Wenn Face-ID bereits beim Log-In (in die App oder separate TAN-App) als ein Faktor dient, braucht es einen weiteren für TAN-Vorgänge. Das kann durchs Device-Binding erzielt werden. Der neue Flow bei der Photo-TAN-App der Comdirect nutzt das z.B., oder das, was die DKB macht.
Der Artikel ist von 2018, ich glaube nicht, dass N26 und Revolut beide gegen die Regularien verstoßen. Ich würde fast wetten, dass es auf nur TouchID/FaceID hinauslaufen wird.
Du kannst gerne mal googeln, du wirst ein paar Softwareanbieter finden, die PSD2-konforme Lösungen mit Face-ID anbieten. Ich kenne nur Fälle, wo das jeweils nur ein Faktor ist.
N26 nutz meines Wissens seit Bestehen Device Binding. Ich bin da lange nicht mehr Kunde, aber es war mal so, dass das Gerät mit der Nummer auf der physischen Karte und der Telefonnummer (SIM als Besitzfaktor) ans Konto gebunden wird. Wenn man dann eine Überweisung übers Web-Interface getätigt hat, diente das Handy als App-TAN-Device zur Bestätigung. Überweisungen gibt man doch nach wie vor durch eine Bestätigung über die App frei, oder?
Revolut nutzt ebenfalls die SIM als Besitzfaktor. Wenn man die App das erste Mal installiert, muss man einen Security Code, der via SMS gesendet wird, eingeben. Zusätzlich zu einem App-Passcode. Erst dann kann man Face-ID als Passcode-Ersatz nutzen. Neben dieser “verifizierten” Telefonnummer wird noch bei Bedarf eine verifizierte Mailadresse genutzt. Das funktioniert so: Es wird eine Mail mit Link an ein Postfach geschickt. Der Nutzer muss den Link auf dem Gerät öffnen, auf dem eine bereits verifizierte Version der App läuft. Damit wird bestätigt, dass der, der Zugriff auf die Mail hat, ebenfalls Zugriff auf die App hat (SIM + Passcode). In den Sicherheitseinstellungen der App kann man bei Revolut zusätzlich angeben, ob man dem Gerät vertrauen möchte. Dann verzichtet die App auf die per SMS gesendeten Security Codes. Auch hier also Device Binding und SIM-Karte als Besitzfaktor. Face-ID agiert nur als Passcode-Substitut.
Genau. Ist bei Tomorrow ja auch so. Leider sehr lästig.
Korrekt.
twentytwenty.
Weiß jemand, ob Time-based One-Time Passwords (TOTP), die man mit einer App wie Google Authenticator (gibts aber auch als Open Source und/oder für den Desktop) als 2FA-Verfahren beim Banking nach PSD2 zugelassen sind?
Ich nutze das für meine 2FA bei Online-Konten zusätzlich zum Passwort und finde das eine sichere und recht praktische Methode. Ich hab das aber noch bei keiner Bank gesehen und mich gefragt warum.
Ich wüsste nicht, was da dagegen spräche. Als Ersatz für ein normales Passwort beim Log-In halt. Als TAN-Verfahren reichts nicht. Uphold ist ein Finanzdienstleister, der es für Log-ins nutzt.
Warum sollte denn FaceID nicht als Besitz UND Biometriefaktor durchgehen? Ich hab jetzt nochmal gegoogelt zu PSD2 und da ist doch klar gesagt:
Besitz: kann durch eine Hardwaresignatur gleistet werden (tut das Secure Element bei Apple)
Biometrie: Macht TouchID / FaceID
Da sind doch klar zwei Faktoren erfüllt? Da ist die SIM doch ein wesentlich unsicherer Faktor.
Ich bin gespannt, welche Variante bei Tomorrow kommt 
Ich kann dir da nicht weiterhelfen. Meine Ansicht dazu habe ich erläutert.
Face ID ersetzt immer nur das Passwort, mehr nicht.
Darüber hinaus kann die Secure Enclave individuelle Keys speichern, das hat aber mit Face ID selbst nichts zu tun. Das wäre dann die Baustelle Hardware Binding. Sind dann aber zwei getrennte Faktoren, die eben im Fall von Apple am gleichen Hardwarelement hängen. Das macht ja noch ganz andere Sachen. Applets für Apple Pay speichern, zum Beispiel.
Ich glaube, die Lösung, die du da im Sinn hast, gibts da draußen nicht. Das, was du als ein Element (N26) wahrnimmst, sind in Wahrheit zwei.
Und solche Lösungen gibts ja ein paar, DKB, oder eben auch Comdirect: Die App heißt zwar noch Photo-TAN, aber da wird kein Code mehr abfotografiert. Man gibt Überweisungen einfach so frei. Die App wird mit Face ID entsperrt (Faktor 1) und durchs Hardware Binding der App (Faktor 2) ist die Freigabe dann mit einem Klick erfolgt.
Wenn dich das so dringend interessiert, dann empfehle ich dir, dich auf Twitter an Vincent Haupert zu wenden, oder vielleicht noch @DKB_RegTech.
Kenne das System von Der Commerzbank und der Sparkasse. Beide setzten auf separate Geräte, also Tan-Generatoren. Bei der Sparkasse muss die Karte rein, bevor eine Tan erzeugt wird. Bei der Commerzbank wird der Code abfotografiert und erzeugt dann eine Tan.
Ist unpraktisch, aber verhältnismäßig sicher, da ich immer ein weiteres Gerät benötige. So kann mich theoretisch jemand überfallen und erpressen, dass ich ihm Geld überweise.
Also ich bin gerade über folgenden Artikel gestolpert und würde ihn gerne da hier schon eine sehr ausgeprägte Debatte statt findet mal eure Meinung dazu haben (er wurde weiter oben bereits erwähnt allerdings mit nur 3 klicks sehr wenig)
Das erste Problem, zumindest soweit ich es hier im Forum sehe scheint eher nicht eins zu sein das Tomorrow betrifft aber danach finde ich es durchaus interessant.
Im Zusammenhang mit den Tan Verfahren habe ich auch das mir bis dato unbekannte NFC Verfahren gesucht und war überrascht das der CCC innerhalb eines 14 min Videos mit Erklärung zeigt wie schnell es zu knacken ist media.ccc.de - Hacking an NFC toy with the ChameleonMini
in Anbetracht dessen das dies bereits als zweitbeste Option debattiert wird bin ich mir sehr sicher das ich sehr gerne die Unannehmlichkeiten und extra Kosten in kauf nehme für ein Chip Tan Verfahren. Deswegen würde ich mich auch freuen wenn ich durch diesen Kommentar irgendwo für Chip Tan gezählt werde.
Problem nr 3 dagegen ist eines bei dem ich auch die Banken in der Pflicht sehe, da diese wie hier auch schon erwähnt nicht durch Bequemlichkeit ihre Kunden in falscher Sicherheit wiegen sondern Aufklären sollten. Außerdem würde mich freuen wenn bei auftretenden Betrugsfällen nicht zuerst beim Kunden gesucht wird.
Bei Problem 4 Allerdings schneidet ihr zwar besser ab als eure direkt ersichtliche Konkurenz N26
εxodus
allerdings sind auch hier einige offensichtliche Sicherheitslücken zu finden. Gibt es dazu bereits eine Stellungname warum diese Tracker da sind und warum so viele Berechtigungen gegeben werden müssen?
Gibt es den schon neue Informationen wie es derzeit aussieht mit ChipTan?
Moin @Solphae. Zu Deinem letzten Punkt bereits hier einmal ein Verweis. Könnt ihr meine neue nachhaltige Bank werden? - #29 von Vinz
Zum Tan-Verfahren: Ich kann mir kaum vorstellen, dass das Chip-Tan-Verfahren von der Solarisbank adoptiert werden wird, auch wenn ich zum Thema ‚neues Tan-Verfahren‘ absolut keine Infos habe, so viel vorweg. Was ich weiß ist, das dieses Thema bei der Solarisbank nicht schläft und konstant evaluiert wird. Ich gehe stark davon aus, dass die Anstrengungen dort erhöht werden, sobald sich ein stark steigender Missbrauch andeutet. Uns (Tomorrow), sind bisher kaum Fälle bekannt, in denen unsere 2-Faktor-Authentifizierung geknackt wurde.
Ich persönlich bin schockiert, dass hier kaum anstatt keine Fälle bekannt. Darf man dazu mehr erfahren?
Vielleicht solltest du dein Schockiertheitslevel mal evaluieren und anpassen 
Es gibt kaum bis gar keine Sicherheitsverfahren, bei denen es nicht Fälle gibt, bei denen Kunden behaupten man wäre gehackt worden und wäre das nicht selbst gewesen. Oft liegt da menschliches Versagen vor, manchmal war es wirklich ein Hacker. Wenn es ein Hacker war, stellt sich da natürlich auch immer die Frage, ob die Person vor dem Bildschirm das eigentlich fahrlässig mitverursacht hat.
Die Frage lautet am Ende doch nur: wie geht die Bank damit um. Wenn du 0,0(000)1% Missbrauch pro Jahr hast und die Bank erstattet die Beträge, ist doch alles fein. Du wirst aber kein Verfahren finden, dass dir einen 100%igen Schutz gewährleistet. Das ist doch das, was die Leute da draußen lernen müssen. Wir müssen nur von den Sachen wegkommen, die super unsicher sind.
Nehmen wir das mTAN-Verfahren: Das auszuhebeln lohnt sich nicht wenn man kaum Geld überweisen kann. NFCTan scheitert daran, dass nicht jeder ein NFC-Handy hat oder würde eine Weboferfläche für den Desktop konterkarieren.
LG,
Patrick
Social engineering und Phishing würde ich jetzt großzügig ebenfalls als Hack bezeichnen. Auch wenn hier nicht eine technische Infrastruktur sondern ein Anwender „gehacked“ wurde.
Mir ist tatsächlich kein Fall bekannt, wo SMS-TAN selbst technisch kompromittiert wurde. Mir fallen spontan zwei übliche Szenarien ein: Entweder wird die Sicherheitsabfrage zum Ändern der im Kundenprofil hinterlegten Telefonnummer überwunden und der Angreifer konnte hier seine eigene Nummer einschmuggeln. Oder SIM-Swapping, wobei die Nummer bleibt, der Angreifer aber SMS auf eine neue Ersatzkarte mit der gleichen Nummer umleiten kann. N26 litt zum Beispiel unter Angriffen nach dem ersten Muster, SIM-Swapping ist eigentlich ein alter Hut, betraf in der Vergangenheit auch klassische Filialbanken und wurde zumindest durch mal mehr oder weniger gewissenhafte Maßnahmen von Seiten der Mobilfunkbetreiber erschwert.
Fakt ist, dass SMS-TAN, anders als App-TAN-Verfahren, nicht weiter durch Dinge wie Gerätebindung „gehärtet“ werden kann. Es gilt nicht als unsicher, aber doch eine Spur weniger sicher als App-TAN, und deutlich unsicherer als Modelle mit externen TAN-Generatoren. Einige Banken verabschieden sich aktuell deswegen schon von SMS-TAN, bieten aber neben den nicht immer geliebten App-TAN dann in der Regel ein weiteres Verfahren an.
Die Sicherheit von SMS-TAN macht mir persönlich jetzt keine Sorgen. Denn das TAN-Verfahren alleine zu kompromittieren reicht ja nicht. Man braucht immer auch Zugang zum Konto, und hier ist, wie du richtig schreibst, der User das schwächste Glied, die größte Gefahr ist mit großem Abstand Phising. Dennoch fände ich es begrüßenswert, wenn sich hier bei der Solarisbank was tun würde, und man für Leute mit Wunsch nach höherem Sicherheitslevel eine Option böte. Man muss SMS-TAN ja nicht unbedingt ausmisten. Ich würde mir wünschen, man würde bei der TAN-Sicherheit auf einem branchenüblichen Durchschnittslevel landen. Nicht auf dem niedrigsten.
Moin @Stefan. Um hier mal Zweifel an der Sicherheit auszuräumen, kann ich das von @gummipunkt und @Frnk gesagte bestätigen. Lass mich folgendes hinzufügen: Wenn sich Kundinnen bei uns melden, dass ein Missbrauch stattgefunden hat, sind das meist Fälle von Kreditkartenmissbrauch. Infolgedessen prüfen wir dann die Transaktionen und geben die Fälle an unseren Zahlungsabwickler weiter, der den Disput mit den entsprechenden Händlerinnen aufnehmen. Dort wird selbstverständlich auch geprüft, ob das Visa 3D secure Verfahren erfolgreich durchlaufen ist. In den meisten Fällen ist dort auch eine m-TAN Fällig. Wir bekommen dann eine Nachricht vom Zahlungsabwickler mit der Rückmeldung: Chargeback akzeptiert oder abgelehnt. Wenn der Chargeback akzeptiert wurde, dann ist davon auszugehen, dass auch das m-Tan-Verfahren erfolgreich war und somit hier, wie Frnk beschrieben hat, auch durch den Missbrauchenden kompromittiert wurde. Gleichzeitig gibt es aber auch Fälle, in denen das Chargeback-Verfahren durch die Kundinnen missbraucht wird. Das fliegt dann natürlich auf. Im ersten Moment müssen wir aber natürlich nach dem Motto „innocent until proven guilty“ gegenüber den Kundinnen ausgehen.
Ich möchte das Thema nochmal anstoßen. Als am 23.11.20 eine enorme Störung des Vodafone-Mobilfunknetzes auftrat, konnte ich mit dem Tomorrow-Konto keine Überweisungen tätigen und auch Online nichts bezahlen, da beides den Erhalt von SMS voraussetzt. Von mehreren Tomorrow-Kunden im Freundeskreis habe ich vernommen, dass diese an dem Tag das Konto aufgrund nicht wie gewünscht nutzen konnten. SMS kamen teilweise noch ein bis zwei Tage später nicht an, sodass man mehrere Tage machtlos war.
Daher bitte ich dringend darum, ein zusätzliches Tan-Verfahren zu priorisieren. Gar nicht unbedingt um das aktuelle abzulösen, sondern viel mehr, um Kunden die Wahl zu geben und eine Redundanz zu schaffen. Wenn man in diesem Zusammenhang gleich an der Einführung von potentiell sichereren und gleichzeitig moderneren Verfahren (z.B. NFC-Tan) arbeitet, hat man zwei Fliegen mit einer Klappe geschlagen.
Nach längerem Schweigen möchte ich nochmal auf die Relevanz dieses Themas hinweisen.
heise schreibt z.B., dass „68 Millionen US-Dollar im Jahr 2021 durch SIM-Swapping ergaunert“ wurden. Die Zahlen der Betroffenheit seien zwar in Deutschland wesentlich geringer, aber das BKA begründet das folgendermaßen: „Eine mögliche Erklärung hierfür ist, dass dieser Modus Operandi in Deutschland durch die bankenseitige Verlagerung der Zwei-Faktor-Authentifizierung von SMS-basierten Token hin zur App-basierten Verifizierung nur noch bedingt für Betrugshandlungen im Rahmen des Online-Bankings genutzt werden kann.“. Eine eindeutige Aussage über die Anfälligkeit von SMS-basierter Authentifizierung.
Ein anderer Artikel beschreibt: „Sparkassen und Volksbanken wollen SMS-TAN beerdigen“
Von den Sparkassen werden „Kosten und Sicherheitsbedenken als Gründe“ angegeben. Die Volks- und Raiffeisenbanken sagen: „Sicherheitsbedenken, wie dass SMS theoretisch abgefangen oder auch auf gestohlenen Handys zu leicht abgegriffen werden könnten, hätten den Ausschlag für das Ende gegeben.“. Beide Gruppen werden das Verfahren wohl noch dieses jahr abschaffen.
Der renommierte IT-Sicherheitsexperte Mike Kuketz kommt in seinem Beitrag „Android & iOS: Sicheres Mobile-Banking am Smartphone“ zu folgendem Fazit: „Mobile-Banking geht auch sicher und datenschutzfreundlich, wenn man eine entsprechende Banking-App einsetzt, das chipTAN-Verfahren verwendet und einige Tipps/Rahmenbedingungen beachtet.“. Im älteren Beitrag „Online-Banking: Aber sicher – Das chipTAN-Verfahren“ wird er im Bezug auf smsTAN noch deutlicher: „Gerade im Hinblick auf Trojaner und andere schadhafte Programme / Apps ist die Nutzung dieses Verfahrens mit einem beträchtlichen Risiko verbunden.“ und „Zusammengefasst: Eure Bank sollte das (optische) chipTAN-Verfahren zwingend unterstützen.“.
Zu guter Letzt eine Einschätzung des Bundesamt für Sicherheit in der Informationstechnik (BSI) im Beitrag „Meine Bank schafft die smsTAN ab – Was nun?“: „Zunächst ist die geplante Abschaffung des smsTAN-Verfahrens kein Grund zur Beunruhigung. Ganz im Gegenteil: Viele Banken rücken von der smsTAN ab, weil Alternativen sicherer sind.“ & „Zwar ist die smsTAN nutzerfreundlich und praktisch in der Anwendung, jedoch können SMS mit entsprechendem technischen Vorwissen abgefangen werden.“ & „Jedoch bleibt der Einsatz eines externen TAN-Generator am sichersten, da dieser vom Internet getrennt ist und ausschließlich für das Onlinebanking benutzt wird.“.
Ich bitte daher dringend darum, die Möglichkeit eines weiteren, sichereren TAN-Verfahrens (bestenfalls chipTAN oder ähnlich) zu evaluieren und dessen Einführung bei der solarisbank zu fordern.
Ich rechne fest damit, dass die Solarisbank auch aus Kostengründen in den nächsten Jahren ein alternatives TAN-Verfahren einführen wird. Chip-TAN gebe ich dabei eher wenig Chancen, im Trend liegen aktuell Verfahren auf Basis von digitalen Signaturen, wie zum Beispiel von Seal One.