Problematik nicht verstanden

Benutzer tosho schrieb:

3 ct ist noch zuviel. Die sollen sich mal bei DHL ein Beispiel nehmen. Hier kommen die MTANs (auf Wunsch) schon in einer APP an.

Allerdings muss so eine APP auch erstellt werden und ein Server dahinter stecken. Das dürfte aber sich sicher im Rahmen halten. So eine APP schreibt man in 4 Stunden. Test und Prüfung auf Stabilität und Sicherheit sicher ein bisschen mehr. Aber das dürfte sich immer noch im Rahmen halten.

Die Sicherheit der SMS oder Chip-TAN rührt daher dass die Daten 2 unterschiedliche Wege gehen, die beide vom Hacker übernommen werden müssen. Die Zugangsdaten und Passwort laufen übers Internet und die TAN wird von der Bankkarte im TANGen oder per SMS direkt vom Server der Bank verschickt. Bei Push-TAN, was es ja je nach Bank gibt ist trotz verschiedenster Sicherheitsmaßnahmen kaum die Sicherheit von SMS und ChipTAN erreichbar.

Ich sag auch: Klar soll die SMS-TAN was kosten, den die Kosten entstehen der Bank ja unmittelbar. Und es gibt ja einen zumutbahren Weg über den ChipTAN. Anders wäre es wenn es nur SMS TAN gibt, dann wäre das die Einzige Möglichkeit und die sollte dann auch nicht extra kosten.

Grau ist alle Theorie. SMS ist ein zweiter, aber schlecht geschützter Kanal.
Bei den SMS gibg es gleich mehrere Angriffswege und es sind schon gut gefüllte Konten leergeräumt worden:

- Betrüger konnten schon Nummern portieren durch lasche Kontrollen der Netzbetreiber.
- Betrüger haben sich schon erfolgreich Zweit-/Ersatz SIM Karten angefordert durch lasche Kontrollen bei den Netzbetreibern.
- Apps auf dem Smartphone können SMS auslesen. Ja, der Benutzer muss die Berechtigung abnicken. Aber da gängige Apps wie WhatsApp oder Facebook Messenger nach dieser Berechtigung fragen, dürfte das kein so grosses Hinderniss mehr sein.
- Insbesondere die GSM Netze sind in ihrer Verschlüsseldung sehr schwach. Ein Abhören der SMS "in der Luft" ist heute realistisch. Im Ausland soll es nochimmer GSM Netze sogar ganz ohne Verschlüsselung geben. Nur sehr alte Geräte zeigen dann einen Warnhinweis. Dank an die Mobilfunkanbieter, dass sie das bei den Geräteherstellern durchgesetzt haben.
- Solange es eingeschaltet ist, wäre auch der Diebstahl des Handies denkbar. Es ist relativ einfach, die SIM Karte so aus dem Gerät zu extrahieren, dass die Stromversorgung nicht unterbrochen wird. Dann wird die PIN nicht benötigt. Eine Bildschirmsperre auf dem Gerät nützt dagegen nichts.

Die Sicherheit der PushTAN hängt vor allem davon ab, ob der Benutzer für Banking und TAN das gleiche Smartphone benutzt. Ein PC übers heimische Internet und ein Smartphone über das Mobilfunknetz wären gut getrennte Systeme und andere Apps können nicht die PushTAN auslesen, wenn das Gerät nicht gerootet o.Ä. ist. Beim Diebstahl des Gerätes wäre noch ein Passwort der PushTAN App "davor" und eine Ersatz SIM nützt nichts.

Aus Bequemlichkeit beides über das gleiche Gerät machen ist natürlich Mist. Das sollten die Banken (so weit wie möglich) auch ausschliessen. Man könnte den Zugang mit mobilen Browsern oder Smartphone Apps ja nur Kunden erlauben, die einen separaten TAN Generator verwenden. Leider ist die Wirklichkeit anders.

Benutzer k-ham schrieb:

Ich sehe keinen prinzipiellen Sicherheitsgewinn von SMS zu einer App, die die TAN übermittelt. Beides läuft über's Smartphone und ist somit angreifbar. Ich persönlich habe keine Lust, mir für jeden einzelnen Bankzugang, jede einzelne Mediathek und sonstige Dienste jeweils eine extra App zu installieren, und bleibe deshalb bei der SMS, die, wie schon gesagt, die Banken praktisch gar nichts kostet, sondern im Gegenteil Voraussetzung für ihren Personalabbau ist.

Davon abgesehen: Leute, die eine Überweisung komplett auf dem Handy abwickeln wissen offensichtlich nicht, was sie tun. Aber das ist ja eine ganz andere Geschichte

Benutzer tosho schrieb:

Wenn der Kunde eine Preisliste akzeptiert, verstehe ich sowieso nicht, wo hier die Grundlage für eine Klage zu finden sein soll. Ob man das jetzt "Überweisungskosten" oder "SMS-Kosten" nennt, ist vollkommen egal. Und ob das Konto eine Grundgebühr kostet oder nicht, ist ebenfalls egal.