Mobile Banking - PIN-Sicherheit

Mobile Banking Apps mögen technisch so sicher sein wie sie mögen, aber sobald die SMS-TAN oder mTAN auf das gleiche Smartphone oder Tablet gelangt, von wo auch die Buchung vorgenommen wird, lässt sich der Vorgang hacken!

Nach dem man in the middle Prinzip kann dann die TAN abgefangen werden und eine eigene Buchung vorgenommen werden, während der User vergeblich auf seine (richtige...) TAN wartet.

Das wurde schon mehrfach getestet und für schlecht befunden!

Einzig ein (evtl. altes) Zweithandy (z.B. mit einem Discounttarif ohne Grundgebühr) hilft den TAN-Empfang per SMS sicher zu machen.

Alle anderen Methoden TAN zu erzeugen halte ich für unsicher. Wenn sie auf einer Liste stehen, wie früher, entstammen sie einem Algorythmus, der nach relativ wenigen Buchungen die nächsten TAN mit zunehmender Zuverlässigkeit errechnen lässt. Kleine TAN-Automaten beim Bankkunden machen das Gleiche: sie berechnen die oder sogar nur eine neue gültige PIN nach der Folge der bisherigen. Einzig bei der SMS-TAN / mTAN können zufällige Dinge, wie die 1/100-stel Sekunde bei der Abfrage oder andere zufällige Variablen mit einbezogen werden, wenn die TAN mit einem Pseudo-Zufallszahlen-Generator erstellt wird. Sie muss zur Sicherheit auf einem anderen Weg zum User gelangen als über die laufende Online-Verbindung zur Bank, über die die Anfrage einer gültigen TAN kam!

Das ist ein sehr wichtiges Sicherheitsproblem beim Online-Banking!