Viren, Spyware, Datenschutz 11.214 Themen, 94.192 Beiträge

Verfolgung starten Optionen
News: Viren, Spyware, Datenschutz

Erneut gehackt: das pushTan-Verfahren bei der Sparkasse

Olaf19 / 59 Antworten / Flachansicht Nickles

Am Rande der 32C3 in Hamburg hat Vincent Haupert von der Uni Erlangen berichtet, wie es ihm innerhalb weniger Monate zum zweiten Mal gelungen ist, das pushTan-Verfahren der Sparkasse zu hacken – und wie simpel dies laut seiner Schilderung gewesen sein soll.

Natürlich wird die Sparkasse ihrerseits nachlegen und ein Update bringen, um die Sicherheitslücke zu schließen, doch am Ende, so Haupert, wird die Sparkasse das Katz-und-Maus-Spiel immer verlieren: der Fehler liegt im Gesamtkonzept. Online-Banking-App und TAN-Generation auf dem gleichen Gerät, das wird immer anfällig bleiben.

Die Zeit beschäftigt sich mit diesem Thema in einem ausführlichen Artikel.

Quelle: www.zeit.de

Olaf19 meint: Sich per SMS eine TAN aufs Smartphone schicken zu lassen, mag ja noch angehen – eine TAN ist eh nur ein "Wegwerfartikel", der in Sekundenschnelle verbraucht ist und danach nie wieder genutzt werden kann.

Aber das eigentliche Online-Banking auf eben diesem Gerät ausführen? – never ever.

Hinweis: Vielen Dank an Olaf19 für das Verfassen der News. Diese News stammt von einem Nickles.de-Teilnehmer. Die Nickles.de Redaktion übernimmt keine Verantwortung für den Inhalt und die Richtigkeit dieser News.

Bei Nickles.de kann übrigens jeder mitmachen und News schreiben. Dazu wird einfach in einem Forum ein neues Thema begonnen und im Editor die Option "News" gewählt.

"Das sind Leute, die von Tuten und Ahnung keine Blasen haben" (ein Reporter auf die Frage nach der politischen Bildung des typischen Anhangs von Donald Trump)
bei Antwort benachrichtigen
So richtig habe ich das mit den verschiedenen Arten der TAN noch immer nicht kapiert. Ich benutze eben noch eine TAN-Liste. ... jueki
Die benutze ich auch, genau wie von dir beschrieben, immer dann, wenn ich von zuhause eine Überweisung tätige also zu 90 ... Olaf19
Die Größenordnung ist bei mir exakt 100 . Und in diesem Falle - müßte mein PC ja wohl erfolgreich okkupiert worden ... jueki
Nun ja das kommt tagtäglich 1000fach vor... Ein solcher Jongleur ist mit Sicherheit ein attraktiveres Ziel als ... Olaf19
Eigentlich ist die Antwort darauf ganz einfach: Es gibt zu viele unbedarfte User, die auf Phishing-Mails reinfallen und ... shrek3
Dann geschieht es denen recht. Dümmlichkeit wurde schon immer bestraft. Jürgen jueki
Genau DAS ist das grosse Problem bei den TAN-Listen, zum Einen die dümmliche Eingabe der TAN-Listen in den Computer, damit ... Bobby1234
Machen das wirklich manche Leute? Ich meine, das ist doch eine fürchterliche Sisyphos-Arbeit, und fehleranfällig ... Olaf19
Naja, heute werden sie es nicht mehr machen, es gibt ja keine Bank mehr die sowas rausgibt - zumindest keine Bank, die ich ... Bobby1234
Bobby, deine Argumentation ist so überzeugend, dass ich eben nachgeschaut habe, wo ich mich vom Papier-TAN -Verfahren ... Olaf19
Damit nicht jeder das Fidscho zum Artikel aus dem Artikel der Zeit heraussuchen muss, verlinke ich das einfach ... fakiauso
Kann ich für mich nicht bestätigen ich habe die mTANs ausschließlich dazu benutzt, wenn ich unterwegs Online-Banking ... Olaf19
Da kannst Du auch ein uraltes Nur-Handy für die SMS nehmen und den Smartföhn für die Banking-App. Damit hast Du die ... fakiauso
Würde gehen, aber dann müsste ich für die paar Fälle im Jahr, wo ich nicht von zuhause aus überweise, immer auf ... Olaf19
Da gültet der Unsicherheitsfaktor Mensch, der die Liste plus Zugangsdaten an s schwarze Brett nagelt - aber die kann auch ... fakiauso
Ich arbeite jetzt schon seit vielen Jahren nur noch mit HBCI plus Kartenleser, da ist keine Tan mehr nötig die abgemischt ... soppiy
Ich auch nicht. Mit Tan-Liste oder iTan auf Nur-Handy, ganz normal über online-Banking bei der Bank. Seit knapp 17 Jahren ... gelöscht_323936
Das ist nartürlich richtig, für ein sichers Banking muß auch der PC sicher sein und auch Brain 1.0 nie vergessen nicht ... soppiy
Mache ich ebenfalls mindestens genau so lange wie du. Mir ist dabei noch nie weder seinerzeit ein Pfennig noch nach ... gelöscht_312237
Na, ganz so ist das nicht. Und App mitsamt Tan auf einem Smartphone - mich gruselts. Ich weiß mit dem Smartphone immer ... gelöscht_323936
Schitte bön - Alle Videos findest Du bei Interesse hier:https://streaming.media.ccc.de/32c3/relive/ Jetzt habe ich wieder ... fakiauso
Da bin ich bei. Internetbanking läuft bei mir problemlos mit mTAN. Die TAN kommt auf einem sehr alten Handy an. Das Ding ... gelöscht_305164
@shrek faki, ich mach dann mal hier weiter - Liste plus Zugangsdaten ans schwarze Brett nageln, TAN-Liste bei Einbruch ... Olaf19
Eben - für Dich und andere, die sich mit der Materie schon aus PC-Interesse heraus befassen - Es geht um die ... fakiauso
Das ist der Grund dafür, warum ich bei diesem Thema immer so hartnäckig nachfrage. Insbesondere, da die ... Olaf19
Prosit zurück - an Dich und alle! Für mich ebenfalls. Und ich schmunzel darüber, was da so alles an Gefahren angedroht ... jueki
Tools zu installieren halte ich eh für problematisch, da dies ihrerseits wieder nur Programme sind, die wie jede Software ... Olaf19
Persönlich hatte ich keinerlei Probleme mit der TAN-Liste. Mir war aber klar, dass es nur eine Frage der Zeit sein würde, ... shrek3
Ich komme zwar nur auf 1400 Kunden, aber ich weiß, was du meinst - ...0,01 sind ein Zehntausendstel... Ja, es ist ein ... Olaf19
Die per Post zugestellte und durchnummerierte TAN-Liste haben nur noch sehr wenige Banken. Die Postbank z.B. hat schon vor ... shrek3
Bei der Sparda-Bank habe ich beides, iTAN auf Papierliste zuhause und mTAN für unterwegs was natürlich selten gebraucht ... Olaf19
Aus den Verfahren, welche die Sparda anbietet, empfehle ich das ... fakiauso
Eigentlich sollte ich mein Gyros-Konto bei der Sparda sofort kündigen aus Solidarität mit den gutgläubigen Kunden, die ... Olaf19
Ach i wo - da kommst Du auch nur vom Regen in die Traufe, weil das sicher viele Banken mit anbieten - Von den ... fakiauso
So schaut s aus... Demnach wäre so etwas wie Bankix für dich hinter HBCI samt Lesegerät die 2. Wahl und der Privatmodus ... Olaf19
So in der Art. HBCI umgeht den kritischen Teil Browser ... fakiauso
Diese Reiner-Geräte hatte ich mir vor ca. 1 Jahr einmal auf Amazon angeschaut und war ehrlich gesagt ein wenig abgestoßen ... Olaf19
Bei mir war der Umstieg auf HBCI 2009 und der damals gekaufte Kartenleser hat bis jetzt durchgehalten. Vor zwei Jahren hat ... fakiauso
Sehe gerade, dass es Moneyplex für alle 3 Betriebssysteme gibt, sogar für Mac... das war afair nicht immer so. Nur die ... Olaf19
Ja nje snaju - Die Linuxtauglichkeit war der Grund, es anzuschaffen, es gibt zum Testen noch Alternativen wie Gnucash, ... fakiauso
Hatte ich schon gesehen. Schade, dass die nicht auch auf die anderen Techniken setzen, mehr Flexibilität hätte ich ... Olaf19
Und auf dem Apfel nicht vollwertig im Vergleich zur Windows-Version:https://www.starmoney.de/index.php?id starmoney-mac ... fakiauso
http://www.macwelt.de/produkte/Homebanking-Programm-Test-Star-Money-fuer-Mac-7308492.html scheint gewaltig abgespeckt ... Olaf19
...finde ich in Summe deutlich gravierender als die Vorteile eines Kaspersky-Spezial-Browsers extra für Online-Banking. ... Olaf19
Die DKB gestattet das alte Papier- TAN welches ich ausschließlich nutze , pushTAN oder chipTAN. Oder, wenn gewünscht ... jueki
Am Anfang war es ja noch egal, welche der 100 TANs man verwendete - da hatte der Kunde freie Hand. Einzige Bedingung: Er ... shrek3
Wie steht s denn eigentlich mit dem sicheren Browser , den Kaspersky bei Bankgeschäften zur Verfügung stellt ? hanshh
Ich bin da gespalten und würde eher mit Jein antworten. Für den unbedarften User mag es, insgesamt betrachtet, ein ... shrek3
Genau das würde mich auch stören. Und gefakedte Bankseiten lassen sich leicht vermeiden, indem man die URL direkt ... Olaf19
Funktioniert aber auch nur solange, wie trotz richtigen Eintippens der Browser nicht auf eine falsche Seie umgeleitet ... shrek3
Ja, wenn der Rechner bereits gekapert wurde, kann man am Ende nichts mehr von dem glauben, was man auf dem Bildschirm ... Olaf19
Ja, so war das, als ich AFAIR 2004 mit dem Online-Banking angefangen habe. Wollte ich vorher nicht haben... wenige Jahre ... Olaf19
shrek3 Olaf19 „Ja, so war das, als ich AFAIR 2004 mit dem Online-Banking angefangen habe. Wollte ich vorher nicht haben... wenige Jahre ...“
Optionen
Meine primitive Rechnung war: iTAN = Liste auf Papier = offline, unvernetzt = sicher.

In den Händen eines umsichtigen Users ist es ja auch sicher - nur nicht vor dem Hintergrund der gesamten Gruppe der Online-Banking-Kunden. Da gibt es einfach zu viele Ausreißer.

Deshalb schrieb ich ja auch: DAU-sicherer. ;-)

Dagegen: mTAN = Smartphone = Datenspioniergerät mit digitalem Streichelzoo [(c)2015-16 by fakiauso] = unsicher.

Ich glaube, da muss man zwischen dem reinen Online-Banking vom Smartphone aus und dem lediglichen Empfang der TAN-SMS differenzieren.

Im letzteren Fall müssten schon beide Geräte (Smartphone und Rechner) befallen sein, um eine Onlimne-Überweisung abzufangen und auf ein anderes Konto umzuleiten.

Hinzu kommt, dass eine Bank es natürlich merkt, ob von zwei verschiedenen Rechnern und von zwei verschiedenen Standorten(!) auf ein und dasselbe Konto zugegriffen wird.

Ein ausspioniertes Smartphone weiß ja erst ab dem Moment von einer SMS-TAN, sobald diese SMS eingeht. Das jedoch kann nur erfolgen, wenn bereits ein anderer Rechner bei dieser Bank eingeloggt ist...

Alles nicht so einfach für einen Kriminellen...

Gruß
Shrek3

Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen
Definitiv! mTAN heißt für sich genommen ja nichts weiter, als dass man die TANs per SMS aufs Handy empfängt muss noch ... Olaf19
Also ich betreibe mein Onlinebanking schon seit BTX Zeiten. Am Anfang mit den per Post zugeschickten TAN Listen. Seit ... RW1
Moin Ralf, ein Prosit 2016 auch an dich! Der Tipp mit Bankix klingt gut. Das läuft auch auf dem Mac: ... Olaf19
Das Problem wird sich bald lösen, wenn es nach bestimmten Leuten ... fakiauso
Tja, so ist das immer mit Dingen im IT-Bereich, die allzu praktisch und komfortabel sind es geht eigentlich immer zu Lasten ... Olaf19
Vollste Zustimmung, sh. mein Beitrag weiter oben Keine Zahlung ist so wichtig, dass ich die SOFORT durchführen muss. ... Bobby1234