Zu 1. wurde bereits ein erfolgreicher Angriff demonstriert.

Zu 2. ist mir noch nichts dergleichen bekannt, und ich vertraue
vorläufig einem TAN-Generator der Firma Kobil.

Gruß -- Olaf Meltzer

On Fri, 24 Jun 2011 11:28:37 +0200, Susann Markward
Gefährlicher Müll.
http://www.heise.de/security/meldung/Angriffe-auf-deutsche-mTAN-Banking-User-1221951.html
mal abgesehen von der Möglichkeit GSM mitzulauschen
Das ist prima.
Aber du musst deinen Kopf dabei einschalten und darfst die TAN nur
eingeben wenn die angezeigten Daten auf dem Gerät stimmen!
Das hättest du jederzeit bei der Bank beantragen können, Limits setzen
für eine bestimmte Nutzung geht bei jeder Bank bei der ich bisher war.

Gruß Carsten

Ich nutze weder noch. Da ich Banking unterwegs nicht brauche (zumindest
nicht mehr als Kontostand abfragen), habe ich ein lokales Bankingprogramm
und nutze damit HBCI mit Chipkarte. Das ist AFAIK immer noch das sicherste
Verfahren.

Christoph Sternberg */\

SMS:
- hat den möglichen Vorteil unterwegs und geräteunabhängig zu
funktionieren.
e ist eben ein beliebiges Mobilfunkgerät ötig das Kurznachrichten empfangen
kann und die gewünschte Mobilfunkrufnummer muss vorab angegeben werden.
(wer darf die ändern? wie oft? welche Kosten? was kostet eine TAN per
Kurznachricht?)

Chip:
- hat den Vorteil die TAn auf einem fest vorgeschriebenen GErät zu
erzeugen. evtl. keine Gefahr von Fälschung, es muss eben das blinde
Vertrauen in den Gerätehersteller vorhanden sein und natürlich darin, dass
die Verschlüsselung dort beim Hersteller geheim leibt.
sind beliebige Geräte möglich? müssen diese zugelassen sein vonder Bank? wa
passiert bei Schaden oder verlust des gerätes?.


so oder anders die banken versuchen wieder auf Kosten der Kunden die
Sicherheitsprobleme des vorhandenen Systems zu lösen.
nun: der Rechner des Kunden kann genausogut mit Trojanern verseucht sein,
der dann die Eingabezeichenfolgevorgaukelt und sobald das
Versclüsselungsverfahren des TAN-Erzeugers bekantn ist müssen die gesamten
Geräte weggeworfen werden.
bei Kurznachricht sollte eben das Mobilfunkgerät ohne Trojaner sein und die
Mobilfunkrufnummer nicht auf obskure Art erst zum Gerät des bösen Betrügers
und erst von dort zum Kunden zeigen.
da gibts welche die diese flackernde zeichenfolge auslesen am Bildschirm
und solche die eine händische Eingabe gewisser zeichen erfordern.

Hallo Susann!

Keine Antwort auf deine eigentliche Frage, aber ein paar zusätzliche Infos.
[...]
Du wirst über kurz oder lang umsteigen *müssen*.

Hier in Wiesbaden und Umgebung läuft das "althergebrachte"
PIN/TAN-Verfahren bei beiden großen Instituten (Volksbank und Sparkasse)
Ende des Jahres definitiv aus.
Und das ist der Trend fürs ganze Land.
Hier ist es der "KOBIL TAN Optimus Comfort". 10 Euro, bei der Volksbank
kommen noch € 3,50 Versandkosten dazu.
Das Gerät ist von der Hardware her für jede Bank verwendbar. Allerdings
verlangen Sparkasse und Volksbank hier eine unterschiedliche
Software-Version (Firmware), die, soweit ich bisher erkennen kann, vom
Nutzer nicht geändert werden kann.
So kann es also sein, dass du für Konten auf mehreren Banken auch
mehrere Geräte benötigst.

Man wird müssen. Meine Bank beispielsweise schaltet iTAN im August ganz
ab.
Bei vernünftigem Umgang damit sehe ich keinen Nachteil in der
Sicherheit von PIN/TAN.
Auf Arbeit haben wir einen für 10 Euro plus Märchensteuer, damit
funktioniert es ganz gut.

V.

Definitiv nicht. Das PIN/TAN-Verfahren ist bei sorgfältiger Beachtung der
Regeln ausgesprochen sicher.

smsTAN ist kompletter Käse, SMS ist einfach nicht zur sicheren Übertragung
gemacht.

chipTAN sieht erstmal gut aus - nur ist es um Größenklassen komplexer als
PIN/TAN, und der Beleg der Qualität des Verfahrens von unabhängiger Seite
steht soweit ich das mit bekomme noch aus.

mTAN ist ein Kompromiss wo die Systemsicherheit zu Gunsten von
Bequemlichkeit zu Lasten des Kunden abgewaelzt wird.

Die Vertraulichkeit von SMS ist ungefaehr analog vergleichbar mit
Postkarten, die Verfuegbarkeit ist in den letzten Jahren deutlich
besser geworden (unter 0.5% Zustellfehler), aber die Integritaet ist
ein schlechter Witz. (SMS Manipulation ist kinderleicht)
Beim klassischen PIN/TAN Verfahren haengt die Sicherheit alleine bei
an der Sorgfalt des Anwenders. D.h. *du* selbst hast die Sicherheit im
Griff.

Alle modifikationen desselben ersetzen diese durch technische
Massnahmen die zum Teil Bequemlichkeit anstelle von Sicherheit
gewaehren (mTAN) oder den Anwender mit unnoetigen Massnahmen trietzen
(iTAN).

Bei ChipTAN gibt es die Chance, dass eine sichere Technik eingesetzt
wird, die immerhin keine Verschlechterung der Sicherheit beinhaltet.
Sofern nicht irgendwelcher billiger Muell Verwendung findet.
Schoen fuer dich. Im Ernst. Alternativ hilft noch der Wechsel der Bank.
Fuer dich persoenlich als Kunden bringen alle diese tollen Verfahren
in dem Fall keinerlei Vorteil oder Verbesserung, solange du beim TAN
Verfahren sorgfaeltig bist und damit bereits das Optimium an
Sicherheit erreicht hattest - bei ausreichender Bequemlichkeit.

Alle anderen Verfahren verringern die Sicherheit und/oder die
Bequemlichkeit.

Zudem hast du bei den meisten Banken in den Vertragsaenderungsklauseln
versteckt eine Beweislastumkehr zu deinen Ungunsten im Misbrauchsfall.

Dann darfst du vor Gericht erstmal beweisen, dass das Verfahren der
Bank Grundsaetzlich Angreifbar ist.
Nein. Beim klassischen TAN Verfahren liegt die Sicherheit alleine
in den Haenden des Kunden. Wenn der Kunde sorgfaeltig genug ist, ist
das die heochste durch technische Massnahmen erreichbare Sicherheit.

Ist der Kunde jedoch sorglos oder fahrlaessig, dann ist das TAN
Verfahren maximal Unsicher.

Dieser Freiheitsgrad wird bei den {m|i|chip}TAN verfahren eliminiert.

Eine Verbesserung der Sicherheit hast du also hoechstens bei Fahrlaessigen
und Sorglosen Kunden. Dummerweise sind die tollen Verfahren auch nicht
immun gegen sorglosigkeit und fahrlaessigkeit durch den Kunden, so das
hier nur eine Verbesserung des Gesamtsystems *fuer* *die* *Bank*
stattfindet, nicht fuer den einzelnen Kunden.

Alle diese Verfahren werden von Banken nur aus eigenem Interesse
eingefuehrt, da sie geringere Versicherungspraemien ermoeglichen (was
eine grosse Einsparung im Betrieb eines Onlinebankingsysetems bedeuet).
Auch wird keine Bank einem zusaetzlichen Geschaeft den Ruecken kehren.

Billige Geraete sind idR. technisch manipulierbar, und es gibt
bereits Banking-Trojaner die gezielt diese tolle "sicherere!!!elf"
Chip-TAN Verfahren mit billigen Geraeten angreifen.

Solange du mit PIN/TAN und den "Einschraenkungen" deiner Bank leben
kannst, und bei TAN sorgfaeltig und sicher in der Handhabung deiner
TANs bist, gibt es fuer *dich* keinen Grund daran was zu aendern.

Gehoerst du jedoch zu den Leuten, die ihre TAN elektronisch erfasst
(eingescannt) auf dem Rechner abgelegt haben, den sie zum
Onlinebanking nutzen, diesen auch nicht weiter Abgesichert haben
sondern auch zum allgemeinen Surfen und Programm-ausprobieren nutzen,
beim Online-banking sich nicht die Muehe machen, die SSL-Zertifikate
der Banking-Seite anhand ihres Fingerprints zu verifizieren,
Teile ihrer TAN zusammen mit ihrer Giro-Karte (EC) im Geldbeutel
aufbewahren oder die TAN-Liste offen bzw. leicht auffindbar in einer
Wohnung aufbewahren wo viele Menschen Zutritt haben, dann sieht die
Sache schon etwas anders aus, dann kann z.B. ein ChipTAN-Verfahren mit
einem manipulationssicheren Geraet (nur wenige) durchaus eine
Erhoehung der Sicherheit bedeuten.

Von mTAN kann ich personelich ob meiner intensiveren Kenntnisse der
SMS Infrastukturen der Mobilfunkprovider in jedem Fall nur abraten.

Juergen