Noch eine kurze Sicherheitsinfo für Nutzer von Online-Banking per Smartphone oder Tablet. Von Banken werden Apps angeboten, die Transaktionen wie Überweisungen per App-TANs autorisieren. Hier ist Vorsicht geboten, da das Autorisierungsverfahren wohl angreifbar ist.
Anzeige
Folgender Screenshot, den ich (wertneutral) von den Webseiten der IngDiba erstellt habe, verdeutlicht das Verfahren der App-TAN-Autorisierung. Alles erfolgt in Apps, was komfortabel aussieht.
Problem ist wohl, dass der an sich gut gemeinte Ansatz wohl angreifbar ist und Sicherheitsmängel aufweist. Das Ganze gilt wohl für Apps diverser Banken. Ich hatte im Januar 2015 im Beitrag Online-Banking: mTAN und Banking-Apps unsicher sowie im Oktober 2015 im Artikel Online-Banking: App-TANs (u.a. der Sparkassen) unsicher auf das Problem hingewiesen.
Sicherheitsforscher der Uni Erlangen nehmen sich zyklisch die S-pushTAN-App der Sparkassen vor und haben in der Vergangenheit in den oben verlinkten Beiträgen auf Sicherheitsmängel hingewiesen. Bisher hieß es von der Sparkassen-Informatik, dass die Sicherheitsmängel sich auf "veraltete Versionen" der App beziehen würden. Also beruhigt auf die neuen App-Versionen zurückgreifen?
Anzeige
Für die aktuelle S-pushTAN-App der Sparkassen ist auf dem 32C3-Kongress von den Erlanger Sicherheitsforschern nachgewiesen worden, dass dieser App-Ansatz nach wie vor unsicher und angreifbar ist. Bei Interesse: Ich habe drüben im Seniorenblog den Artikel Vorsicht: pushTAN-App der Sparkassen unsicher zum Thema publiziert. Bei heise.de findet man die Details zum Thema in diesem Artikel.
Anzeige
Wer macht denn Banksachen übers Smartphone? :-(
ich, wieso auch nicht?
um es zu konkretisieren ich verwende alle Medien, da es unterschiedliche Szenarien gibt.
ein PC ist auch nicht sicherer, insbesondere wenn es User gibt die meinen "never touch a running System" sind doch ein gefundenes fressen.
ganz zu schweigen, wenn die sodann auch noch behaupten, dass man lieber belegbehaftete Überweisungen ausführen soll
Ich verwende weiterhin das alte iTAN Verfahren, da ich bei mobile TANs oder AppTANs den Vorteil für mich nicht sehe.
Nichtsdestotrotz würde ich dennoch umsteigen, wenn ich einen Vorteil hätte. Schließlich stellt die Bank die App bereit und ist daher sicher, dass sie Ihren Qualitätsansprüchen genügt. Natürlich sind Apps nie sicher, aber wenn dann doch einmal etwas vorfällt, dann ersetzt die Bank auch ohne Probleme den entstandenen Schaden. Wenn nicht könnte sie nämlich sonst zu machen. Außerdem bin ich immer noch der Meinung, dass es deutlich lohnenswertere Ziele als mich gibt ;-)
bei vielen Banken gibt es das iTAN Verfahren nicht mehr.
das Chip-TAN Verfahren (Generator) ist aber iO und wird auch von dem o.g. Forscher selbst verwendet