Volks- und Raiffeisenbanken stellen SMS-TAN-Verfahren zum 30.9.2022 ein – Teil 2

Aktuell stellen die diversen Banken die Authentifizierung von Transaktionen beim Online-Banking von bestehenden Verfahren (z.B. SMS-TAN, chipTAN mit Flicker-Code) auf andere Verfahren um. In Teil 1 hatte ich einen Blick auf die Postbank geworfen. In Teil 2 gehe ich darauf ein, dass die Volks- und Raiffeisenbanken das (unsichere) SMS-TAN-Verfahren zum 30.9.2022 einstellen. Kunden sollen die TAN-App VR Secure Go nutzen. Hier ein kurzer Blick auf diesen Sachverhalt.


Anzeige

Volksbanken beenden SMS-TAN

Vorab eine kurze Information, die Kunden der Volks- und Raiffeisenbanken eigentlich erhalten haben dürften. Bei heise wurde es bereits im Juli in diesem Artikel angesprochen: Am 30. September 2022 wird die SMS-TAN als Legitimationsverfahren für das Onlinebanking eingestellt. Dieser Termin sollte eigentlich bereits früher stattfinden, musste aber verschoben werden, da Kunden Probleme mit dem Umstieg hatten.

Transaktionen mit VR Securego plus authentifizieren

Zur Absicherung von Transaktionen wie Überweisungen soll das VR Securego plus-Verfahren der Atruvia AG, das ist der IT-Dienstleisters der Volks- und Raiffeisenbanken, zum Einsatz kommen. Dazu benötigen die betroffenen Kunden die VR-SecureGo-App, die von der Atruvia AG kostenlos im Google Play Store bereitgestellt wird.

VR-SecureGo-App

Die App wurde über eine Million Mal aus dem Store heruntergeladen – schockiert hat mich aber die Bewertung mit einem Stern im Google Play Store. Es scheint wohl Kompatibilitätsprobleme mit der App zu geben, wie ich einigen Kommentaren entnahm.

Ergänzung: In nachfolgendem Kommentar wird darauf hingewiesen, dass es eine VR SecureGo und eine VR SecurGo plus App gibt. Die alte VR SecureGo-App sollte eigentlich seit 2021 abgeschaltet sein. Der Unterschied zwischen den Apps besteht darin, dass VRSecureGo plus auch die Kreditkarten-Authorisierung unterstützt (siehe). Bei der VR Ravensburg-Weingarten habe ich die Information gefunden, dass die VR SecureGo-App zum 21. Juni 2021 deaktiviert worden sei. In den Screenshots hier im Artikel ist die VR SecurGo-App zu sehen. Die Bewertungen der VR SecurGo plus-App sind aber auch nicht besser – auch wenn dort 2 Millionen Downloads zu verzeichnen sind.

Die VR SecureGo plus App ist ab der iOS-Version 13 sowie ab der Android-Version 6 nutzbar. Aktuell lässt sich die VR SecureGo plus App, laut der SeiteVR Securego plus nicht auf neuen Geräten des Herstellers Huawei nutzen, weil diese keine Google-Services wie den Google Play Store unterstützten. Aktuell wird geprüft, die VR SecureGo plus App auch per Huawei-Plattform, der Huawei App Gallery, bereitzustellen.

Vom unsicheren SMS-TAN zum unsicheren VR-SecureGo?

Dass das SMS-TAN-Verfahren (auch als mTAN, mobile TAN bezeichnet) zur Sicherung der Transaktionen eingestellt wird, halte ich für eine gute Sache. Denn SMS können ja durch Trickbetrug auf ein anderes Mobiltelefon umgeleitet werden, so dass das Verfahren schon lange als unsicher gilt. Bereits 2015 hatte ich im Artikel Online-Banking-Risiko: Trojaner und mTAN-Betrugsmasche auf konkrete Fälle hingewiesen, wo mTAN von Betrügern verwendet wurde, um Konten abzuräumen.

Jetzt versucht man den vom Aus der SMS-TAN betroffenen Kunden das Verfahren  VR Securego plus schmackhaft zu machen. Auf der betreffenden Internetseite werden die nachfolgenden Vorteile der VR SecureGo plus App aufgelistet.

VR SecureGo plus App

Klingt für den unbedarften Kunden super: Authentifikation jederzeit sicher und bequem per Smartphone (Deutschland spricht ja Smartphone). Nur eine App für Online-Banking-Transaktionen und Kreditkarten-Zahlungen – die Aktivierung soll auch per QR-Code schnell gehen. Und man kann auf bis zu drei Geräten mit der App arbeiten. Schlaraffenland?


Anzeige

Mein persönliches Problem beginnt bei der Frage, wie sicher dieser Ansatz ist? Nur mal zum Mitschreiben: Da ist eine App auf einem ggf. unsicheren Android SmartPhone, die sowohl die Aufträge für Zahlungen als auch die Authentifizierung für diese Transaktion erledigen soll. Fällt das Smartphone in fremde Hände und kennen Dritte die Zugangsdaten, können beliebige Transaktionen durchgeführt werden. Die Verwendung einer EC- oder Debit-Karte zum Nachweis der Berechtigung ist nicht erforderlich und nicht möglich.

Ich habe jetzt das Thema Sicherheit nicht bis zum Detail durchdacht und weiß auch nicht, wie die App den Aktivierungscode im Gerät ablegt. Aber mein Bauchgefühl fragt mich, ob die App im Zweifelsfall per Trojaner ausgeforscht und ggf. der Aktivierungscode möglicherweise "entführt" werden kann. Ein gutes Gefühl habe ich bei diesem Ansatz jedenfalls nicht.

Was meldet die Plattform Exodus?

Ich habe dann die App kurz bei der Plattform Exodus anhand ihrer URL im Google Play Store überprüfen lassen. Positiv ist, dass dort keine Google-Analytics-Tracker (wie z.B. im Beitrag  Tracker in Barmer Android Krankenkassen-App (August 2022) erwähnt) gefunden wurden.

Aber es werden zwei Tracker von VR-SecureGo gemeldet – diese dürften von der Atruvia AG stammen. Was die genau machen, ist mir nicht bekannt.

Ergänzung: Ich habe  die VR SecurGo plus-App mit Exodus prüfen lassen. Dort werden keine Tracker aufgeführt – hier wurde also nachgebessert!

Abschließende Gedanken

Alles in allem wäre ich als Kunde der Volks- und Raiffeisen-Banken nicht sonderlich glücklich, wenn ich auf die VR-SecureGo plus-App geschoben würde. Klingt zwar alles "modern und komfortabel" – aber mein Bauchgefühl sagt "Digitalisierung first, Bedenken second". Wenn ich beide Faktoren einer Transaktion und Authentifizierung (über eine auf dem Smartphone gespeicherte ID) auf einem Gerät abwickle, erhöht das die Risiken. Ob es am Ende des Tages relevant wird, kann ich nicht beurteilen. Als Kunde bin ich bei einem solchen Fall gegenüber der Bank erst einmal in der schlechteren Ausgangsposition und müsste nachweisen, dass mich keine Schuld trifft.

Persönlich arbeite ich seit vielen Jahren mit dem chipTAN-Verfahren, wo die Transaktionsnummern mit einem eigenen Leser generiert werden, der dies nur bei eingesteckter EC- oder Debit-Karte ermöglicht. Wer meine Karte nicht hat, kann keine TANs erzeugen.

Hier empfiehlt es sich aus meiner Sicht zu prüfen, ob nicht eine Authentifizierung der Transaktionen beim Online-Banking per chipTAN QR oder photoTAN (mit separatem Leser) erfolgen kann. Dort wird ein separates Lesegerät samt EC-, Bank- oder Debit-Karte zur Authentifizierung benötigt. Von der Sicherheit eigentlich unschlagbar.

Die nächste Änderung …

Damit möchte ich den obigen Sachverhalt abschließen, um einen Blick auf die nächste Änderung beim Online-Banking für Bankkunden zu werfen. Der Hintergrund: Die Volksbanken und die Sparkassen stellen das chipTAN-Verfahren (mit Flicker-Code) ein – bei den Volks- und Raifeisenbanken wohl bereits zum 1. September 2022 – bei den Sparkassen hängt es vom Kartenwechsel ab.

Meine Sparkasse ersetzt das chipTAN-Verfahren durch chipTAN QR oder photoTAN – für beide gibt es Standalone-Leser, die eine Bankkarte (EC- oder Debit-Karte) lesen können. Die Banken bieten aber auch eine App an, die das alles können soll. Im Artikel aus Teil 3 werfe ich einen Blick auf diese Sachlage.

Artikelreihe
Postbank: App und/oder SealOne statt chipTAN – Teil 1
Volks- und Raiffeisenbanken stellen SMS-TAN-Verfahren zum 30.9.2022 ein – Teil 2
Sparkassen und Volksbanken: Ende des [alten] chipTAN-Verfahrens – Teil 3
Online-Banking und Apps: Was die Kunden wünschen – Teil 4
Online-Banking und die Sicherheit von Banking-Apps – Teil 5
Online-Banking und Absicherung per chipTAN USB – Teil 6

Ähnliche Artikel
Gehärteter Online-Banking-Browser S-Protect, ein Totalausfall?
Nachlese: Gehärteter Online-Banking-Browser S-Protect, neue Version, neue Erkenntnisse
Der Edge Effizienzmodus verursacht Probleme beim Flicker-Code beim Onlinebanking mit TAN-Generator
Festes SA SQL-Passwort bei windata 9-Banking-Software
DKB: Online-Banking im Firefox und Opera blockiert?
Banking Startup Dave gehackt, Daten in Hackerforen
Nächste Runde: FluBot-Banking-Malware (Mai 2022)
Online-Banking: mTAN und Banking-Apps unsicher


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Android, App, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

47 Antworten zu Volks- und Raiffeisenbanken stellen SMS-TAN-Verfahren zum 30.9.2022 ein – Teil 2

  1. Andreas sagt:

    Soso, die Volks- und Raiffeisenbanken sind also der Meinung, dass alle ihre Online-Banking Kunden ein Smartphone haben. Wenn nicht – Pech gehabt, Online-Banking ade. Vollpfosten!

    • Richard Miranborough sagt:

      Im Jahre 2022 kein Smartphone zu haben ist schon extrem schräg.

      Deutschland und "Neuland Internet" hat extrem komische Auswüchse.

      germans…

      • Paul sagt:

        Es ist immer noch eine persönliche Entscheidung ob man ein Smartphone möchte.
        Jemanden mit einem Übel bedrohen um ihn zu einer von ihm ungewünschten Handlung zu bringen nennt ein Jurist "Nötigung" und ist eine Straftat.

        Die Alternative Filiale entfällt für viele ältere, da es kaum noch welche im 10km Umkreis gibt. Zudem werden für Beleg gebundene Vorgänge horrenden Entgelte fällig.

        Bleibt nur Telefon Banking…
        Wie geht das mit 2FA?

        Die BaFin kommt wieder einmal ihren Aufgaben nicht nach. Die Banken tanzen ihr auf der Nase.

        • P.Schöneborn sagt:

          Nur ein Kommentar zu 2FA beim Telefon-Banking. Das gibt es in unterschiedlichen Ausgestaltungen. Soweit ich mich erinnere wird eine PIN verlangt, die der Kunde hat und diese muss ins Telefon eingetippt werden. Die Authentifizerung der Transaktion wird, wenn ich mich recht erinnere, ebenfalls mit einem weiteren Authentifizierungscode ermöglicht

      • Günter Born sagt:

        Nun ja – diese Haltung würde ich persönlich nicht unterschreiben. Ich mache ja einiges per Smartphone – und habe gerade ein Büchlein zu Android 12 für die Zielgruppe 50Plus aktualisiert. Wird im übrigen die 5. Auflage dieses Titels. Sprich: Ich kann sehr genau verfolgen, was die Android- und App-Entwickler die letzten 7 Jahre so getrieben habe. In a nutshell: Keinen Plan und kein Konzept.

        Ich drücke es mal ganz hart aus: Wenn ich nicht Tech-Blogger wäre – und mein Android-Smartphone nicht als "Tablet-Ersatz" zum Surfen und für einige andere Sachen nutzen würde, hätte ich vermutlich lediglich ein simples Handy, um zu telefonieren und SMS zu empfangen. Erst wenn die Entwicklung da ankommt, dass man als Kunde ein solches Gerät kauft und in den kommenden 7 bis 8 Jahren Software-Updates und eine stabile Plattform (ohne extremes Tracking) und nicht ständig verschlimmbesserte Apps erhält, und wenn ich z.B. wieder problemlos Akkus tauschen kann – dann könnte man auch drüber nachdenken, ein Smartphone zuzulegen. Die Idee des Smartphones finde ich genial – was die Entwickler und die Hersteller draus gemacht haben, ist in meinen Augen eine Katastrophe (ich verfolge hier die Entwicklung seit Android 1.6). Und bei Apple mit iOS ist das keinen Deut besser. Über das Thema Sicherheit habe ich jetzt noch kein Wort verloren …

        PS: Ja, ich weiß, meine Frau meint auch "Du bist aber auch extrem mit deinen Ansichten" – nur: Wenn es dann mal wieder geknallt hat, kommt sie "kannste mal kucken, das geht wieder nicht – oder wie macht man das". Wenn meine Heizungs-, Elektro- oder Wasserinstallation samt Kanal auf diesem Niveau funktionieren würde, wäre ich längst in eine Hütte am Waldrand mit Herzchen-Klo umgezogen.

        • McAlex777 sagt:

          Ich denke schon, das jeder der "Online-Banking" betreiben kann, auch in der Lage sein wird eine Smartphone-App zu bedienen. Die Ersteinrichtung kann aus der Bekanntschaft erfolgen – analog dem PC und Internet-Zugang.

          Alternativ steht Smart-Tan zur Verfügung, über ein Drittgerät von der Bank.

        • Thierry sagt:

          Smartphone: so viel wie nötig und so wenig wie möglich. Alles was "Smart" trägt, ist bei mir suspekt, denn ich habe keine Lust einen gläsernen Mensch für die GAFAM (Google, Apple, Fa(c)kebook, Amazon und Microsoft) zu werden bzw. bleiben. Aber aus den letzten dreißig Jahren lerne ich, dass viele sich nicht mehr in der Lage sehen, wichtige Dinge zu hinterfragen und zu recherchieren. Ein gravierendes Manko, das der Elite und den Regierenden ermöglicht, die totale Kontrolle über uns zu übernehmen. Ohne mich! Dennoch ist für mich nur das Betriebssystem Graphene OS (Android ohne Google) auf Smartphone einigermaßen sicher.

      • Patrick sagt:

        R.I.P.: Mein Smartphone 2022. ;)
        Ohne den Bildschirm immer vor Augen unterwegs treffe ich viele Menschen, die gar nichts von Ihrer Umwelt mitbekommen, weil sie auf ihren Smartphone-Bildschirm starren. Ob sie nur so noch den richtigen Weg finden können?
        Sicherheitsrelevante Aufgaben habe ich noch nie per Smartphone erledigt und werde es auch in Zukunft mit SICHERHEIT nicht tun. Außerdem hat die Abhängigkeit von den Betriebssystem dort ihre Grenzen, wo man als Nutzer eingeschränkt oder ausgesperrt wird. (Hier im Blog gibt es dazu Beispiele.)
        Dazu kommen immer öfter die Systemausfälle, die nur noch Bargeld als einziges Zahlungsmittel erforderlich machen. Hat also alles seinen Sinn …

      • FriedeFreudeEierkuchen sagt:

        "Im Jahre 2022 kein Smartphone zu haben ist schon extrem schräg."
        Verschiedene User haben verschiedene Bedürfnisse. Ich kenne mehrere Leute, die "nur" telefonieren wollen und SMS brauchen. Wieso sollte so jemand sich ein Smartphone kaufen?
        Meine Frau hat immer noch ein altes Klapp-Handy: die geringe Größe und die seeeeehr lange Laufzeit sind für sie unschlagbar. Da sie alle anderen Funktionalitäten nicht braucht, wozu ein Smartphone kaufen? Ich rede ihr da nicht rein, weil ich ihr nicht meine Bedürfnisse überstülpen will.
        Ich kenne auch Menschen, die wollen einfach gar kein Handy, weil sie keinen Bock haben, immer jederzeit erreichbar zu sein. Auch legitim.
        Schräg sind für mich nicht Leute, die keine Smartphone haben, sondern solche, die außer ihrer eigenen Perspektive nichts anderes kennen oder ihre eigenen Vorstellungen als Maßstab nehmen.

        Zurück zum Thema: Alle Mensche ohne Smartphone haben jetzt ein Problem mit ihrer Bank. Wie Günther schon schrieb: Wie sicher die App wirklich ist, muss sich noch zeigen.
        Für mich passt die App erstmal, aber ein externes Gerät wie photoTAN wäre mir lieber. Allerdings kann ich derzeit nicht immer wählen, welche Authentifizierung ich verwenden kann. Online scheint nur die App vorgesehen zu sein. Im Banking Programm, scheint die photoTAN noch zu funktionieren.

    • Blacky Forest sagt:

      Vielleicht gehen sie davon aus, dass man heutzutage, da man SMS-TAN empfängt, dies mit einem Smartphone tut (was auch bestimmt auf sehr viele zutrifft), es gibt aber auch die Möglichkeit per ChipTan qr. Also nicht Pech gehabt, Glück gehabt, dass man in ein sicheres Verfahren geschubst wird.

      • Paul sagt:

        Für ein Smartphone braucht man WLAN oder einen Tarif mit Daten, SMS geht so.
        Beides haben viele nicht und ist mit Kosten verbunden, die der Kunde alleine tragen soll.

        Banken die Freifunk Nodes als Kunden service betreiben kann ich mir nicht vorstellen…

        • Blacky Forest sagt:

          Aber diese Kunden hatten dann auch keine SMS-Verifizierung, da sie kein Online-Banking nutzen.
          Wie gesagt, mit einem neuen Leser (der zwar leider etwa 30 Euro kostet, aber lange hält) funktioniert das gut und sicher.

        • Stefan Tritsch sagt:

          Kunden -WLAN wird inzwischen in vielen Bank Filialen angeboten. Einige Banken sind auch in City WLAN Initiativen wie free.wifi.plus aktiv.

    • Günter Born sagt:

      Es geht auch ohne Smartphone (am PC) – wenn man auf chipTAN QR oder photoTAN mit separatem Leser wechselt – ich kenne keine Details, aber da sollten Kunden schon bei ihrem Institut nachfragen.

  2. Luzifer sagt:

    Nö also die Volks- und Raiffeisenbanken stellen auch noch das OnlineBanking per VR Card das dann als HBCI Karte mit nem Chipkartenleser als derzeit sicherteste Methode gilt. Vollkommen autarkes Lesegerät, ein zwischenschalten ist da nicht möglich! Einzige Möglichkeit der Manipulation wäre das einbrechen in dein Heim und den Chipkartenleser zu manipulieren, was bei guten Geräten aber nicht ohne weiteres und ohne das eine Alarmmeldung gibt möglich ist.

    Ich bleibe bei VR Card und Reiner SCT Kartenleser … Sicherheit hat bei mir oberste Priorität.

    • Günter Born sagt:

      Das wäre dann die Thematik, die ich eigentlich für Teil 2 vorgesehen hatte, aber kurzfristig in Teil 3 verlagert habe. Das wäre auch die Lösung, die ich den Leuten, die auf Sicherheit setzen, empfehlen würde.

    • Andreas sagt:

      Danke für die Info, gut zu wissen dass es noch eine Alternative dazu gibt, ebenfalls zum Schlau-Phone Maniac zu werden.

      Denn was einige anscheinend vergessen: Internet- und Smartphone-Nutzung bedingen einander NICHT. Es gibt da immer noch diese großen, unhandlichen stationären Geräte (nennen sich PC), die jedoch viel mehr Komfort bei der Nutzung bieten als Smartphones.

    • Blacky Forest sagt:

      Leider wird bei vielen Banken von HBCI abgerückt. Sparkasse z.B. hatte auf eine veraltete HBCI-Technik gesetzt, die haben jetzt umgestellt…

    • P.Schöneborn sagt:

      In meiner Beratung früher habe ich dieses Verfahren sehr gerne auch als "sicherste Variante " des Online-Banking beraten, wobei ich natürlich immer darauf hingewiesen habe, dass es keine absolute Sicherheit gibt.

      Das Verfahren war vorallem für Poweruser (z.B. Firmen) sehr interessant und trotz hoher Anfangskosten nachher sehr perfomant und beliebt

    • Art sagt:

      So nutze ich mein GLS Bank Konto (auch im Fiducia Ökosystem):
      2x ReinerSCT (Home + Mobil) und als Fallback SecureGo unter GrapheneOS.

      Banken erfüllen immer nur die mindesten Rechtsvorschriften und dazu gehört leider nicht Client und 2FA nur auf unterschiedlichen Devices zu zulassen -> was mich aber nicht davon abhält dies so zu handhaben.

  3. Singlethreaded sagt:

    Wie sieht das bei den Sparkassen mit Chiptan-USB aus, bei dem die Transaktionen der Banking Software auf einem separaten Gerät mit eingelegter Karte autorisiert werden müssen? Ich habe meine Mutter Ü70 erst vor kurzem von HBCI auf Chiptan-USB umstellen müssen, da die Sparkasse HBCI abgekündigt hat. Sie wird begeistert sein, wenn sich das jetzt wieder ändert. Ältere Leute tun sich mit solchen Anpassungen deutlich schwerer.

    Was Apps auf dem Smartphone angeht: Ich wurde den 2. Faktor niemals auf das Smartphone packen, auch nicht wenn die Software und das OS noch aktuell sind. Auch muss ich unterwegs nicht überweisen können. Das kann immer warten bis ich zu Hause bin.

    Gruß Singlethreaded

    • Günter Born sagt:

      Das sollte bleiben, zu chipTAN QR kommt was in Teil 3, habe das heute Nacht nicht mehr geschafft.

      Wobei ich persönlich chipTAN USB nicht auf dem Radar hatte – wurde hier bei meiner Bank nicht angeboten, wäre mir wegen der Problematik der USB-Anbindung auch nicht sonderlich sympatisch. Die paar Überweisungen pro Monat, bei denen ich eine TAN generiere und händisch im Browser zur Freigabe der Überweisung eintippe, lassen sich locker wuppen. Ich erspare mir aber den Krampf, für eine funktionierende USB-Verbindung sorgen zu müssen. Wenn ich mir in der Vergangenheit die Nutzerkommentare für diverse Lesegeräte (z.B. von ReinerSCT für den Ausweisleser) so durchgelesen habe, war immer wieder von Problemen mit Windows 10 oder MacOS die Rede. Hier muss jeder entscheiden, was ihm wichtig ist.

      Wenn ich es richtig sehe (z.B. dieser Leser), wird alles über die USB-Schnittstelle abgewickelt. Das heißt, es sind keine optischen Erkennungen (Flicker-Code, QR-Code, Photo-Code) erforderlich. Solange die USB-Anbindung funktioniert, müssten TANs zu generieren sein. Pferdefuß ist für mich, dass eine Banking-Software benötigt wird, die den chipTAN USB-Reader unterstützt. Da das chipTAN USB-Verfahren erst bis Ende 2021 eingeführt wurde, ändert sich für diese Kunden aus meiner Sicht jetzt nichts. Es gibt eine umfangreiche PDF-Datei mit einer FAQ, die die Fragen klärt.

      Ich habe mich aber vor vielen Jahren für die optische Variante der TAN-Erzeugung mit separatem Leser ohne Rechneranbindung entschieden. Der springende Punkt ist dort: Ist es beim Lesegerät ein alter chipTAN-Leser, der die TAN aus einem Flicker-Code generiert? Das fällt weg und wird durch chipTAN QR- oder photoTAN-Lesegeräte ersetzt, spätestens, wenn der Kunde die neue Debit-Karte erhält. Das bereite ich in Teil 3 nochmals auf.

      PS: Als ich die Idee zum Thema hatte, sollte es "nur ein Artikel" zum Thema "Wechsel von chipTAN (Flicker-Code) auf chipTAN QR" werden. Jetzt bin ich schon bei drei Teilen angelangt und regelrecht im Labyrinth des Online-Banking versumpft …

    • Doc WP sagt:

      Ich bin auch schwer enttäuscht von der Sparkasse, dass sie das sichere HBCI Verfahren mit Chipkarte unter fadenscheiniger Begründung eingestellt hat. Bei der Volksbank konnte ich das als Ersatz für SMS-TAN vor ein paar Monaten noch neu bekommen. Bei der Sparkasse habe ich auch auf Chiptan-USB umgestellt, das mit der App war mir zu aufwändig, ständig ein kompliziertes Passwort eingeben zu müssen. Mein alter Reiner SCT Kartenleser benötigte für das Verfahren (Chiptan-USB) allerdings ein kostenpflichtiges Update.

  4. N.W. sagt:

    Kurzer Hinweis:
    Es gibt von der Volksbank mittlerweile zwei Apps. "VR-SecureGo" und den Nachfolger "VR-SecureGoPlus". Die alte App "VR-SecureGo" wird ebenfalls bald abgeschaltet.

    • Günter Born sagt:

      Danke – das ist mir durchgerutscht – ich habe das im obigen Text mit Anmerkungen nachgetragen. Einziger Unterschied: VR-SecureGo plus unterstützt auch Kreditkarten-Transaktionen – der Rest ist wohl identisch – nur den Tracker hat man entfernt.

  5. Paul sagt:

    Es ist sehr mühsam eine universelle Android App zu schreiben und umfassend zu testen. "Richtige" Entwickler haben ganze Wände mit allen möglichen Smartphones tapeziert.
    Mir macht Sorge das da wohl Anfänger zugange waren, die das Embargo gegen Huawei nicht auf der Rille hatten (oder schlimmer: Ein Management die einen bestimmten Termin auf ihrer persönlichen Score Card haben und denen eigene Bonus wichtiger ist als das was Fachleute sagen.)

    Gegen Trojaner wollen solche Apps sich schützen, in dem sie sich weigern, auf Geräten zu laufen, auf denen sich jemand (Besitzer) root rechte verschafft hatte…

    Natürlich widerspricht das "Alles auf einer Hardware" dem 2FA Prinzip :
    Was ich weiß und was ich besitze und auf einem zuverläßlichen Display angezeigt bekomme kann so nicht erfüllt werden.
    Vermutlich zahlt die Versicherung der Banken Schäden ohne Zucken. Wie sich der aufgeklärte Kunde fühlt ist doch egal. Die anderen kann man ja belügen.

  6. Paul sagt:

    Bitte nicht übersehen, das nicht nur einToken generiert werden soll, sondern / vorallem die Daten der Transaktion "sicher" angezeigt werden sollen und der Kunde die Pflicht hat, diese zu prüfen.
    Verliest er sich hat er die A-Karte, nicht mehr die Bank..

    Gerne erinnert man sich an die Zeit, als reihenweise EC Karten mißbraucht wurden und die Banken darauf beharrten, dass das der Fehler des Kunden sein musste, da das (geheime) Verfahren absolut sicher sei.
    Man hat, lt. TV bericht, Kunden mit Strafanzeigen gedroht wenn sie darauf bestehen würden, das die PIN niemals ausgespät worden sein konnte. Selbst wenn der Kunde noch den original verschlossenen Umschlag vorweisen konnte.
    Irgendwann kam dann heraus, das u. U. eine PIN nur 33 Werte annehmen konnte, nicht 9999..

  7. Bernd Bachmann sagt:

    Da ich gelegentlich etwas mit der Finanzbranche zu tun habe, ein paar Informationen aus meinem persönlichen Umfeld — muss nicht für alle Banken gelten:

    – Wesentlicher Treiber sind nicht Kostenoptimierungs-Bemühungen seitens der bösen Banken, sondern der Wunsch einer grossen Mehrheit der Kunden, Login- bzw. Freigabe-Verfahren zu vereinfachen und insbesondere ohne zusätzliches Gerät (Kartenleser o.ä.) auszukommen. "Man" hat halt heutzutage gern alles auf dem Smartphone.

    – Das Argument "Fällt das Smartphone in fremde Hände und kennen Dritte die Zugangsdaten, können beliebige Transaktionen durchgeführt werden" zieht nicht, denn es gilt für die EC-Karte genauso bzw. sogar noch stärker, da es die (hoffentlich vorhandene) PIN, um das Smartphone zu entsperren, dort nicht gibt.

    – Ich persönlich teile Bedenken wie "Aber mein Bauchgefühl fragt mich, ob die App im Zweifelsfall per Trojaner ausgeforscht und ggf. der Aktivierungscode möglicherweise "entführt" werden kann". Und den mir bekannten IT-Security-Abteilungen geht das genauso. Weswegen, wiederum im mir persönlich bekannten Umfeld, solche App-Lösungen *sehr* intensiv hinsichtlich ihrer Sicherheit untersucht wurden. Die Leute wissen schon, was sie tun. Schliesslich ist das letzte, was eine Bank brauchen kann, in der Presse aufzutauchen, weil ihre Zugangsverfahren gehackt wurden.

    – Typischerweise werden ausserdem mit Einführung einer App-Freigabe-Lösung die Sicherheitsmassnahmen im Backend, also etwa Prüfung einer Transaktion auf Plausibilität, verschärft.

    Also alles gut? Nein, natürlich nicht. 100%ige Sicherheit gibt es nicht. Aber wenn Ihr mal drüber nachdenkt: Einen handschriftlich unterschriebenen Überweisungsauftrag auf Papier in den Briefkasten einer Bank — oder sogar den nächsten Post-Briefkasten — zu werfen, wie das früher üblich war, ist auch alles andere als sicher.

    • Günter Born sagt:

      Danke für die Insights – ich hadere halt mit meinem Bauchgefühl – und der Erfahrung "wenn ich mal meine dummen Finger irgendwo rein stecke und bohre, dass es schnell ein Beben gibt". Ich erinnere an den sicheren Sparkassen-Browser. Und beim chipTAN QR-Thema (Teil 3) habe ich bei der PR-Abteilung meiner Sparkasse mit einer Reihe Fragen nachgehakt – einige Tage später waren einige Sachen geändert (z.B. nur noch ein Leser im Angebot).

      Gibt mir zu denken, wenn ein kleiner Techblogger mit einigen wenigen Fragen da plötzlich Bewegung in Vorgänge bringt. Ich gebe die Hoffnung ja nicht auf, dass da viele Leute sich sehr viele Gedanken gemacht haben und die "richtigen" Kompromisse eingegangen sind. Aber es bleiben Zweifel, dass die Prämisse immer zutrifft …

      • Anonymous sagt:

        > Gibt mir zu denken, wenn ein kleiner Techblogger mit einigen wenigen Fragen …

        So geht es hier bei fast jeder WordPress Installation, an der gearbeitet werden soll, mit irgendwelchen Plugins, die fast immer schon bei grundlegenden Dingen offensichtlich fehlerhaft arbeiten, aber offenbar niemand das merkt oder meldet. Die Plugin Autoren sind meist recht dankbar, gesamt verwundert es aber schon, warum man offenbar fast der einzige ist, der das sieht…

  8. nook sagt:

    So lange sich die Kunden alles einfach überbügeln lassen …
    und die Jugend kann nicht mehr ohne apps!

    Ich schreibe gerade Banken zu dem Thema an, beispielhaft für viele Antworten: "Derzeit ist uns nichts bekannt, dass das SMART-TAN / Chip Tan Verfahren eingestellt wird."

    In meiner Mail steht dass ich ausschließlich Banking am PC unter debian mit jameica/hibiscus und Chip Tan nutze. Werde ich zu einer App gezwungen, muss ich das Konto kündigen!

    Ausschlaggebend war die Umstellung bei der DKB auf Debitkarten etc. Noch wird dort ChipTan angeboten, Neukunden müssen für die dazu benötigte Girocard aber schon bezahlen. Ist dann letztendlich eine Frage der Zeit …

    Sprecht mit Euren Bankern oder schreibt sie an, sonst überrollen die uns!

  9. SMSforever sagt:

    "das (unsichere) SMS-TAN-Verfahren"

    Den Nachweis, dass es sich beim SMS-TAN-Verfahren (in Deutschland) um ein unsicheres Verfahren handelt, bleiben alle Protagonisten schuldig.

    • Günter Born sagt:

      Nun ja, man könnte schlicht die Texte lesen und dem letzten Link in der weiterführenden Artikelliste folgen – dort hatte ich konkrete Fälle von SMS-TAN-Betrug thematisiert – im Blog gab es weitere Fälle. Oder wolltest Du nur trollen?

      • SMSforever sagt:

        Ich habe alles gelesen und kann keinen gehaltvollen oder im Verglauch zu anderen Systemen unsicheres Verfahren zur Kenntnis nehmen.

        Argument 1. "Eine Masche bestand darin, dass sich die Betrüger eine Ersatz-SIM-Karte des Opfers zusenden ließen und damit eigene mTANs mit dem Handy generieren konnten."

        Veralteter Wissensstand. Die deutschen Provider haben Geschäftsprozesse etabliert, die SIM-Swapping weitestgehend unterbinden. Außerdem können Betroffene die Provider in Regress nehmen und sich auf Swapping zurückzuführende Vermögensschäden erstatten lassen.

        Argument 2: "SMS und mTANs lassen sich abfangen."

        Jedes elektronische Signal kann abgefangen werden. Praxisfälle im Zusammenhang mit SMS lassen sich an einer Hand abzählen und sind statistisch irrelevant.

        Weitere oder stichhaltigere Argumente lassen sich deinen Links nicht entnehmen. Das SMS-Verfahren ist (in Deutschland) sicher und nicht unsererer als jegliche Alternative, die ebenfalls auf und mit einem Handy verwaltet wird. Anderslautende Behauptungen sind Propaganda.

        • Günter Born sagt:

          Na, dann ist ja gut …

        • Paul sagt:

          Das "Abfangen" (Mitlesen) der SMS hilft nichts.
          Der SMS Empfänger erhält ja nicht nur die 6 stellige"PIN"
          sondern auch die Info was wohin überwiesen werden soll. Wenn die Iban auf dem Handy mit "RO" anfängt, auf seinem Bildschirm aber mit "DE", wird er wohl stutzen…

          Das 3. Verfahren war IIRC noch, das der PC infiziert worden war, der dann das Handy "geupdated" hatte…
          etwas was bei Handies sehr selten vorkam, aber bei Smarties ein Grund ist, eine App die riesen groß ist und oft neue Updates bekommt sehr weit vorne zu listen,
          so das der Smartphone besitzer an so etwas gewöhnt ist…

  10. Paul sagt:

    "– Das Argument "Fällt das Smartphone in fremde Hände und kennen Dritte die Zugangsdaten, können beliebige Transaktionen durchgeführt werden" zieht nicht, denn es gilt für die EC-Karte genauso bzw. sogar noch stärker, da es die (hoffentlich vorhandene) PIN, um das Smartphone zu entsperren, dort nicht gibt."

    Welche PIN meinst Du?
    Die mit dem der Bildschirm verriegelt wird?
    Oh je…

    Also es kommt bei mir durchaus vor, das ich sehe dass ein Smart Phone in einem Lokal "alleine" auf dem Tisch liegt. Ich habe auch schon "live" erlebt, wie ein Diebespaärchen ihren Pullover auf den Tisch legte, als die Besitzerin auf der Tanzfläche war und dann Handy nebst Pullover mitgenommen haben. Ich, arglos, wunderte mich, warum die bei der Hitze einen Pullover rumgeschleppt hatte und den auf einen fremden Tisch gelegt hatte (das war eine halböffentlich Veranststaltung, die beiden, mit Migrationshintergrund, waren "Fremde" insofern waren sie mir aufgefallen..)Die Diebe haben das Handly zwar sofort ausgeschaltet und die SIM entnommen (damit ihnen der Diebstahl nicht so einfach nachgewiesen werden konnte, falls sie erwischt wurden) aber das Samrtphone war weg.
    Wann hast Du das letzte mal Deine Girokarte auf dem Tisch hingelegt, weil sie Dich beim Tanzen stören würde?

    Also ein ganz dünnes Brett.

    Ich selbst hatte mal meine Karte verschusselt.
    Mit meinem SmartPhone konnte ich die bei 116116 sperren lassen.

    Erzähl also bitte nicht, das das SmartPhone "sicherer sei" .

    App sind für die Banken weit billiger.
    Und wenn es so läuft, dass man Huawei Handy "vergißt" zu testen spricht das ebend nicht von Profis,

    • Bernd Bachmann sagt:

      Ich wollte auf Deine Rants ja eigentlich nicht eingehen, aber mich würde jetzt doch interessieren, wie Du auf die Idee kommst, dass eine App für die Bank billiger ist als ChipTAN (QR) oder ähnliche Verfahren.

      Zusätzliche Applikation, die entwickelt und gepflegt werden muss; basierend auf anderen Technologien; die auf einer Vielzahl unterschiedlichster Kundengeräte (!) laufen muss; die mittels entsprechender durchaus umfangreicher (auch Sicherheits-)Anpassungen in die bestehende Architektur und Applikationslandschaft der Bank eingebunden werden muss
      — vs. —
      kleinere Änderung an der vorhandenen Online-Banking-Software?

      • Paul sagt:

        Ja, so viel Text zu lesen ist heute nicht mehr drin.

        So gesehen hast Du recht.
        Nenne doch mal ein paar Zahlen mit Referenzen.
        Wäre nett.

        Ich werde sofort reumütig 1…2 Krokodils-Tränen weinen,
        weil ich mich getäuscht habe, und die lieben Banken doch so völlig selbstlos nur im Interesse der Mehrheit der Kunden handeln, und das mit der App, trotz der Kosten, nur machen, weil die "Überwiegende Mehrheiten" der Kunden ein 2. Gerät nervt(eine Mehrheit überwiegt immer und es kann nur eine geben.
        Alles andere ist Marketingsprech.)
        (Ich habe 3(!) Lese-Geräte und damit prima zurecht gekommen und bin jetzt genervt, weil ich 1 (rel. teueres, sensibles, nich Koch- und Schleuderfestes) Gerät mit mir rumschleppen muß.. weil halt die Mehrheit der Kunden völlig unbedarft ob er Probleme sind und auch gerne ohne TÜV und Sicherheits-Gurt autofahren. Den Rest regelt Darwins-Law.

        • Bernd Bachmann sagt:

          Paul, jetzt tu doch nicht blöder als Du (hoffentlich) bist. Natürlich machen das die Banken nicht "völlig selbstlos nur im Interesse der Mehrheit der Kunden", sondern weil sie morgen noch im Geschäft sein wollen.

          So etwas wie "N26" oder "Revolut" ist Dir ein Begriff? Du bist Bankmanager und möchtest nicht, dass die "Generation Smartphone", zu der selbst in Neuland-Deutschland > 70% der Bevölkerung zählen dürfte, zu solchen Buden abwandert, weil Du denen gern selbst eine Hypothek, einen Autokredit oder eine Versicherung verkaufen möchtest. Was machst Du also?

          Falls Du eine bessere Idee hast: Verrate sie hier nicht, kannst reich damit werden.

          • Paul sagt:

            Wer keine Argumente hat wird persönlich.

            Nun Bitte:
            EOT.

            BTW:
            Natürlich sind die Apps später im Unterhalt billiger. Oder was kostet eine neue Karte im Einkauf?

    • Anonymous sagt:

      Sehr schön sind auch die so tollen Entsperrmuster die man ohne Probleme durch das Fett der Finger beim "gegens Licht halten" erkennen kann.

  11. Paul sagt:

    "– Wesentlicher Treiber sind nicht Kostenoptimierungs-Bemühungen seitens der bösen Banken, sondern der Wunsch einer grossen Mehrheit der Kunden, Login- bzw. Freigabe-Verfahren zu vereinfachen und insbesondere ohne zusätzliches Gerät (Kartenleser o.ä.) auszukommen. "Man" hat halt heutzutage gern alles auf dem Smartphone."

    Boa.
    Hast Du in Deinem Auto einen Sicherheitsgurt?
    Macht es Dir Spaß damit herumfummeln zu müssen?
    Vielleicht gibt es auf YT noch ein paar Filme, was die Autofahrer von den Gurten hielten. Garnichts. Sie engten ein (es gab noch keine Automatik-Gurtel, Frauen passte er nicht etc.) Und trotzdem wurden, weil die wissenschaft die Sicherheit bestätigt hatte, sie Zwang und nichttragen unterstrafegestellt.

    Und Du sagst, es seinen halt die (mehrheitlich?) dummen Kunden die keine Sicherheit, sondern Bequemlickit wollen? Hast Du dafür referenzen, Quellen?
    Hallo? Ja natürlcih nervt es, nach 5 Minuten aus dem Bnaking geworfen zu werden und sich komplett neu anmelden zu müssen.
    So what?
    Es wird von PSD2 trotzdem vorgeschrieben. (Weil die Mehrheit der Kunden ja zu doff sind den Ausloggknopf zu finden…)

    Wie wäre es, wenn die Kunden die Zielkonten auf die sie elektronisch überweisen wollen "freischalten" müssen?
    Ich habe als Privatperson nur ganz wenige Zielkonten, und eine Firma wird ihr Geld auch nicht Geld auf Millionen ständig neue Konten verteilen.

    Wie wäre es, wenn eine elektronische überweisungen die erstmalig auf ein neues Ziel Konto erfolgte, zunächst "schwebend unwirksam" wäre, wie bei Lastschrifteinzug(SEPA).
    Geht nicht?
    Ach, wieso?

    Immerhin kann ich (inzwischen) Auslandsüberweisungen sperren.
    Freigeben muß ich dann aber alle Länder.
    Nein, ich muß nie etwas nach Rumänien überweisen, aber schon nach NL-
    Klar kostet das dann bis zu 158 Bit pro Kunde, und wie soll man das in Fortran programmieren, das niemand mehr wirklich durchschauen kann.

    Es würde also gehen, den Gaunern das Leben zu erschweren
    Klar, erschwert das den Kunden das Leben…

    Das ist halt das alte Dreieck zwischen

    Sicherheit vs. Komfort vs. Kosten.

    Ist so. Bleibt so.

  12. Paul sagt:

    "– Ich persönlich teile Bedenken wie "Aber mein Bauchgefühl fragt mich, ob die App im Zweifelsfall per Trojaner ausgeforscht und ggf. der Aktivierungscode möglicherweise "entführt" werden kann". Und den mir bekannten IT-Security-Abteilungen geht das genauso. Weswegen, wiederum im mir persönlich bekannten Umfeld, solche App-Lösungen *sehr* intensiv hinsichtlich ihrer Sicherheit untersucht wurden. Die Leute wissen schon, was sie tun. "

    Ist ja komisch.
    Natürlich WILL jeder Entwickler "seinen" Code sicher machen
    und glaubt perfekt zu sein.
    Und trotzdem gibt es immer wieder Fehler.
    Glaubst Du wirklich, das die Kollegen Banksoftware-Programmierer perfekte, fehlerfreie Software erstellen KÖNNEN? (Das sie es WOLLEN ist hoffentlich klar)

    "Schliesslich ist das letzte, was eine Bank brauchen kann, in der Presse aufzutauchen, weil ihre Zugangsverfahren gehackt wurden."

    Jupp.
    Da erinnere Dich mal an das Drama mit der EC-PIN.
    Das das Verfahren von Kriminelle geknackt worden ist haben die Banken geheim gehalten. Sie haben, lt. TV, einem Kunden, der seine PIN nie benutzt hatte, deren Umschlag noch orignal war, ein Angebot gemacht, das er nicht ablehene konnte:
    "Sie geben zu, das Sie nicht sicher sind, dass die PIN nicht doch ausgespät worden sein konnte. Dann zahlen Sie 100 Mark und den Rest trägt unsere Versicherung.
    Kann ausspähen nicht erfolgt sein, zahlt unserer Versicherung nicht."
    oder
    "Beharren Sie dadrauf, das Sie die PIN niemals benutzt haben, so müssen wir Sie leider leider wg. Betruges anzeigen und unsere Geschäftsbeziehun beenden. Der Schaden zahlen Sie, da die Versicherung natürlich nicht für Betrug eintritt."
    "Was möchten Sie?"
    So wurde das einst im TV sehr glaubhaft dargestellt.

  13. Paul sagt:

    "Einen handschriftlich unterschriebenen Überweisungsauftrag auf Papier in den Briefkasten einer Bank — oder sogar den nächsten Post-Briefkasten — zu werfen, wie das früher üblich war, ist auch alles andere als sicher."

    Du bist Marktingler und beauftragt hier zu schreiben? :-)

    Es ist wohl etwas ganz anderes, einen dinglichen Datenträger auszufüllen, mit einer Plausiblen Unterschruft zu versehen und dinglich in einen Postkasten zu werfen.
    Als in Rumänien am PC zu sitzen und von dort sich das Geld überweisen, oder?

    Ja Kinners,
    So war das damals wirklich bei der Postbank. Man warf einen "blauen Umschlag" mit der Überweisung oder gar dem Scheck drin in einen beliebigen gelben Postkasten. Und man bekam am nächsten Tag einen aktuellen Kontoauszug nach Hause geschickt! Irre, oder?
    Da wäre die Überweisung eines Dritten sofort aufgefallen.
    (Die Umschläge waren kostenlos.
    Einziger "Nachteil" des Kontos beim Postscheckamt:
    Der Dispo war minimal und mußte innerhalb von 30 Tagen wieder ausgeglichen sein. Also keine Schuldenfalle für junge Leute…)

    Aber was wäre ein Vergleich, der nicht hinkt?

  14. frank müller sagt:

    Bei meinen Betreibern kann ich zwar Anrufumleitung für Telefonanrufe umleiten, aber keine SMS .Die bekomme ich immer auf die ursprüngliche Nummer und nur dort !Die Banken (+EU Bürokraten) wälzen das Risiko auf die Kunden ab. Die werden in die Pflicht genommen und müssen sich umständliche Lösungen gefallen lassen. Wenn jemand die SMS über sein Smartphone per APP mit Call forwarding umleitet ist das seine Sache .Und sein Risiko . Daß jetzt dafür alle büßen müssen ist Geiselhaft !.Die Mobilfunkbetreiber sollten aus diesem Grund veranlaßt werden SMS nicht umzuleiten .Immer muß der Endkunde sich umständlich "kratzen"

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.