1. Foren
  2. Kommentare
  3. Wirtschaft
  4. Alle Kommentare zum Artikel
  5. › Onlinebanking: Bankbetrüger klauen…

MTAN ist also noch immer sicher

Helft uns, die neuen Foren besser zu machen! Unsere kleine Umfrage dauert nur wenige Sekunden!
  1. Thema

Neues Thema Ansicht wechseln


  1. MTAN ist also noch immer sicher

    Autor: dabbes 25.10.13 - 13:56

    nur die Rahmenbedingungen unterwandern die Sicherheit.

  2. Re: MTAN ist also noch immer sicher

    Autor: Citrixx 25.10.13 - 14:02

    dabbes schrieb:
    --------------------------------------------------------------------------------
    > nur die Rahmenbedingungen unterwandern die Sicherheit.

    Nach dieser komischen Logik wären auch die alten TAN-Listen aus Papier noch "sicher". Du darfst eben als "Rahmenbedingung" einfach keinen Trjoaner auf dem Rechner haben - haha.

    Ach was, wozu überhaupt TANs, mit den richtigen "Rahmenbedingung" reicht auch der blanke Login ins Onlinebanking nur mit den Zugangsdaten.

  3. Re: MTAN ist also noch immer sicher

    Autor: justanotherhusky 25.10.13 - 14:24

    Nunja es geht darum, dass MTAN an sich, also das Verfahren nicht geknackt wurde. Sprich es ist einem Angreifer nicht möglich, selbst gültige MTANs zu generieren und damit beliebige Transaktionen von beliebigen Konten zu autorisieren.

    Insofern ist MTAN noch immer sicher. Der genannte Angriff beruht auf Schadsoftware, Ausspähen und Identitätsdiebstahl, was leider bei sehr vielen Authentifizierungssystemen funktioniert.

  4. Re: MTAN ist also noch immer sicher

    Autor: Zitrone 25.10.13 - 14:31

    nach der logik sind die alten tan listen auch noch sicher. betrüger konnten hier ja keine eigenen tans errechnen, sondern haben sie vom kunden abgefischt oder par man-in-the-middle die aufträge geändert.
    mtan ist sicherer als tan, da bei mtan eine physische komponente greift. die multisim muss bestellt und gelierfert werden. Da die telefonanbieter hier geschlafen haben, ist jetzt der schaden da.
    ich greife weiterhin zum chiptan verfahren. das kleine gerät hat 10¤ gekostet und die batterie soll für 10.000 tans reichen. macht 0,1 Cent pro tan und ist somit günstiger als mtan (zumindest wurde mir damals gesagt, dass ich die sms bezahlen muss)

  5. Re: MTAN ist also noch immer sicher

    Autor: Vradash 25.10.13 - 14:37

    Citrixx schrieb:
    --------------------------------------------------------------------------------
    > dabbes schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > nur die Rahmenbedingungen unterwandern die Sicherheit.
    >
    > Nach dieser komischen Logik wären auch die alten TAN-Listen aus Papier noch
    > "sicher". Du darfst eben als "Rahmenbedingung" einfach keinen Trjoaner auf
    > dem Rechner haben - haha.
    >
    > Ach was, wozu überhaupt TANs, mit den richtigen "Rahmenbedingung" reicht
    > auch der blanke Login ins Onlinebanking nur mit den Zugangsdaten.

    Sind sie auch. TAN-Listen sind erst kompromittiert wenn der Nutzer blöd (Sorry ;) ) genug ist, seine Nummern inklusive der Bankdaten (!) auf einer Phishing-Seite einzutippen. Das Problem sitzt da vor'm Rechner.

    Schadsoftware ist da eine andere Kiste, klar. Natürlich kann man sich durch Einschalten des Gehirns davor schützen, jedoch ist es wesentlich 'leichter' sich als Durchschnittsnutzer Schadsoftware einzufangen.

  6. Re: MTAN ist also noch immer sicher

    Autor: amk 25.10.13 - 16:25

    dabbes schrieb:
    --------------------------------------------------------------------------------
    > nur die Rahmenbedingungen unterwandern die Sicherheit.

    Jedes TAN-Verfahren stellt Bedingungen auf, damit es als sicher gilt. Eine Bedingung bei mTAN ist, dass Handys hochsicher sind. Das mag vor 20 Jahren mal so gewesen sein, als Handys noch strunzdumm waren, doch bereits zur Einführung der mTAN war es ganz normal, sich beliebige Apps aufs Handy zu laden. Handys sind offen wie ein Scheunentor. An Handys ist überhaupt nichts sicher. Ist auch überhaupt nicht deren Anspruch. Handys sind Spaßgeräte.

    Die mTAN war von Anfang an höchst unsicher, weil sie nie eine sichere Grundlage hatte. mTAN verlässt sich wesentlich auf die Sicherheit einer dritten Partei (Mobilfunkanbieter), die aber weder Bank noch Kunde unter Kontrolle haben. Das mTAN-Verfahren war von Anfang an lächerlich.

    Unseriöse Banken haben mTAN eingeführt, seriöse sind bei Papier-TAN geblieben.

  7. Re: MTAN ist also noch immer sicher

    Autor: casaper 25.10.13 - 16:28

    dabbes schrieb:
    --------------------------------------------------------------------------------
    > nur die Rahmenbedingungen unterwandern die Sicherheit.

    Wenn der User seine ganze Liste eintippt oder einer "man-in-the-middle" attack zum Opfer fällt ist das genau so.
    Ein Nullsummenargument.

  8. Re: MTAN ist also noch immer sicher

    Autor: amk 25.10.13 - 16:52

    Zitrone schrieb:
    --------------------------------------------------------------------------------
    > nach der logik sind die alten tan listen auch noch sicher. betrüger konnten
    > hier ja keine eigenen tans errechnen, sondern haben sie vom kunden
    > abgefischt oder par man-in-the-middle die aufträge geändert.
    > mtan ist sicherer als tan, da bei mtan eine physische komponente greift.

    Nein, das ist falsch. mTAN ist erheblich unsicherer als Papier-TAN.

    Bei Papier-TAN muss für jede einzelne TAN der Kunde überlistet werden, diese vom Papier abzutippen. Früher oder später fällt ihm auf, dass die TANs nicht die Aktionen auslösen, die er gerne hätte. Der Schaden ist also begrenzt, selbst wenn der Kunde Fehler gemacht hat.

    Bei mTAN kann sich der Angreifer beliebig viele TANs selbst generieren und in Ruhe den Kunden finanziell komplett ruinieren. Hier ist bereits ein einziger Fehler des Kunden absolut fatal und kann seine Existenz bedrohen.

    > die multisim muss bestellt und gelierfert werden. Da die telefonanbieter
    > hier geschlafen haben, ist jetzt der schaden da.

    Die Telefonanbieter sollten das zwar etwas besser kontrollieren, aber Telefon/Mobilfunk waren nie auf Hochsicherheit ausgelegt und werden auch nicht so beworben. Banken haben sich dieser dritten Partei bedient und ihre gesamte Sicherheit darauf aufgebaut. Die Schuld liegt eindeutig bei den Banken, die mTAN verwenden. mTAN war von Anfang an höchst unsicher.

    > ich greife weiterhin zum chiptan verfahren. das kleine gerät hat 10¤
    > gekostet und die batterie soll für 10.000 tans reichen. macht 0,1 Cent pro
    > tan und ist somit günstiger als mtan (zumindest wurde mir damals gesagt,
    > dass ich die sms bezahlen muss)

    Dass man bei diversen Banken für mTAN pro SMS bezahlen muss, unterstreicht leider die Gier der Banken und die Missachtung der Interessen ihrer Kunden.

    Verfahren mit externen Geräten, die nahezu unmöglich infizierbar sind, sind zwar recht sicher, doch unpraktisch, wenn man Online-Banking nicht ausschließlich von zu Hause machen möchte. Vielen mag das freilich ausreichen, aber wenn man häufig unterwegs ist, ist es halt toll, Online-Banking (daher der Name) praktisch von überall machen zu können. Die Bindung an die Filiale (wie ganz früher) oder bestimmte Spezial-Geräte nimmt leider viel Flexibilität weg.

  9. Re: MTAN ist also noch immer sicher

    Autor: dabbes 25.10.13 - 17:12

    Und wenn jemand Gedanken lesen kann, dann ist eh essig ;-)

  10. Re: MTAN ist also noch immer sicher

    Autor: Anonymer Nutzer 26.10.13 - 00:19

    dabbes schrieb:
    --------------------------------------------------------------------------------
    > nur die Rahmenbedingungen unterwandern die Sicherheit.

    Nö, die Provider tun dies xD

  11. Re: MTAN ist also noch immer sicher

    Autor: crazypsycho 26.10.13 - 17:59

    > Nein, das ist falsch. mTAN ist erheblich unsicherer als Papier-TAN.
    Das ist Schwachsinn hoch 10!

    > Bei Papier-TAN muss für jede einzelne TAN der Kunde überlistet werden,
    > diese vom Papier abzutippen. Früher oder später fällt ihm auf, dass die
    > TANs nicht die Aktionen auslösen, die er gerne hätte. Der Schaden ist also
    > begrenzt, selbst wenn der Kunde Fehler gemacht hat.
    Bei Papier-TAN reicht ein Trojaner oder sogar eine einfache Phishing-Seite.
    Es genügt völlig wenn man eine TAN erbeutet. Denn diese ist Universal und kann für jede beliebige Transaktion verwendet werden.

    Bei mTAN hat Phishing oder ein Trojaner keine Chance. Die haben dann nur die Login-Daten, mit denen können aber keine Transaktionen durchgeführt werden.
    Selbst wenn der Trojaner die Ausgabe des Onlinebanking verändert und die Transaktion anstatt 10¤ in Wirklichkeit 10000¤ beträgt, so sieht man das eindeutig in der SMS die man erhält.

    > Bei mTAN kann sich der Angreifer beliebig viele TANs selbst generieren und
    > in Ruhe den Kunden finanziell komplett ruinieren. Hier ist bereits ein
    > einziger Fehler des Kunden absolut fatal und kann seine Existenz bedrohen.
    Vollkommen falsch. Bei Papier-TAN reicht ein einziger Fehler (Trojaner oder Phishing).
    Bei mTAN bräuchte es schon Trojaner auf PC und Smartphone (oder unfähigen Provider). Wären also bereits zwei Fehler.

    > > die multisim muss bestellt und gelierfert werden. Da die telefonanbieter
    > > hier geschlafen haben, ist jetzt der schaden da.
    >
    > Die Telefonanbieter sollten das zwar etwas besser kontrollieren, aber
    > Telefon/Mobilfunk waren nie auf Hochsicherheit ausgelegt und werden auch
    > nicht so beworben. Banken haben sich dieser dritten Partei bedient und ihre
    > gesamte Sicherheit darauf aufgebaut. Die Schuld liegt eindeutig bei den
    > Banken, die mTAN verwenden. mTAN war von Anfang an höchst unsicher.
    mTAN war und ist niemals unsicher. Und das der Provider eine Sim-Karte nicht an Fremde aushändig ist ja wohl selbstverständlich. Derjenige könnte mit der Sim ja auch Premiumdienstleistungen bestellen und erhält meine SMS und Anrufe.

    > > ich greife weiterhin zum chiptan verfahren. das kleine gerät hat 10¤
    > > gekostet und die batterie soll für 10.000 tans reichen. macht 0,1 Cent
    > pro
    > > tan und ist somit günstiger als mtan (zumindest wurde mir damals gesagt,
    > > dass ich die sms bezahlen muss)
    Ich kenne keine Bank bei der man für die SMS bezahlen muss.

    > Dass man bei diversen Banken für mTAN pro SMS bezahlen muss, unterstreicht
    > leider die Gier der Banken und die Missachtung der Interessen ihrer
    > Kunden.
    Das müssen ja komische Banken sein.

  12. Re: MTAN ist also noch immer sicher

    Autor: amk 26.10.13 - 18:35

    crazypsycho schrieb:
    --------------------------------------------------------------------------------
    > > Bei Papier-TAN muss für jede einzelne TAN der Kunde überlistet werden,
    > > diese vom Papier abzutippen. Früher oder später fällt ihm auf, dass die
    > > TANs nicht die Aktionen auslösen, die er gerne hätte. Der Schaden ist
    > also
    > > begrenzt, selbst wenn der Kunde Fehler gemacht hat.
    > Bei Papier-TAN reicht ein Trojaner oder sogar eine einfache
    > Phishing-Seite.
    > Es genügt völlig wenn man eine TAN erbeutet. Denn diese ist Universal und
    > kann für jede beliebige Transaktion verwendet werden.

    Eine einzelne TAN ist unattraktiv, weil es Überweisungslimits und Referenzkonten gibt. Der Schaden hält sich dadurch in Grenzen. Papier-TAN setzt dem Angreifer also klare Grenzen. Nicht ohne Grund zielten Angriffe auch selten darauf ab, einzelne Papier-TANs zu erbeuten, sondern mehrere zusammen.

    Bei der mTAN hat der erfolgreiche Angreifer unbegrenzt TANs zur Verfügung und kann das Opfer vollständig ruinieren. mTAN kann unbegrenzt Schaden anrichten.

    > Bei mTAN hat Phishing oder ein Trojaner keine Chance. Die haben dann nur
    > die Login-Daten, mit denen können aber keine Transaktionen durchgeführt
    > werden.

    Du irrst. Betrachte den aktuellen Fall. Bei mTAN reicht allein der Trojaner. An die SMS kommt man auch ganz ohne "Mithilfe" des Opfers mühelos per SIM-Klau.

    Bei Papier-TAN reicht der Trojaner nicht, sondern man das Opfer für jede TAN erneut überlisten, diese preiszugeben.

    Papier-TAN bietet höheren Schutz als mTAN.

    > > Bei mTAN kann sich der Angreifer beliebig viele TANs selbst generieren
    > und
    > > in Ruhe den Kunden finanziell komplett ruinieren. Hier ist bereits ein
    > > einziger Fehler des Kunden absolut fatal und kann seine Existenz
    > bedrohen.
    > Vollkommen falsch. Bei Papier-TAN reicht ein einziger Fehler (Trojaner oder
    > Phishing).

    Okay, Du kennst Papier-TAN offensichtlich nicht, und den Artikel über mTAN-Missbrauch hast Du ebenfalls nicht gelesen. Bitte tu das, sonst verstehst Du nicht, wovon die Leute hier reden.

    Papier-TAN muss das Opfer abtippen. Jede einzeln! Da hilft ein Trojoner allein gar nichts.

    Bei mTAN reicht der Trojaner allein. Die SMS bekommt man per SIM-Klau, ohne dass der Kunde es verhindern kann.

    > Bei mTAN bräuchte es schon Trojaner auf PC und Smartphone (oder unfähigen
    > Provider). Wären also bereits zwei Fehler.

    Nein, Du irrst, siehe den aktuellen Fall.

    >> mTAN war von Anfang an höchst unsicher.
    > mTAN war und ist niemals unsicher.

    mTAN war von Anfang an ein kaputtes Design - das haben alle gewusst. Aber mTAN war bequem und hat über die SMS-Kosten den Banken zusätzliche Einnahmen gebracht.

    > Und das der Provider eine Sim-Karte
    > nicht an Fremde aushändig ist ja wohl selbstverständlich.

    SIM-Karten wurden noch nie "persönlich" ausgehängt, sondern normal per Post verschickt. Die kann jeder klauen mit hinreichend krimineller Energie.

    Das war bisher auch kein Drama, weil der Schaden durch eine geklaute SIM-Karte überschaubar war. Das haben die Mobilfunkprovider dann eben gezahlt.

    Aber an der SIM-Karte plötzlich die finanzielle Existenz eines Menschen festzumachen, ist eine völlig neue Dimension. Das hätten die Banken vorher mit den Mobilfunkprovidern absprechen müssen.

    > Derjenige könnte
    > mit der Sim ja auch Premiumdienstleistungen bestellen und erhält meine SMS
    > und Anrufe.

    Das passiert gelegentlich, und die Mobilfunkprovider kommen für den Schaden auf. Das ist billiger, als jede SIM-Karte vorsorglich mit Hochsicherheitskurier zu verschicken.

    > Ich kenne keine Bank bei der man für die SMS bezahlen muss.

    Vielleicht könntest Du Dich vor Deinem nächsten Beitrag über das Thema schlau machen. Es ist ermüdend, mit jemandem zu diskutieren, der noch nicht einmal den aktuellen Fall kennt, über den hier geredet wird.

  13. Re: MTAN ist also noch immer sicher

    Autor: Anonymer Nutzer 26.10.13 - 19:34

    Ich kenne den aktuellen Fall und halte deine Argumentation trotzdem für Blödsinn!

    Ob ich jetzt per Mobilfunkprovider SMS Dienst eine mTAN habe oder per Papier eine Liste mit vielen TAN drauf, unterm Strich ist es scheißegal und ich habe viele mögliche TAN die ich nutzen kann! Und da nimmt das eine dem anderen überhaupt gar nichts!

    Und hätte der Mobilfunkprovider hier nicht so grausam geschludert und unbekannten fremden Dritten einfach eine SIM eines Kunden übermittelt, wäre das hier gar nicht passiert! Das hat GAR NICHTS mit "geschütztem Kurier" oder anderem Quatsch zu tun, sondern zeigt einfach auf, daß die Mobilfunkprovider an falsche Adressen UND sogar ohne jegliche Sicherheitsfrage Aufträge per Telefon entgegennehmen. Und das IM NAMEN des Kunden! Sowas geht gar nicht! Und ob ich jetzt einen Identitätsdiebstahl begehe beim Post Empfang oder aber beim SIM Karten Empfang macht unterm Strich auch keinerlei Unterschied! Ich habe die Möglichkeit den Angriff durchzuführen, so oder so! Und das gleichermaßen schlimm für den Kunden! Genau diesem Identitätsdiebstahl haben aber die Dienstleistungsfirmen entgegenzutreten! Ein einfaches bei Vertragsbeginn festgelegtes Kundenkennwort das abgefragt wird vor der Annahme einer Bestellung hätte ausgereicht! Der Angreifer hätte hier nicht gewusst was der Kunde für ein Passwort genutzt hätte und wäre nicht weitergekommen. Auch daß man einfach an eine fremde Adresse liefern lassen kann ohne jegliche weitere Sicherheitsvorkehrung ist ein Unding! Sowas ist grob fahrlässig!

    Abgesehen von den Gefahren beim Postversand oder SMS Versand (BEIDE Wege bieten Gefahren!!!) ist das TAN verfahren über BEIDE Wege gleichermaßen "sicher"! Unsicher wird es erst, wenn der Versandweg kompromittiert wird. Und dafür kann nur der Versand Dienstleister etwas, der in dem Falle dann geschlampt hat!

  14. Re: MTAN ist also noch immer sicher

    Autor: crazypsycho 26.10.13 - 19:41

    Mit dir zu diskutieren bringt nix. Du bist beratungsresistent und meinst das ein Verfahren was ich mit einem Trojaner vollends aushebeln kann sicherer wäre als eines bei dem nur ein Trojaner nichts bringt.
    Mir ist das zu blöd.

  15. Re: MTAN ist also noch immer sicher

    Autor: Anonymer Nutzer 26.10.13 - 19:54

    crazypsycho schrieb:
    --------------------------------------------------------------------------------
    > Mit dir zu diskutieren bringt nix. Du bist beratungsresistent und meinst
    > das ein Verfahren was ich mit einem Trojaner vollends aushebeln kann
    > sicherer wäre als eines bei dem nur ein Trojaner nichts bringt.
    > Mir ist das zu blöd.

    Nicht nur das...
    Er begreift ebenfalls nicht, daß es vollkommen egal ist, ob es hier um mTAN oder papier TAN geht! Beide Sachen werden über Versandwege geschickt (einmal digital über SIM und einmal analog über Briefkasten) und BEIDE Wege können über Identitätsdiebstahl angegriffen werden! WENN der Postbote oder aber der SIM Karten herausgeber keinerlei Sicherheitsmaßnahmen hat! Der Postbote kann zB. vor Direktabgabe von Briefen den Perso erfragen und der Mobilfunkprovider ein Kennwort für Telefonaufträge festlegen! Es geht hier primär nicht um die ART des Versandes von TAN noch um deren Sicherheit (sie SIND sicher!) sondern um die Sicherheit des Versandweges! Und hier sind BEIDE sicher, so lange die Dienstleister keinen grob fahrlässigen Mist bauen!

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. DECATHLON Deutschland SE & Co. KG, Plochingen
  2. ifp ? Personalberatung Managementdiagnostik, Rheinland
  3. KRATZER AUTOMATION AG, Unterschleißheim
  4. über Hays AG, München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 169,90€ (Vergleichspreis 204,68€)
  2. 29,99€ (Bestpreis!)
  3. 9,99€ (Vergleichspreis 17,21€)
  4. 44,99€ (Vergleichspreis 56,61€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme