![](\"https:\/\/www.borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Online-Banking ist bequem und die Banken dr\u00e4ngen die Kunden (\u00fcber die Geb\u00fchrenmodelle) dazu, diese Methode zu verwenden. Damit das Ganze nicht zum Desaster wird, ein kleiner Beitrag zum Thema Sicherheit beim Online-Banking. <\/p>\nOnline-Banking ist bequem und die Banken dr\u00e4ngen die Kunden (\u00fcber die Geb\u00fchrenmodelle) dazu, diese Methode zu verwenden. Damit das Ganze nicht zum Desaster wird, ein kleiner Beitrag zum Thema Sicherheit beim Online-Banking. <\/p>\n
<\/p>\n
Zur Autorisierung von Transaktionen im Online-Bankkonto verwenden Banken TAN-Nummern (TAN = Transaktionsnummer<\/a>). Die \u00e4lteste Variante sind auf Papier gedruckte TAN-Listen, wobei die fr\u00fcher gebr\u00e4uchliche Abarbeitung der TANs in direkter Reihenfolge nicht mehr verwendet wird (jemand, der mehrere TANs erbeutete, konnte diese f\u00fcr Transaktionen verwenden). Vielmehr verwendet man aus Sicherheitsgr\u00fcnden sogenannte indexierte TANs. Dabei gibt der Rechner der Bank nach dem Zufallsprinzip vor, dass die TAN Nummer soundso f\u00fcr die Transaktion zu verwenden ist. Selbst wenn jemand Unbefugtes ein paar TANs erbeutet hat, ist die Chance gering, dass diese bei Transaktionen zuf\u00e4llig ausgew\u00e4hlt werden. Nur wer die ganze TAN-Liste erbeutet, hat Zugriff auf \u00dcberweisungen.<\/p>\n Geht man z.B. auf diese Webseite<\/a>, wird das sogenannte mTAN-Verfahren noch als sicher angegeben. Man gibt die Nummer eines Mobiltelefons an und erh\u00e4lt bei jeder Transaktion eine SMS mit der TAN auf's Handy. Diese gibt man dann im Online-Banking-Formular zur Autorisierung der Transaktion ein. Klingt auf den ersten Blick gut, denn f\u00fcr jede Transaktion wird eine eigene TAN generiert und nur auf ihr Handy \u00fcbertragen.<\/p>\n Der Pferdefu\u00df: Ist eine andere Handy-Nummer im Konto eingetragen, gibt es die M\u00f6glichkeit zur Transaktion. Bereits 2013 gab es Berichte wie diesen<\/a>, die \u00fcber eine H\u00e4ufung von Betrugsf\u00e4llen mit Online-Banking im Zusammenhang mit mTANs berichteten. Eine Masche bestand darin, dass sich die Betr\u00fcger eine Ersatz-SIM-Karte des Opfers zusenden lie\u00dfen und damit eigene mTANs mit dem Handy generieren konnten. Diese Masche ist nun unterbunden, da Ersatz-SIM-Karten mit gleicher Nummer) nur nach Autorisierung rausgegeben werden. <\/p>\n Aber mTANs sind noch aus einem anderen Grund unsicher: SMS und mTANs lassen sich abfangen. Darauf wurde bereits im September letzten Jahres z.B. auf dieser Webseite<\/a> ausgef\u00fchrt. Und in meinen Blog-Artikeln Neue Android-Malware BadNews (April 2013) und Desastr\u00f6se Sicherheitsinfos zum Wochenstart<\/a> (Dezember 2014) berichte ich \u00fcber mTAN-Trojaner bzw. warne ich explizit vor Online-Banking mit mTANs. Hintergrund f\u00fcr die Warnung im Dezember 2014: Der Chaos Computer Club (CCC) hat auf dem Jahrestreffen 2014 eine UMTS-Sicherheitsl\u00fccke aufgedeckt<\/a>. \u00dcber die Sicherheitsl\u00fccke lassen sich nicht nur Gespr\u00e4che abh\u00f6ren, sondern auch SMS-Nachrichten umleiten. Neben der Zwei-Faktor-Authentifizierung per Mobilfunkger\u00e4t f\u00fcr die g\u00e4ngigen Online-Konten wurde damit auch die Transaktionsabsicherung durch SMS-TANs (mTANs) endg\u00fcltig beerdigt.<\/p>\n Bei vielen Banken wir ein TAN-Generator in Verbindung mit der Chipkarte (EC- bzw. Bankkarte eingesetzt (siehe diese Seite<\/a>). Das folgende Foto zeigt solche TAN-Generatoren (z.B. der Firma Reiner), die von Banken den Kunden angeboten werden (hier ist es der Sparkassen-Shop). <\/p>\n Die Generatoren kosten nicht viel und laufen mit Knopfzellen \u00fcber Jahre. Nur wer die Bankkarte besitzt, kann mit dem Online-Konto \u00dcberweisungen t\u00e4tigen. Bei jeder \u00dcberweisung wird ein optischer \"Flickercode\" im Browser im Formular angezeigt. Der TAN-Generator kann diesen Flickercode optisch lesen und eine TAN berechnen. Diese wird dann im Browser-Formular zum autorisieren der \u00dcberweisung eingetragen. Hier findet sich eine Erkl\u00e4rung<\/a> auf einer Bankseite. Da die TAN f\u00fcr jeden Vorgang einzeln generiert wird und keine Funkverbindung zum TAN-Generator besteht, gilt dieses Verfahren als sicher. <\/p>\n Man k\u00f6nnte sich noch vorstellen, dass jemand die TAN abf\u00e4ngt und f\u00fcr eine eigene \u00dcberweisung missbraucht. Klappt aber nicht, wenn der Besitzer des Online-Kontos die Daten jeweils pr\u00fcft. Denn auf dem Display des TAN-Generators wird das Empf\u00e4ngerkonto und die Summe angezeigt. Erst nach Best\u00e4tigung dieser beiden Daten errechnet der TAN-Generator die TAN. Diese ber\u00fccksichtigt Informationen von der Bankkarte und Betrag samt Kontonummer des Zielkontos. Bei Manipulation w\u00fcrde die TAN also ung\u00fcltig. Leider beachten das nicht alle Benutzer \u2013 hier verweise ich auf diesen Artikel<\/a> bei der Zeitschrift heise.de, die sich mit der juristischen Aufarbeitung<\/a> eines Missbrauchsfalls befasst. <\/p>\n Allerdings verweise ich auch auf meinen Blog-Artikel hier<\/a>, wo es Spezialisten gelungen ist, die PIN-Absicherungsmechanismen f\u00fcr Chip-Karten von Banken auszuhebeln. Das gilt zwar eher f\u00fcr das Geldabheben am Automaten. Aber es ist nicht auszuschlie\u00dfen, dass dort auch noch \u00dcberraschungen bl\u00fchen. Momentan ist mir aber noch nichts unter die Augen gekommen, dass es dort Missbrauch g\u00e4be. <\/p>\n<\/blockquote>\n Zur Abwicklung von Bankgesch\u00e4ften werden Banking-Apps f\u00fcr Android oder iOS (iPhone\/iPad) immer beliebter. Die App \u00fcbernimmt nach einer Anmeldung am Konto die Abwicklung. Aber wie sicher ist das Ganze eigentlich? Ich habe einfach mal im Zusammenhang mit diesem Artikel kurz recherchiert. Hier ein paar Artikel:<\/p>\n BANKING-APPS F\u00dcR IPHONE UND ANDROID IM VERGLEICHSTEST<\/a> (Connect) Was dort bem\u00e4ngelt wurde, sind Fehler in Apps und der Umstand, dass die Apps zu viele Daten abgreifen, die mit dem Banking nichts zu tun haben. Aktualisierte Fassungen der Banking-Apps scheinen die Sicherheitsm\u00e4ngel nicht mehr aufzuweisen. Auf der CCC-Tagung wurde dieses Vortragsdokument<\/a> freigegeben, welches sich mit Android Banking-Apps befasst (aber nur was f\u00fcr Spezialisten ist). Tenor: Fehler in Banking-App, gepaart mit neuer Schadsoftware f\u00fcr Android stellen durchaus ein Risiko f\u00fcr Banking Apps dar. Falls Sie Banking-Apps verwenden, w\u00e4re mein Hinweis, die Augen offen zu halten und die in folgenden Artikeln gegebenen Sicherheitstipps zu beherzigen.<\/p>\n Sicherheit beim Mobile-Banking: 10 Tipps<\/a> Zum Abschluss noch ein kleiner Tipp au\u00dferhalb des Themas. Beim Online-Banking haften wir Kunden ja f\u00fcr Fehler bei Kontenangaben des Empf\u00e4ngers. Und vermutlich \u00e4rgern wir uns alle \u00fcber die voriges Jahr eingef\u00fchrten SEPA-Zahlungsverfahren mit IBAN\/BIC wegen der langen Kontenangaben. Aber die Sache hat ein Gutes. Hier der Hinweis von Blog-Leser Marc, den ich mal weitergebe:<\/p>\n Viele \u00e4rgern sich \u00fcber IBAN\/BIC, dabei bieten diese die h\u00f6chste Sicherheit. (insbesondere 1.tere). IBAN besteht ja aus L\u00e4ndercode, Pr\u00fcfziffer, BLZ und Konto. Tritt irgendwo bei der Eingabe der IBAN ein Tippfehler auf, wird die IBAN bereits bei der Eingabe abgewiesen. Also erh\u00e4lt man im Vergleich zur alten, einfachen Kontonummer (wird immer akzeptiert) eine h\u00f6here Sicherheit. <\/p>\n Man sollte daher auch keinen Gebrauch von Umrechnungs-\/Converter-Funktionen f\u00fcr BLZ und Konto in IBAN machen.<\/p>\n<\/blockquote>\n \u00c4hnliche Artikel \u2013 das k\u00f6nnte Sie auch interessieren: Online-Banking ist bequem und die Banken dr\u00e4ngen die Kunden (\u00fcber die Geb\u00fchrenmodelle) dazu, diese Methode zu verwenden. Damit das Ganze nicht zum Desaster wird, ein kleiner Beitrag zum Thema Sicherheit beim Online-Banking.<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[23,9],"tags":[42,48,11],"class_list":["post-201","post","type-post","status-publish","format-standard","hentry","category-computer","category-sicherheit","tag-computer","tag-online-banking","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.eu\/senioren\/wp-json\/wp\/v2\/posts\/201","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.eu\/senioren\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.eu\/senioren\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.eu\/senioren\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.eu\/senioren\/wp-json\/wp\/v2\/comments?post=201"}],"version-history":[{"count":4,"href":"https:\/\/borncity.eu\/senioren\/wp-json\/wp\/v2\/posts\/201\/revisions"}],"predecessor-version":[{"id":26270,"href":"https:\/\/borncity.eu\/senioren\/wp-json\/wp\/v2\/posts\/201\/revisions\/26270"}],"wp:attachment":[{"href":"https:\/\/borncity.eu\/senioren\/wp-json\/wp\/v2\/media?parent=201"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.eu\/senioren\/wp-json\/wp\/v2\/categories?post=201"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.eu\/senioren\/wp-json\/wp\/v2\/tags?post=201"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Dass man sein System sauber von Viren, Trojanern oder anderen Computersch\u00e4dlingen h\u00e4lt, hatte ich ja hier im Blog bereits ausgef\u00fchrt. Weiterhin gibt es Beitr\u00e4ge, die gezielt vor Banking-Trojanern waren. Auch das Thema Phishing habe ich im Beitrag Phishing \u2013 das sollten Sie wissen<\/a> behandelt. So weit so gut \u2013 wer das alles beherzigt, hat aber erst die halbe Miete eingefahren. Denn auch in den von Banken verwendeten Sicherheitsmechanismen lauern Fallen.<\/p>\n
Banking mit TAN<\/h3>\n
Vorsicht: Banking mit mTAN ist unsicher<\/h3>\n
TAN-Generator mit Bankkarte<\/h3>\n
![](\"https:\/\/i.imgur.com\/7Fw5Ngd.jpg\")
<\/p>\n\n
Achtung: Auch Banking Apps k\u00f6nnen unsicher sein<\/h3>\n
iPhone-Banking-Apps im Sicherheitscheck<\/a> (heise.de, Artikel 2010)<\/p>\n
Banking Apps und Sicherheit<\/a><\/p>\n\n
<\/strong>Achtung: Angriffe auf den Adobe Flash-Player!<\/a>
Sicherheit: Office-Macro-Trojaner-Welle<\/a>
Warnung vor Banking-Trojanern
Phishing \u2013 das sollten Sie wissen<\/a>
Warnung: Betr\u00fcger geben sich telefonisch als Microsoft-Mitarbeiter aus<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"