mTAN sicherer als iTAN

Hallo,

wiederholt findet man Veröffentlichungen, in denen das mTAN-Verfahren als sicherer als das iTAN-Verfahren bezeichnet wird. Warum eigentlich?

Auf Reisen mag das ja sein, weil man keine TAN-Liste mit rumschleppen muss, die einem geklaut werden kann. Aber zu Hause?

Wenn mein eingeschaltetes Handy irgendwo rumliegt - Handys schließt man ja im Gegensatz zu TAN-Listen gewöhnlich nicht weg…- kann jeder der meine PIN kennt an mein Konto. Außerdem gibt es die mTAN zusätzlich zur iTAN. Bei der Postbank muss ich dann bei jeder Überweisung entscheiden, ob ich eine mTAN oder eine iTAN nutzen will.

Gleichzeitig zwei Verfahren bedeutet in meinen Augen keine Verringerung, sondern eine Verdoppelung des Risikos.

Wo ist also der Sicherheitsgewinn für den normalen Homebanking-Betreibenden?

Gruß
Wolfgang

Hi

Wenn mein eingeschaltetes Handy irgendwo rumliegt - Handys
schließt man ja im Gegensatz zu TAN-Listen gewöhnlich nicht
weg…-

Wenn Du zuhause bist, dann hast Du doch auch die Kontrolle über Deinen PC und es kann sowieso keiner an das Gerät ran. Das gleiche gilt für das Handy und Deine PIN solltest ohnehin nur Du kennen.

Wenn Du nicht zuhause bist, dann wirst Du Dein Handy ja vermutlich bei Dir haben?

Somit sollte aus dem mTAN-Verfahren kein zusätzliches Risiko entstehen.

Gleichzeitig zwei Verfahren bedeutet in meinen Augen keine
Verringerung, sondern eine Verdoppelung des Risikos.

Hm, wird mTAN in Deutschland dem Kunden vorgeschrieben? Bei uns ist es so, daß man sich extra dafür anmelden muß und danach die Wahl hat, ob man das alte Verfahren mit der Tan-Liste auch noch weiterführen will oder nur noch über mTAN arbeitet.

Wo ist also der Sicherheitsgewinn für den normalen
Homebanking-Betreibenden?

Daß man Handy, PIN und Verfügerkennung braucht, um ans Konto zu kommen und diese drei Dingen gewöhnlich nicht am selben Schreibtisch liegen oder nur dann, wenn der Besitzer in der Nähe dieses Schreibtisches ist.

Aber absolute Sicherheit gibt es natürlich nicht.

Gruß
Edith

Hallo,

mTAN wird in Deutschland nicht vorgeschrieben. Ich habe nur als Beispiel die Version der Postbank dargestellt.

Meine Frage zielt einfach nur auf die Aussage in der Chip 01/2009 S. 220:
„…Auch indizierte Transaktionsnummern (iTANs) bergen ein hohes Risiko. Weit sicherer sind […]mTANs, die auf das Mobiltelefon geschickt werden“.

Und ich sehe ehrlich den Sicherheitsgewinn nicht.

Gruß
Wolfgang

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Moin!
Das schreibt die Postbank zum mTan Verfahren.

Maximale Sicherheit mit der mTAN – jetzt kostenlos!
Ab sofort nutzen Sie die mobile TAN - dauerhaft und unbegrenzt - kostenlos. Sie erhalten per SMS eine nur für diese Transaktion gültige TAN. In dieser SMS übermitteln wir auch die Empfängerkontonummer und den Betrag, somit können Sie vor Eingabe der TAN die Daten überprüfen. Melden Sie sich noch heute zum mobilen TAN-Verfahren an!

Für mich klingt das sicherer als iTan.

LG

Hallo Wolfgang,

ich möchte dir direkt am Anfang sagen dass du meine Antwort nicht als 100% sicher ansehen solltest. Daher bitte nicht schlagen wenn ich falsch liege

Ich glaube mal folgendes gelesen zu haben.

Bei der M-TAN hast du nicht von vorne herein bestimmte TAN Nr. die für dich reserviert sind. Du füllst also deine Überweisung aus und forderst dann erst eine TAN an. Diese TAN wird von der Bank (verschlüsselt aus Konto Nr. des Empfängers und aus dem Betrag der Überweisung) erstellt. Diese TAN wird dir auf dein Handy geschickt. Wenn du die TAN eingibst gilt diese nur für den dafür vorgesehenen Betrag und nur für diesen Empfänger.

Wenn nun deine Überweisung (durch ein Schadprogramm) von jemandem abgefangen wird, kann dieser deine TAN nicht nutzen, da die TAN wie gesagt, nur für den wirklichen Empfänger und für den wirklichen Betrag benutzt werden kann.

Wie ich schon geschrieben habe, ich bin mir nicht 100% sicher dass meine Aussage richtig ist, aber ich habe es damals so verstanden.

Gruß Horst

hi,

Für mich klingt das sicherer als iTan.

was ist daran sicherer, wenn noch ein informationskanal mehr genutzt wird?
was mit meinem tan-bogen im tresor ist, weiß ich, welche wege so eine SMS nehmen kann, nicht.

gruß
ann

Hi Ann

Für mich klingt das sicherer als iTan.

was ist daran sicherer, wenn noch ein
informationskanal mehr genutzt wird?
was mit meinem tan-bogen im tresor ist, weiß ich, welche wege
so eine SMS nehmen kann, nicht.

Wenn in Deinem Haus eingebrochen wird und der Tresor ausgeräumt wird, dann hat der Einbrecher theoretisch alles was er braucht um Dein Konto abzuräumen.

Da Du aber vermutlich Dein Handy bei Dir hast, wenn Du das Haus verläßt, entsteht dadurch ein bißchen mehr an Sicherheit für Dein Konto.

Absolute Sicherheit bietet kein Verfahren, aber je mehr Dinge ein Verbrecher in die Hände bekommen muß, um so besser für die Sicherheit.

Außerdem haben beim mTan-Verfahren phishing Mails keine Chance, weil es keine TANs gibt, die ein leichtgläubiger Mensch verraten kann.

Gruß
Edith

Hi

Und ich sehe ehrlich den Sicherheitsgewinn nicht.

Zumindestens gehen phishing Mails ins Leere, weil es keine TANs gibt, die ein leichtgläubiger Mensch verraten kann.

Gruß
Edith

Hallo,

Ergänzung der Frage von Wolfgang.
Ich meine hierzu: Wenn man bei mehreren Banken mehrere Konten hat,
kann man „Referenzkonten“ eröffnen. Dann sind Geldtransfers nur zwischen „Referenzkonto“ und einmal festgelegten „Girokonto“ mit Mindesthaben möglich. Hierdurch erhöht sich die Sicherheit. Stimmt das?
Nachteil: Man muß öfters den (niedrigen) Kontostand des Girokontos überprüfen und hinundher überweisen und seine „Buchführung“ im Griff haben.
MfG

hi bär,

ich glaube, du bist dir über die technischen möglichkeiten nicht ganz im klaren. in meinen kopf einzudringen und die TANs zu entnehmen, ist ungleich schwieriger - noch schwieriger als in meinen tresor, den ich gar nicht habe.

gruß
ann

Hi

ich glaube, du bist dir über die technischen möglichkeiten
nicht ganz im klaren.

Stimmt. Die kriegt man ja nicht mit, wenn man bei einer Bank arbeitet

in meinen kopf einzudringen und die TANs
zu entnehmen, ist ungleich schwieriger - noch schwieriger als
in meinen tresor, den ich gar nicht habe.

Ich habe meine Paßwörter auch in dem sicheren Safe, den meine grauen Zellen darstellen. Die sind noch dazu sehr viel billiger als ein Tresor

Aber wenn ich eines bei der Bank gelernt habe, das größte Sicherheitsloch sitzt immer vor dem Computer, egal welches Sicherheitsverfahren angewendet wird.

Gruß
Edith

Hallo,

die Postbank schrieb mir:

"Das mTAN Verfahren ist ein Zusatzservice zu dem bestehenden iTAN-Verfahren.
Sie können beide Verfahren parallel nutzen.
Bei dem Ausführen von Transaktionen wird Ihnen weiterhin eine iTAN angeboten, Sie entscheiden in dem Moment ob Sie die geforderte iTAN eingeben oder eine " mTAN anfordern ".

Ich zitiere mal aus den Nutzungsbedingungen der Postbank:

„Aus Sicherheitsgründen übermittelt die Bank bei Überweisungen gleichzeitig mit der mTAN die vom Nutzer angegebene Kontonummer des Begünstigten und die Höhe des Überweisungsbetrages. Der Nutzer ist gehalten, die so von der Bank übermittelten Daten mit den von ihm eingegebenen Auftragsdaten auf Vollständigkeit und Richtigkeit zu überprüfen.“

Das wird denjenigen, der mein Handy entwendet hat auch nicht stören. Für mich bringt es nicht wirklich einen Sicherheitsgewinn, da man in der Folgemaske der Eingabe bereits am PC aufgefordert wurde, die eingegebenen Daten nochmals zu prüfen.

„Geheimhaltung der mTAN:
Der Nutzer hat dafür Sorge zu tragen, dass keine andere Person Kenntnis von der übermittelten mTAN erhält. Insbesondere hat der Nutzer alle zumutbaren Maßnahmen zu treffen, um eine unbefugte Nutzung desjenigen Mobiltelefons zu verhindern, dessen Rufnummer er im Postbank Online-Banking hinterlegt hat.“

Mit anderen Worten, wenn derjenige, der meine PIN ausgespäht hat, kurzfristig mein Handy „heimlich ausleiht“, weil ich es nicht um meinen Hals „gekettet“ habe…, kann er mal eben mein Konto abräumen oder auch eine beliebige andere Handy-Nummer für die Verwendung der mTAN-Funktionalität zusätzlich freischalten:

„Der Kunde kann bis zu maximal 4 weitere Rufnummern anmelden. Die Anmeldung ist abgeschlossen, wenn der Kunde die jeweilige Rufnummer unter Verwendung einer indizierten TAN (iTAN) oder mTAN autorisiert hat. Die anschließende Freigabe kann auch vermittels einer mTAN erfolgen.“

Da man ja nicht alle fünf Minuten sein Konto kontrolliert, kann der Täter mein Handy unbemerkt zurücklegen und später in Ruhe über die neu freigegebene Handynummer zuschlagen.

Aus meiner Sicht ist das zusätzliche mTAN-Verfahren eine zusätzliche Risikoquelle und kein Sicherheitsgewinn zu dem iTAN-Verfahren allein.

Gruß
Wolfgang

Hi

Aus meiner Sicht ist das zusätzliche mTAN-Verfahren eine
zusätzliche Risikoquelle und kein Sicherheitsgewinn zu dem
iTAN-Verfahren allein.

Irgendwie verstehe ich Dein Problem nicht. Wenn ich das richtig verstanden habe, dann bietet Deine Bank Dir mTAN als Zusatzangebot und nicht als Mußangebot an. Niemand zwingt Dich also es anzunehmen.

Wobei ich es allerdings als Sicherheitsrisiko ansehe, daß man bis zu 4 Nummern anmelden kann. Bei dem mTan-Verfahren, daß wir anwenden ist das nicht möglich. Da gibt es nur eine Nummer und die wird auch noch überprüft. Eine einfache Änderung mit einer TAN ist also nicht möglich. Diese zusätzliche Sicherheit scheint es bei Deiner Bank nicht zu geben.

Aber wie schon gesagt: Absolute Sicherheit gibt es ohnehin nicht. Wenn Du das System zu unsicher findest, dann wende es nicht an.

Wer es schafft Kontonummer, TAN-Listen, Zugangscode und das Handy gleichzeitig zu verlieren, dem kann kein noch so ausgeklügeltes Sicherheitssystem helfen - das größte Sicherheitsloch sitzt nunmal vor dem Computer und nicht in den Sicherheitssystemen.

Aber nur mal so aus Interesse: Was würdest Du als sicheres System für onlinebanking einführen?

Gruß
Edith

Hallo,

Irgendwie verstehe ich Dein Problem nicht.

Ich will nur verstehen, warum mTAN als sicherer als iTAN bezeichnet wird. Das ist alles…

Wie es grundsätzlich funktioniert, dass ich es nicht nehmen muss, dass ich mein Handy nicht rumliegen lassen darf, etc. ist mir alles klar.

Aber warum empfiehlt z.B. CHIP mTAN statt iTAN ?

Gibt es wirklich einen Sicherheitsgewinn - und wenn ja, wodurch? - oder ist es eigentlich nur eine zusätzliche Spielerei für Technikverliebte, ein Gimmick, mit dem man sich von der Konkurrenz abhebt ohne wirklichen Sicherheitsgewinn?

Gruß
Wolfgang

Hi

Ich will nur verstehen, warum mTAN als sicherer als iTAN
bezeichnet wird. Das ist alles…

Weil z.B. phishing Mails dann ins Leere gehen. Es gibt ja keine TAN, die Du per Mail verraten kannst.

Wie es grundsätzlich funktioniert, dass ich es nicht nehmen
muss, dass ich mein Handy nicht rumliegen lassen darf, etc.
ist mir alles klar.

Ja,und normalerweise sind die Bankdaten und das Handy ja auch an unterschiedlichen Orten. Die Chance, daß eingebrochen wird, während Du zuhause bist, ist ja gering.

Aber warum empfiehlt z.B. CHIP mTAN statt iTAN ?

Keine Ahnung, ich habe den Chip-Artikel nicht gelesen, aber da stand vermutlich eine Erklärung, warum die Redakteure das Verfahren für sicherer halten, oder?

Gruß
Edith

Hi!

in meinen kopf einzudringen und die TANs
zu entnehmen

Du merkst Dir alle 100 (oder was weiß ich wieviel es immer sind/waren) TANs auswendig???

Fragende Grüße,
Tomh

PS: Ich benutze seit ca. einem Jahr (oder doch schon länger??) mTAN und mMn ist dies wesentlich sicherer als die geschriebenen iTANs.

Hi!

in meinen kopf einzudringen und die TANs
zu entnehmen

Du merkst Dir alle 100 (oder was weiß ich wieviel es immer
sind/waren) TANs auswendig???

ja.

gruß
ann