![](\"https:\/\/www.borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Stop.jpg\")
Nutzer, die Online-Banking mit Smartphone und Tablet erledigen, sollten sich mal wieder Gedanken um die Sicherheit der Transaktionsabsicherung machen. Die mittlerweile von Banken angebotenen App-TANs sind potentiell unsicher. <\/p>\nNutzer, die Online-Banking mit Smartphone und Tablet erledigen, sollten sich mal wieder Gedanken um die Sicherheit der Transaktionsabsicherung machen. Die mittlerweile von Banken angebotenen App-TANs sind potentiell unsicher. <\/p>\n
<\/p>\n
Ich habe das Thema vor ein paar Tagen bereits in meinem IT-Blog angerissen: Smartphones Apps zur Erzeugung von TANs beim Online-Banking sind als unsicher zu betrachten. Die Schwachstelle ist dem Umstand geschuldet, dass die Banking-App sowie die App zum Erzeugen der TANs auf dem gleichen Ger\u00e4t laufen. Ist das Ger\u00e4t durch Schadsoftware befallen, lassen sich die Sicherheitsma\u00dfnahmen aushebeln. Forscher der Uni Erlangen weisen auf das Problem hin und kritisieren in diesem Zusammenhang, dass die S-pushTAN-L\u00f6sung der Sparkassen potentiell unsicher sei (aber das gilt wohl generell f\u00fcr App-TAN-L\u00f6sungen aller Banken). <\/p>\n
Beim Online-Banking ben\u00f6tigt man nicht nur die Zugangsdaten samt Kennwort, sondern muss auch Transaktionen (\u00dcberweisungen etc.) durch Transaktionsnummern (TANs) autorisieren. Hier haben die Banken verschiedene L\u00f6sungen im Angebot. Die Verifizierung der TAN \u00fcber ein Handy bzw. Mobilger\u00e4t ist keine sichere L\u00f6sung. Darauf hatte ich vor einiger Zeit im Artikel Online-Banking: mTAN und Banking-Apps unsicher<\/a> hingewiesen.<\/p>\n Banken bieten aber auch Apps zur TAN-Berechnung an (was recht komfortabel ist). Die obige Abbildung stammt von der Ing-Diba, die das Verfahren unter dem Begriff smartsecure hier auf ihrer Webseite<\/a> erkl\u00e4rt. Zitat: <\/p>\n Dann wird der Auftrag ausgef\u00fchrt und der Kunde erh\u00e4lt sofort eine Best\u00e4tigung. Was auf den ersten Blick genial ausschaut, hat einen gravierenden Haken. Die Zweifaktor-Autorisierung \u00fcber zwei Ger\u00e4te entf\u00e4llt. Ist das Mobilger\u00e4t mit der App durch Schadsoftware befallen und wird dort eine App zur TAN-Freigabe genutzt, kann dies missbraucht werden. <\/p>\n Theoretisch gibt es Sicherheitsma\u00dfnahmen, um die korrekte App-TAN-Freigabe abzusichern. Aber die bereits erw\u00e4hnten Forscher aus Erlangen kritisieren den Ansatz und haben in einem Versuch einen Angriff auf die Kombination der Sparkasse-App und der S-pushTAN-L\u00f6sung auf einem Smartphone demonstriert. Dabei konnte die \u00dcberweisung auf ein anderes Konto als vom Kunden angegeben, umgeleitet werden. Die Internetseite heise.de hat einen Beitrag<\/a> zum Thema ver\u00f6ffentlicht. <\/p>\n Falls also Online-Banking genutzt wird, empfiehlt sich in meinen Augen (momentaner Kenntnisstand) entweder die Absicherung mittels des HBCI-Standards (wird selten angeboten und die L\u00f6sung l\u00e4uft nicht \u00fcberall). Oder man verwendet einen, von vielen Banken angebotenen, TAN-Generator in Verbindung mit der Chipkarte (EC- bzw. Bankkarte) – siehe diese Seite<\/a>. <\/p>\n Die obige Abbildung zeigt einige h\u00e4ufig eingesetzte TAN-Generatoren der Firma Reiner aus einem Sparkassen-Shop. Die Generatoren kosten nicht viel und laufen mit Knopfzellen \u00fcber Jahre. Nur wer die Bankkarte besitzt, kann mit dem Online-Konto \u00dcberweisungen t\u00e4tigen. Bei jeder \u00dcberweisung wird ein optischer \"Flickercode\" im Browser im Formular angezeigt. Der TAN-Generator kann diesen Flickercode optisch lesen und eine TAN berechnen. Diese wird dann im Browser-Formular zum autorisieren der \u00dcberweisung eingetragen. Hier findet sich eine Erkl\u00e4rung<\/a> auf einer Bankseite. Da die TAN f\u00fcr jeden Vorgang einzeln generiert wird und keine Funkverbindung zum TAN-Generator besteht, gilt dieses Verfahren als sicher. Das Ganze funktioniert auch auf einem Tablet PC (Android oder Apple iPad) \u2013 und wohl auch auf einem Smartphone, wenn die Bildschirmgr\u00f6\u00dfe stimmt und das Feld zum Lesen des Flickercodes gro\u00df genug angezeigt wird. <\/p>\n \u00c4hnliche Artikel:<\/strong> Nutzer, die Online-Banking mit Smartphone und Tablet erledigen, sollten sich mal wieder Gedanken um die Sicherheit der Transaktionsabsicherung machen. Die mittlerweile von Banken angebotenen App-TANs sind potentiell unsicher.<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[23,9],"tags":[48,11],"class_list":["post-520","post","type-post","status-publish","format-standard","hentry","category-computer","category-sicherheit","tag-online-banking","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.eu\/senioren\/wp-json\/wp\/v2\/posts\/520","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.eu\/senioren\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.eu\/senioren\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.eu\/senioren\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.eu\/senioren\/wp-json\/wp\/v2\/comments?post=520"}],"version-history":[{"count":0,"href":"https:\/\/borncity.eu\/senioren\/wp-json\/wp\/v2\/posts\/520\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.eu\/senioren\/wp-json\/wp\/v2\/media?parent=520"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.eu\/senioren\/wp-json\/wp\/v2\/categories?post=520"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.eu\/senioren\/wp-json\/wp\/v2\/tags?post=520"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}![\"BankTAN\"](\"https:\/\/borncity.eu\/senioren\/wp-content\/uploads\/2015\/10\/BankTAN_thumb.jpg\" "\\"BankTAN\\"")
<\/a><\/p>\n\n
Sicherheitsforscher konnten die App-TAN-Freigabe aushebeln<\/h3>\n
![](\"https:\/\/i.imgur.com\/7Fw5Ngd.jpg\")
<\/p>\n
Online-Banking-Betrug bei Telekom-Mobilfunkkunden<\/a>
Online-Banking: mTAN und Banking-Apps unsicher<\/a>
Online-Banking-Riskio: Trojaner und mTAN-Betrugsmasche<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"