Kurzfassung

Das ist aber nur die Kurzfassung des mangelhaften Artikels!

Benutzer Oetker schrieb:

Ja. Das ist allerdings kein wirkliches Problem!


Das ist natürlich Quatsch.
Ich schenke dir mal eine meiner mTANs: 463895
Was kannst du damit anfangen?



Was wissen die Volksbanken?
Sie wissen, daß das System mTAN sicher ist, und:
Sie wissen, dass manche ihrer Kunden einfach unfähig sind, Onlinebanking zu betreiben, es aber trotzdem machen!

Natürlich, warum auch nicht? Das System ist sicher aber die Kunden sind es nicht!

Die einzige Alternative ist nur unfähige Kunden vom Onlinebanking auszuschließen!

Wer seine Konto**zugangs**daten anderen übermittelt und Onlinebaknig auf unsicheren Geräten macht, muß ausgeschlossen werden!
Anders geht es nicht.


Das glauben sie nicht - das sagen sie!
Sollen sie sagen: Manche Kunden sind einfach nicht in der Lage, Onlinegeschäfte durchzuführen. Für die wäre es besser, wenn sie weiterhin bar zahlen!?

MTAN ist absolut sicher, wenn man die mTAN an einem unabhängigen Gerät empfängt und das eigentliche Banking an einem anderen Gerät macht ***und***

die Bankzugangsdaten niemandem mitteilt!

_________
Nachtrag: Beim Abschluß eines Onlinekontos wird man zigmal belehrt, dass die Zugangsdaten geheimzuhalten sind.

Das unterschreibt jeder Kunde mehrfach!

Nur mit der mTAN alleine kann man *nichts* anfangen!

Die Betrüger müssen also auch die Zugangsdaten vom Bankkunden bekommen haben. DAS ist das Problem! Das alleine!

Wenn die mTAN "abgefangen" wird, hat man trotzdem keinen Zugriff auf die Zugangsdaten. Das sind zwei verschiedene Dinge!

Man muß eben beim Onlinebanking seinen Kopf einschalten und auch dazu in der Lage sein! Dann ist es sicher, auch mit mTAN!

Benutzer machtdochnichts schrieb:

Sehe ich nicht so. Die TAN dient ja als zusätzliche Sicherheit, falls jemand unbefugtes im Besitz der Zugangsdaten ist. Diese Funktion kann mTAN nicht mehr erfüllen. Wenn die Bankzugangsdaten an sich schon so sicher wären, bräuchte man ja überhaupt keine TANs mehr.

Benutzer Oetker schrieb:
Das ist dein/Ihr gutes Recht!


Hier ist leider der Fehler!
Eine TAN ist ein "zusätzlicher" Schutz ja.

Aber gegen Dummheit (entschuldige bitte, aber jetzt muß ich es mal so deutlich schreiben) schützt auch ein zusätzlicher Schutz nichts!

Was nützt ein Feuerlöscher, wenn ich im Wohnzimmer ein offenes Feuer entfache?

Beliebt sind ja auch Autovergleiche:
Wenn ich mit selbst zerstörten Bremsen (Zugangsdaten) fahre, nützt auch ein Sicherheitsgurt (TAN) nichts!


Natürlich kann sie das.
Onlinebanking wird auf einem Gerät gemacht. Die Zugangsdaten kennt nur der Kunde und die Bank. Niemand anderes.

Die TAN (hier mTAN) kommt auf einem völlig anderen Gerät an! Das ist nur eine Ziffernkombination, mit der man absolut nichts anfangen kann.
Die mTAN ist beispielsweise 458123.

Was will man damit machen, man kennt weder die Kontonummer, noch die Zugangsdaten zur Bank.


Man bräuchte auch keine Feuerlöscher oder Sicherheitsgurte, wenn der Mensch genügend natürliche Intelligenz hätte.

Aber leider wird heute suggeriert, dass jeder Onlinebanking machen kann, unabhängig von seinem Kenntnisstand. Es ist ja sooooo kinderleicht. Einfach Wisch und Klick......



PS:
Achtung: Ich halte mich nicht für intelligenter als andere Menschen!!!!
Aber ich mache nur Dinge, von denen ich etwas verstehe.
Am Stromnetz oder an der Gasleitung würde ich auch nicht "rumbasteln", weil ich davon keine Ahnung habe. Auch an die Sicherheitssysteme meines Autos lasse ich nur Fachleute und fummle nicht selber dran rum.

Und auch für Onlinebanking braucht man ein gewisses Grundwissen und Verantwortungsgefühl. Beides fehlt leider oft, sonst hätten es Betrüger nicht so leicht.

Sicher gibt es auch einige Nutzer, die leichtfertig mit ihren Zugangsdaten umgehen. Da fehlt mir dann ehrlich gesagt auch das Mitleid, wenn diese zum Opfer werden. Der Großteil der Zugangsdaten wird aber durch sehr gut gemachte Software erbeutet, die in der Regel Windows PCs oder Smartphones befällt. Ein 100%iger Schutz davor ist nicht möglich, wenn man Windows benutzt. Man kann das Risiko lediglich gering halten. So ziemlich jeder kann da also zum Opfer werden. Die Software meldet erbeutete Zugangsdaten an an die Bösewichte weiter. Wenn jetzt beispielsweise ein DKB Kunde darunter ist, könnten die Betrüger zwar den Kontostand einsehen, aber keine Überweisungen ausführen. Die DKB verwendet nämlich ausschließlich ChipTAN oder PushTAN. Beides sehr sichere Verfahren. Damit sind die erbeuteten Daten für die Betrüger erst mal uninteressant. Wenn nun die Zugangsdaten eines Volksbank Kunden übermittelt werden, wird es für die Betrüger interessant. Denn die Volksbank verwendet mTAN, und mTANs kann man im Mobilfunknetz abfangen und damit Überweisungen tätigen. Und genau das passiert dann auch. Man muss also jederzeit damit rechnen, dass trotz aller eigenen Bemühungen die eigenen Zugangsdaten erbeutet werden. Und dann zählt nur noch, ab man ein sicheres TAN Verfahren verwendet. Und mTAN gehört eben nicht dazu.

Benutzer Oetker schrieb:

;-) Ich benutze kein Windows. :-))))))))


Aber auch bei einem Windowsystem, kann man einigermaßen beeinflussen, WAS man sich installiert und WOHER das installierte kommt.

Und man muß auch nicht jedes Programm ausführen, dass man per eMail bekommt. Allerdings sind wir hier wieder beim Thema "Grundkenntnisse" der Computerei.
Ein wenig sollte man schon wissen, was man macht.


So wie bei mir auch.


Und eine meiner Banken versendet noch mTAN.


Ähnlich sicher wie mTAN.


So bei mir auch. Man könnte den Kontostand und die Umsätze sehen, aber nichts überweisen.
Zusätzlich sehe ich in meinem Bankingprogramm die letzten Zugriffe. Wenn ich das nicht war, ändere ich sofort mein Zugangskennwort. Das ist aber noch nie vorgekommen.


Wie das?
In der abgefangenen mTAN steht doch nur 879158.
Dem Mobilfunknetz ist weder die Überweisung selber, noch Kontonummer noch Zugangsdaten bekannt.
Die "abgefangene" mTAN ist nur: 879158. Nichts weiter.


Dann müssen doch aber die TAN auf dem Smartphone und die Kontozugangsdaten auf dem PC (Laptop/Tablet/anders Smartphone) irgendwie zusammengeführt werden.

Wie soll das gehen. Es sind zwei voneinander unabhängige Geräte.
Selbst wenn der Windows-PC bereits angegriffen ist, weiß er nicht, was auf dem Telefon passiert. Die sind doch nicht miteinander verbunden.


Trotz aller eigenen Bemühungen?
DAS stimmt nicht. Man muß halt zwei Geräte verwenden.


Es gibt ***kein*** sicheres TAN-Verfahren.
***ALLE*** TAN-Verfahren sind unsicher, wenn sie auf dem selben Gerät genutzt werden, dass auch die Zugangsdaten zum Konto bekommt. Alle!

Natürlich gibt es sicherere und unsicherere Verfahren. ;-)
Aber sichere gibt es nicht.

Nur 2 Faktoren (Geräte!) sind sicher!


Wer so leichtsinnig, oder von mir aus auch mutig, ist, alles auf dem Smartphone machen zu wollen....bitte!
Der muß aber auch mit dem Risiko leben.

Benutzer machtdochnichts schrieb:
>
Das ist schlecht.

Nein, da mTAN keine Sicherheit mehr bietet.


Etwas vereinfacht:
Der Betrüger hat bereits die Banking Zugangsdaten erbeutet und startet damit eine Überweisung. Über eine nicht ausreichend gesicherte Verbindung in ein ausländisches Mobilfunknetz meldet der Betrüger an das Netz, dass die SIM Karte des Banking Kunden nun im Ausland sei. Dazu braucht er nur die Telefonnummer. Die Karte ist natürlich nicht wirklich dort, aber das Netz meldet einen Roaming Teilnehmer an das deutsche Netz und SMS und Anrufe werden ab sofort in das ausländische Netz umgeleitet. Das eigentliche Handy des Kunden in Deutschland bekommt nun keine SMS oder Anrufe mehr. Je nach Netz wird die Karte sogar abgemeldet. Der Betrüger bestätigt die Überweisung, die mTAN wird an die hinterlegte Nummer verschickt, landet aber wegen Roaming im Ausland. Der Betrüger ruft die SMS aus dem ausländischen Netz ab und bestätigt mit der mTAN die Überweisung im Onlinebanking. Ist tatsächlich gängige Praxis heute. Teilweise besorgen sich die Betrüger auch Ersatz-SIM Karten und aktivieren sie direkt in Deutschland auf die Nummer des Opfers, aber der direkte Zugriff auf ein Netz ist wahrscheinlich der bequemere Weg und funktioniert von überall.


Die TAN kommt nie beim Kunden an.

Wie gesagt, das Telefon des Kunden ist gar nicht involviert. Das ist ja gerade die Schwäche von mTAN. Mit ChipTAN oder pushTAN wäre dieser Angriff nicht möglich.


Das nützt dir bei mTAN nichts, da die Betrüger die SMS vorher abfangen.


Das ist noch ein anderes Thema. Ich halte das unter Umständen für durchaus vertretbar. Meistens ist es das aber nicht. Empfehlen würde ich es auch nicht.

Benutzer Oetker schrieb:


AH, jetzt erinnere ich mich.
Du meinst die SS7-Lücke im Mobilfunknetz aus dem Jahr 2017?

https://www.teltarif.de/o2-umts-hacker-...

Ist das noch immer möglich?
Es ist sehr still darum geworden. Ist dieses Problem nicht schon lange repariert? Ich glaube mich schwach erinnern zu können, dass Deutsche Netzbetreiber nicht (mehr) betroffen sind.

Aber okay, hier hast du absolut recht. Das ist eine Lücke.



Darauf wollte ich von Anfang an hinaus.
Mit ein wenig Grundkenntnissen in der Computerei und etwas gesundem Menschenverstand sollte gerade das leicht zu verhindern sein.

Ohne überheblich klingen zu wollen: Aber genau das passiert mir nicht!
Meine Zugangsdaten "erbeutet" keiner. Definitiv nicht!

Ich nutze ein aktuelles Betriebssystem mit tagaktuellen Sicherheitsupdates, benutze keine dubiosen Softwarequellen, arbeite nicht als Administrator am Rechner, installiere keine Programme die sich zur Installation selber anbieten, mein Mailprogramm führt keine Skripte selbstständig aus..........

Also, meine Zugangsdaten bekommt keiner. Da bin ich mir wirklich sehr sicher.



Aber das sollte man eigentlich dann auch merken. Heute glotzt ja fast jeder alle 10 Minuten aufs Handy.......

Aber okay, hier gebe ich mich geschlagen. ;-))))))))

Soll die SS7-Lücke wirklich noch nicht geschlossen sein? Man hört ja überhaupt nichts mehr darüber.

Letztlich will ich natürlich auch nicht, dass Betrüger auch nur Einblick in mein Konto haben. Daher sollte die PIN oder das Passwort fürs Online-Banking geheim bleiben und ggf. geändert werden.
Was alles auf einem Gerät angeht: Die Postbank verwendet ja jetzt das mTAN verfahren neuerdings nicht mehr. Mit dem BestSign Verfahren wird die TAN per Fingerabdruck abgerufen. Passiert die Überweisung auf dem selben Gerät, muss die TAN nicht mal mehr eingegeben werden. Mit Fingerabdruck sollte es sicher sein, ausser jemand wendet physische Gewalt an.

Benutzer machtdochnichts schrieb:
Wenn jetzt jemand die Einträge der Adressen, von denen Updates bezogen wurden, ändern kann, hilft das nicht viel.

Und wirklich _n_i_e_ als Admin am Rechner? Also nie die Möglichkeit, mal zu überprüfen, ob _wirklich_ alles in Ordnung ist ...

100%-ige Sicherheit gibt es nicht, auch nicht mit dem besten Betriebssystem. Ist ja nicht so lange her, dass mit spectre und meltdown zwei Hardware-basierte Lücken entdeckt wurden, die erst durch Optimierungen in _allen_ Betriebssystemen gefährlich wurden (nutze selber Linux und weiß, das das auch betroffen war). Dass gegenwärtig keine Probleme bekannt sind, heißt nicht, dass es sie nicht gibt.

Ich kann nur deshalb sagen, dass mein online-Banking nicht angreifbar ist, weil ich es nicht nutze. Und solange niemand so viel "Identität" von mir stiehlt, dass er bei meiner Bank online-banking für mein Konto beantragen kann, wird das auch so bleiben.

Außerdem:

Hier in der Diskussion kam eine Frage gar nicht auf: Wie sicher ist mTAN, wenn die an das das Gerät geschickt wird, von der das Online-Banking gestartet wird? Das dürfte eine relativ häufige Quelle für kompromittiertes Online-Banking sein (auch wenn ihr beide so was natürlich nie macht).