man mehrere Tage machtlos war.
Daher bitte ich dringend darum, ein zusätzliches Tan-Verfahren zu priorisieren. Gar nicht unbedingt um das aktuelle abzulösen, sondern viel mehr, um Kunden die Wahl zu geben und eine Redundanz zu schaffen. Wenn man in diesem Zusammenhang gleich an der Einführung von potentiell sichereren und gleichzeitig moderneren Verfahren (z.B. NFC-Tan) arbeitet, hat man zwei Fliegen mit einer Klappe geschlagen.

Nach längerem Schweigen möchte ich nochmal auf die Relevanz dieses Themas hinweisen.
heise schreibt z.B., dass „68 Millionen US-Dollar im Jahr 2021 durch SIM-Swapping ergaunert“ wurden. Die Zahlen der Betroffenheit seien zwar in Deutschland wesentlich geringer, aber das BKA begründet das folgendermaßen: „Eine mögliche Erklärung hierfür ist, dass dieser Modus Operandi in Deutschland durch die bankenseitige Verlagerung der Zwei-Faktor-Authentifizierung von SMS-basierten Token hin zur App-basierten Verifizierung nur noch bedingt für Betrugshandlungen im Rahmen des Online-Bankings genutzt werden kann.“. Eine eindeutige Aussage über die Anfälligkeit von SMS-basierter Authentifizierung.
Ein anderer Artikel beschreibt: „Sparkassen und Volksbanken wollen SMS-TAN beerdigen“
Von den Sparkassen werden „Kosten und Sicherheitsbedenken als Gründe“ angegeben. Die Volks- und Raiffeisenbanken sagen: „Sicherheitsbedenken, wie dass SMS theoretisch abgefangen oder auch auf gestohlenen Handys zu leicht abgegriffen werden könnten, hätten den Ausschlag für das Ende gegeben.“. Beide Gruppen werden das Verfahren wohl noch dieses jahr abschaffen.
Der renommierte IT-Sicherheitsexperte Mike Kuketz kommt in seinem Beitrag „Android & iOS: Sicheres Mobile-Banking am Smartphone“ zu folgendem Fazit: „Mobile-Banking geht auch sicher und datenschutzfreundlich, wenn man eine entsprechende Banking-App einsetzt, das chipTAN-Verfahren verwendet und einige Tipps/Rahmenbedingungen beachtet.“. Im älteren Beitrag „Online-Banking: Aber sicher – Das chipTAN-Verfahren“ wird er im Bezug auf smsTAN noch deutlicher: „Gerade im Hinblick auf Trojaner und andere schadhafte Programme / Apps ist die Nutzung dieses Verfahrens mit einem beträchtlichen Risiko verbunden.“ und „Zusammengefasst: Eure Bank sollte das (optische) chipTAN-Verfahren zwingend unterstützen.“.
Zu guter Letzt eine Einschätzung des Bundesamt für Sicherheit in der Informationstechnik (BSI) im Beitrag „Meine Bank schafft die smsTAN ab – Was nun?“: „Zunächst ist die geplante Abschaffung des smsTAN-Verfahrens kein Grund zur Beunruhigung. Ganz im Gegenteil: Viele Banken rücken von der smsTAN ab, weil Alternativen sicherer sind.“ & „Zwar ist die smsTAN nutzerfreundlich und praktisch in der Anwendung, jedoch können SMS mit entsprechendem technischen Vorwissen abgefangen werden.“ & „Jedoch bleibt der Einsatz eines externen TAN-Generator am sichersten, da dieser vom Internet getrennt ist und ausschließlich für das Onlinebanking benutzt wird.“.

Ich bitte daher dringend darum, die Möglichkeit eines weiteren, sichereren TAN-Verfahrens (bestenfalls chipTAN oder ähnlich) zu evaluieren und dessen Einführung bei der solarisbank zu fordern.

Ich rechne fest damit, dass die Solarisbank auch aus Kostengründen in den nächsten Jahren ein alternatives TAN-Verfahren einführen wird. Chip-TAN gebe ich dabei eher wenig Chancen, im Trend liegen aktuell Verfahren auf Basis von digitalen Signaturen, wie zum Beispiel von Seal One.

Die wälzen die Kosten letztendlich auf ihre Kunden ab. Da würde ich mir weniger Hoffnung machen.

Die Implementierung von App-TAN für „Visa Secure“ ist für mich ein Hinweis. Hier ist die Solarisbank von SMS-TAN zu App-TAN gewechselt.

Hey @Turbotomate vielen Dank noch mal für den Nudge. WIr nehmen das Thema ernst und haben auch bereits Pläne für einen Umbau des Systems. As always: ein ETA gebe ich hier nicht preis, um keine unrealistische Erwartungshaltung zu schüren. Aber: Wir haben es auf dem Schirm.

Das mit der mTan is 101 % super bequem. Ich brauche keine ChipTan oder eine zweite App usw. Die App der Postbank ist echt altmodisch und kompliziert. Meine Meinung nach, die Tomorrow App ist die beste Bankingapp Deutschlands.

Manche Leute verzichten aber gern auf etwas Bequemlichkeit für einen Zugewinn an Sicherheit. Wenn deine mTANs übernommen und damit dein Konto missbraucht wurde, hast du soviel Stress, dass es den Komfortgewinn niemals wieder wett macht.
Optimal und modern wäre tatsächlich, die Karte an den NFC-Chip des Smartphones als 2-Faktor-Authentifizierung halten zu können.

Da fände ich es sinnvoll, wenn man einstellen könnte, wann welche Sicherheitsstufe greift. Beispielsweise würde ich es so handhaben wollen, dass bei bestimmten Kontakten das Device + Biometric als Schlüssel reicht, und ich für alle anderen (und bisher unbekannten) die Karte brauche.

Vielleicht für dich, für mich wäre das überhaupt keine Lösung, danach muss ich meine VISA Karte immer dabei haben und das will ich einfach nicht. Je weniger desto besser. Less is more. Das was du willst ist ein paar Schritte in die Richtung „Vergangenheit“.

Nur mal eine ganz ketzerische Frage: Hast du an deiner Hasutür außen auch eine Klinke und kein Schloss, damit du nicht immer die Tür aufsperren und keinen Schlüssel mitnehmen musst, weil „Less is more“?
Der Angriffsvektor von elekronischen/digitalen Angriffen ist nicht so einfach begreifbar wie der von physischen Angriffen in der „analogen Welt“, aber dessen Auswirkungen können mindestens genauso schlimm sein.

Ich fände es super, wenn die unsichere SMS-TAN/mTAN komplett abgeschafft wird und man zwei Alternativen gibt. Eine in Form von einer App mit Gerätebindung, z.B. so wie du es vorgeschlagen hast, und eine noch sicherere mit einem externen Faktor (TAN-Generator oder moderner eben "NFC-TAN). Jeder könnte dann selbst entscheiden, was er nutzt. Die Unterscheidung nach bekannten und unbekannten Empfängern und Auswahl der Sicherheitsstufe anhanddessen finde ich einen sehr praktischen Gedanken. Könnte ich mir gut vorstellen!

Genau Face ID bequemer gehts nicht! Keine zweite App keine VISA Karte. Wenn man sorgfältig ist, gehts auch nur mit SMS.

Gut, dass du den letzten Satz da noch hinzugefügt hast wie genau man sein Girokonto nutzt, ist nämlich völlig individuell. Gibt ausreichend Leute, die alles an genau einem Fleck haben wollen.

Ich gehöre da nicht dazu, ganz im Gegenteil. Ich bin einer der „Ein Pocket pro Thema“-Verfechter aber nicht jeder Lebensentwurf ist gleich.

Was die Anlage von großen Geldbeträgen angeht, hast du natürlich hinsichtlich der Strafzinsen und auch ansonsten objektiv recht. Wirtschaftlich ist es nicht, wenn große Geldbeträge auf dem Girokonto herum liegen.

Wie den neuen Beta-Änderungen auf Android zu entnehmen ist, wird das SMS-Tan- (mTAN-) Verfahren jetzt nach und nach abgelöst:

Die neue Variante läuft wohl über das Device Signing, also ohne irgendeine manuelle Bestätigung.
Macht auf mich nicht den sichersten Eindruck, da ja quasi kein zweiter Faktor vorhanden ist. Dafür natürlich sehr bequem.

Der zweite Faktor ist schon vorhanden, er läuft nur im Hintergrund ab. Sonst wäre es ja nicht gesetzeskonform. Fun fact: die ersten, die das mit Erlaubnis der Bafin marktreif hatten, waren Yomo und Finanz-Informatik. Die DKB macht jetzt was Ähnliches.

Erster Faktor ist Log-in ins Konto, zweiter Faktor der Nachweis über Besitz des Gerätes, welches die Schlüsselsignatur liefert.

Haupert hält digitale Signaturen bei App-TANs - was anderes ist es ja eigentlich nicht - für eine sinnvolle Methode.