Diskussionsforum
Menü

Kreditkarten und TAN-Apps


01.02.2020 23:51 - Gestartet von kammann
"oder die Kreditkarte über einen anderen Anbieter zu beziehen", erklärt Mai. Letzteres verursacht in jedem Fall zusätzliche Kosten."
Sicher nicht, es gibt genügend kostenfreie Kreditkarten z.B. von Advanzia oder Barclay.

Außerdem rät das BSI davon ab, TAN-App und Banking-App auf demselben Gerät zu installieren. Weder Android noch iOS sind sichere Betriebssysteme, d.h. es kann nicht sicher verhindert werden, dass eine unberechtigte App mit der TAN-App kommuniziert und somit gültige TANs generiert. Falls Banken dennoch dazu raten (weil es ja so bequem ist), dann sollte man als Kunde die AGBs genau lesen, ob die Bank für eventuelle Schäden haftet. Falls nicht, riskiert der Kunde sein Guthaben+Dispo-Limit im Falle eines Schadens. Die Bank wird nämlich immer behaupten, dass die Transaktion mit einer gültigen TAN autorisiert wurde.
Menü
[1] Felixkruemel antwortet auf kammann
02.02.2020 09:01
Außerdem rät das BSI davon ab, TAN-App und Banking-App auf demselben Gerät zu installieren. Weder Android noch iOS sind sichere Betriebssysteme, d.h. es kann nicht sicher verhindert werden, dass eine unberechtigte App mit der TAN-App kommuniziert und somit gültige TANs generiert. Falls Banken dennoch dazu raten (weil es ja so bequem ist), dann sollte man als Kunde die AGBs genau lesen, ob die Bank für eventuelle Schäden haftet. Falls nicht, riskiert der Kunde sein Guthaben+Dispo-Limit im Falle eines Schadens. Die Bank wird nämlich immer behaupten, dass die Transaktion mit einer gültigen TAN autorisiert wurde.
Generell ist die TAN Generierung auf einem Smartphone sowieso eine sehr unsichere Variante.
Viele Menschen wissen garnicht, dass man das problemlos missbrauchen könnte. Auch die SMS TAN ist sehr unsicher (sogar noch unsicherer).

Wobei natürlich der Komfort auch überwiegt. Ich bleibe ein Verfechter von Offline Methoden wie der Chip-TAN. Sind am sichersten und können nicht geknackt werden, haben aber auch den Nachteil, dass man immer ein TAN Generator haben muss wenn man was überweisen will. Grundsätzlich aber überweist man ja heutzutage eh nur noch sehr selten.
Menü
[1.1] sangyong antwortet auf Felixkruemel
02.02.2020 21:01
Ich arbeite selber für eine Bank und habe bereits einige Betrügereien miterlebt.

Zur Zeit der iTAN reklamierten Kunden mehrmals die Woche. Kunden haben wahllos ganze TAN-Kolonnen an Betrüger weitergeben.

Mit SMS-Tan und TAN per App ist so gut wie nie etwas passiert. Außer der Kunde hat sein Handy "manipuliert" und sich Schadsoftware mehr oder weniger bewusst aufgespielt.

Wenn der Kunde sich an gewisse Spielregeln hält, ist Mißbrauch einfach nicht möglich. In der Theorie ja- aber nicht in der Praxis, wenn man sich an bestimmte Spielregeln hält.

Ich habe selber noch keinen Fall erlebt, in welcher der Kunde völlig unschuldig einem Betrugsversuch aufgesessen ist. Es war IMMER Naivität, Gutgläubigkeit oder schlichtweg Gier im Spiel. Von Zauberhand ist bislang noch nie etwas geschehen.
Würden die Banken hier nicht kulant die Beträge erstatten, säßen die Kunden alle auf dem Trockenen.
Menü
[1.1.1] fe rnwe h antwortet auf sangyong
02.02.2020 22:04
Ich gehe davon aus, dass SMS Tan sicher ist, genau dann wenn KEIN Smartfone genutzt wird, da diese ja ("LEGAL"dank rechtsfreiem Raum eCommerce)) immer unter Mit-Kontrolle (Android, Apps etc.) von eCommerce-Diensten ist, denen ja quasi das digitale Mitlesen straffrei gestattet ist. Wenn dann sollte der Nutzer während der SMS TAN-Verfahrens mobile Daten und WLAN ausschalten, dass das Smartfone IP-seitig offline ist. SMS kommen auch so an.

Online "Shopping" ist nie sicher, das weiss man ja seit langen...
Menü
[1.1.1.1] blntel antwortet auf fe rnwe h
03.02.2020 03:39
Abgesehen von den Fällen, bei denen Betrüger die SIM-Karte neu bestellen und aus dem Briefkasten fischen, sind SMS TAN auf Nicht-Smartphones weitgehend sicher. Allerdings verursachen sie Kosten, die Banken verständlicherweise gerne einsparen oder an die Kunden weiterreichen wollen.

Benutzer fe rnwe h schrieb:
Ich gehe davon aus, dass SMS Tan sicher ist, genau dann wenn KEIN Smartfone genutzt wird, da diese ja ("LEGAL"dank rechtsfreiem Raum eCommerce)) immer unter Mit-Kontrolle (Android, Apps etc.) von eCommerce-Diensten ist, denen ja quasi das digitale Mitlesen straffrei gestattet ist. Wenn dann sollte der Nutzer während der SMS TAN-Verfahrens mobile Daten und WLAN ausschalten, dass das Smartfone IP-seitig offline ist. SMS kommen auch so an.

Online "Shopping" ist nie sicher, das weiss man ja seit
langen...
Menü
[1.2] mattes007 antwortet auf Felixkruemel
04.02.2020 14:20

einmal geändert am 04.02.2020 14:22
Benutzer Felixkruemel schrieb:
Generell ist die TAN Generierung auf einem Smartphone sowieso eine sehr unsichere Variante.
Viele Menschen wissen garnicht, dass man das problemlos missbrauchen könnte. Auch die SMS TAN ist sehr unsicher (sogar noch unsicherer).

Dann sag uns doch mal wie man dies hacken soll?

Ich arbeite in der IT.
Ja, ein Android Smartphone ist nicht sicher.
Aber was passiert bei einem SMS-TAN Verfahren. Du hast einen PC und überweist dort etwas. Auf diesem PC muss jemand eine Software installiert haben, welche die Verschlüsselung der HTTPS Seite knackt.
Hat diese Software dies getan, muss der selbe Hacker Zugang zum Smartphone bekommen.
Wie soll dies gehen?
Das Smartphone müsste physikalische Verbindung zum Rechner haben... und das Programm müsste so gut programmiert sein, dass es durch die Android Sicherungen aufs Handy gelangt und sich dort selbstständig installiert.

Jetzt der umgekehrte Fall...
Eine schadhafte App... liest Deine SMS mit und bekommt eine TAN mit. Jetzt hat diese App 5 Minuten Zeit Zugang zu Deinem Rechner bekommen.

Wenn ich meine Banking App installiere und dort eine Überweisung ausführen möchte, sagt die App... "nicht möglich, da auf einem und demselben Gerät".

Selbst wenn die SIM Karte geklaut wird, muss der Hacker Zugriff auf meinem Rechner haben.


Wobei natürlich der Komfort auch überwiegt. Ich bleibe ein Verfechter von Offline Methoden wie der Chip-TAN. Sind am sichersten und können nicht geknackt werden, haben aber auch den Nachteil, dass man immer ein TAN Generator haben muss wenn man was überweisen will. Grundsätzlich aber überweist man ja heutzutage eh nur noch sehr selten.

Also ich überweise entweder zuhause oder im Büro. In beiden Fällen weiß ich es vorher und könnte den Chip-Generator mitnehmen.
Menü
[1.2.1] sangyong antwortet auf mattes007
04.02.2020 14:31
Lange Rede, kurzer Sinn.

Die SMS ist deswegen nicht sicher, da sie reduplizierbar ist. Sprich der Empfänger erhält die SMS und kann diese sofort weiterleiten. Der Inhalt ist somit für beliebig viele Empfänger nutzbar. Sie ist somit reduplizierbar und entspricht nicht den Richtlinien der Bafin.

Beispiel: Ein Betrüger lullt den Bankkunden ein und lässt sich eine TAN per SMS zuleiten. Der Kunde weiß gar nicht was da im Hintergrund passiert.

In aller Linie geht es darum: Der Kunde gibt eine Überweisung ein und gibt diese nochmals frei. Dort sieht er wohin, wieviel Geld geht. Das ist der Vorteil der Secure-Go, SecureApps der Banken.

Daher rechnen die Banken mit einer Einstellung dieser TAN-Methode. Sie wird aktuell noch geduldet, könnte aber wegfallen.
Menü
[2] mattes007 antwortet auf kammann
04.02.2020 14:29
Benutzer kammann schrieb:
"oder die Kreditkarte über einen anderen Anbieter zu beziehen", erklärt Mai. Letzteres verursacht in jedem Fall zusätzliche Kosten."
Sicher nicht, es gibt genügend kostenfreie Kreditkarten z.B. von Advanzia oder Barclay.

Auf den ersten Blick sind die Kreditkarten von Barclay kostenlos... auf dem zweiten Blick nur wenn man viel Disziplin mitbringt. Bei der neuen Barclay-Card gibt es nämlich nicht mehr das Lastschriftverfahren, sondern man muss innerhalb von 28Tage selber über Online-Banking aktiv werden. Sonst werden nur - meines Wissens - 50 Euro automatisch eingezogen, auf den Rest fallen horende Gebühren an.

Die einzige reine kostenlose Kreditkarte, die damit wirbt weltweit kostenlos ohne Gebühren zu sein, ist die Hanseatic Bank.
https://www.hanseaticbank.de/kreditkarte/genialcard?utm_source=FA&utm_medium=Affiliate_VEP&utm_campaign=431493_FA_VEP_AS_Genialcard_2.0_Textlink

Daher immer genau lesen, was sich hinter den Konditionen verbirgt.

Daher habe ich meine Barclay Card "New Visa" behalten und nicht auf die neuen Konditionen umgestellt.


Außerdem rät das BSI davon ab, TAN-App und Banking-App auf demselben Gerät zu installieren.

Bei einer seriösen Bank ist dies erst gar nicht möglich!!!