Lesestoff: Polizei warnt vor mTAN-Verfahren

Berliner Polizei warnt: Präventionshinweis für Onlinebanking im mTAN-Verfahren.

In den letzten Wochen sind beim Landeskriminalamt Berlin Strafanzeigen eingegangen, bei denen Bankkunden, die am SMS-TAN-/mTAN-Verfahren teilnehmen, Opfer von betrügerischen Geldabbuchungen geworden sind. In allen Fällen wurde die über SMS übermittelte mTAN für das Online-Banking abgefangen bzw. umgeleitet. Betroffen waren bislang Bankkunden, die ein Smartphone mit Android-Betriebssystem nutzen.

(Oder wie mein Bankbetreuer zuletzt mitteilte, als ich Skepsis gegenüber mTAN vorbrachte: Das ist vollkommen sicher, was soll da schon passieren?)

Tagesschau.de: Mikroblogging in China – Meinungsfreiheit in engen Grenzen.

Auch in China war einer der wichtigsten gesellschaftlichen Trends der vergangenen Jahre der Aufstieg des Internets. Auf Mikroblogs, Chinesisch „Weibo“, finden lebhafte Diskussionen statt – auch über kritische Themen. Mit echter Meinungsfreiheit hat das aber trotzdem nichts zu tun.

DRadioWissen: Terror-Daten für BND und Polizei.

Die seit 2007 aktive Datei soll helfen, mit schnellem Informationsaustausch zwischen den Sicherheitsbehörden insbesondere islamistische Terroranschläge zu verhindern. Derzeit sind mehr als 16.000 Personen gespeichert. Das Problem: Die im Nachkriegsdeutschland traditionelle Trennung von Polizei und Geheimdiensten wird durch die Arbeit mit der Datei aufgeweicht. Constanze Kurz vom Chaos Computer Club war als technische Sachverständige bei der Anhörung des Bundesverfassungsgerichts zur Antiterrordatei dabei. Das Verfahren läuft weiter.

TheVerge: AT&T’s flip-flop on FaceTime over cellular should scare you.

Weeks after taking enormous heat from consumers, public interest groups, and the media (like us), AT&T is doing an about-face on its controversial decision to limit iOS 6’s support for FaceTime over cellular to its new, pricier Mobile Share plans. That’s great, but don’t give AT&T an ounce of credit — the move is mysteriously taking eight to ten weeks to implement, and it’s merely restoring functionality that should’ve been present from day one. It also would’ve never happened had organizations like Public Knowledge and Free Press not made it clear to AT&T that they’d pursue all legal avenues to get the block removed. „We got to a place that we think fixes the problem for AT&T’s customers faster than would otherwise have happened, had we not indicated our willingness to file,“ Public Knowledge’s John Bergmayer told us.

Time.com: Eye Am a Camera: Surveillance and Sousveillance in the Glassage.

Digital eye glasses like Google’s Project Glass, and my earlier Digital Eye Glass, will transform society because they introduce a two-sided surveillance and sousveillance. Not only will authorities and shops be watching us and recording our comings and goings (surveillance as we know it today), but we will also be watching and recording them (sousveillance) through small wearable computers like Digital Eye Glass. This affects secrecy, not just privacy. As one of the early inventors and developers of wearable computing and reality augmenting and mediating, I was asked by TIME Tech to write about the history and future predictions of these technologies.

Cory Doctorow im Guardian: There’s no way to stop children viewing porn in Starbucks.

I don’t have a good plan for stopping kids — even my kid — from seeking out bad stuff on the internet. I sit with her when she uses the net (something I can do while she’s small and doesn’t have her own phone) and help her understand how to navigate the net, and what I expect from her. I can only hope that this will be sufficient, because there is no filter, no app, no parental control, that will stop her from getting access to bad stuff if she really wants to. That’s the reality of things. If the Chinese government – with its titanic resources and armies of network engineers – can’t stop its citizens from seeing the things it wants to block, what hope do I have?

Sascha Lobo bei Spiegel-Online: Hä? Hä? Hä?

Mächtige Institutionen in Deutschland verweigern sich konsequent der Internet-Zukunft. Für den normalen Bürger ist das nicht verständlich, immer häufiger fragt man sich „Hä?“. Die Grundlagen für unsere neue Lebenswelt schaffen derzeit andere.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

26 Ergänzungen

  1. „Polizei warnt vor mTAN-Verfahren“ Auch schon, faszinierend ; hat nicht gerade die Post bei ihren Packstationen genau auf dieses System umgestellt … Als nächstes kommt „´Warnung vor ausschließlich 5-stelligen Bank-PINs“ ;)

    1. Jupp, das Gleiche ist mir auch durch den Kopf getrudelt. Dass mTAN nicht sicher ist, zumindest wenn man ein Smartphone verwendet, war aber auch schon vorher eine ganze Weile bekannt. Für die Packstation, für die der Mist jetzt Pflicht ist, habe ich jedenfalls irgendeine dusselige Prepaid-Karte plus 15-EUR-0-8-15-Handy (hat‘ ich noch in der Schublade) besorgt. Das wird nur angeschaltet, wenn ich Post erwarte (also wenn die eMail kommt). Hat zudem den angenehmen Nebeneffekt, dass die Post dann nicht allzu viel relevante Daten von mir bekommt.

  2. ich glaube, als meine Bank mTAN (mir) angeboten hat, war da ein Vermerk: Natürlich empfehlen wir, ein Mobiltelephon (nicht-Smartphone), nur für mTAN bereit zu halten da für klassische Smartphones nicht von einem trusted partner ausgegangen werden kann…

  3. Leute, was soll man zu dem mTan-Verfahren sagen? Grips einschalten (was soll denn bitte „mTan-Verfahren aktualisieren“ sein?) und schon sinkt die Gefahr, Opfer solcher Straftaten zu werden ganz erheblich.

  4. [SMS-TAN-/mTAN unsicher]
    Betroffen waren bislang Bankkunden, die ein Smartphone mit Android-Betriebssystem nutzen.

    Mit Verlaub, selber schuld. „Smartphones“ sind nunmal Allzweckrechner in sehr kleinem Format mit all ihren Vor- und Nachteilen. Bei den aktuellen für Preisen für reine Mobiltelefone (gebraucht praktisch 0 Euro) und Prepaid-Karten (bei entsprechenden Aktionen 0 Euro) ist es nun wirklich kein Problem für mTAN ein eigenes „dummes“ Gerät zu nutzen.

    Letztlich liegen die Gefahren bei mTAN doch eher in der einseitigen Sicherheit: Behauptet die Bank ich hätte eine Transaktion per mTAN legitimiert habe ich keine Möglichkeit das zu widerlegen. Leider bietet keine mir bekannte Bank eine Möglichkeit einfach einen öffentlichen Schlüssel (von mir generiert!) zu hinterlegen und nur entsprechend signierte Aufträge zu bearbeiten :-/

    1. Wir haben hier so ein kleines chipTAN Gerätchen. Ist zwar vielleicht nicht ganz so komfortabel wie die mTAN (das Geblinke vom Bildschirm zu lesen, ist manchmal eine Kunst für sich und mobil müsste man das Gerät mit schleppen), scheint aber bisher weitestgehend sicher zu sein. Und da geht mir die Sicherheit doch bedeutend vor die Benutzerfreundlichkeit – auch dem eigenen Intellekt sollte man nicht immer trauen ;)

      1. Man sollte bei ChipTAN auf Sammelüberweisungen verzichten, da auch die aktuelle Geräte-Generation hierbei keine Überweisungs-Details im Display anzeigt, man also bei Sammelüberweisungen Bankleitzahl und Kontonummer der Empfänger nicht über das Display des Generators unabhängig vom PC überprüfen kann, worauf aber eben die ganze Sicherheit des Verfahrens basiert.

    2. Leider bietet keine mir bekannte Bank eine Möglichkeit einfach einen öffentlichen Schlüssel (von mir generiert!) zu hinterlegen und nur entsprechend signierte Aufträge zu bearbeiten :-/

      Einige Banken bieten das zusammen mit HBCI/FinTS an. Allerdings ist HBCI/FinTS (ohne Secoder-Kartenleser) technisch unsicherer wie mTAN oder ChipTAN, da der Nutzer keine Möglichkeit hat unabhängig vom PC zu überprüfen was für Daten er überhaupt mit seinem Kartenleser signiert. Dies wurde erst mit der Einführung des Secoder-Standards behoben, den aber meines Wissens nach bislang noch keine Bank zusammen mit HBCI/FinTS unterstützt.

  5. Oh man, jetzt bekomme ich Angst. Auch ich nutze das mTAN Verfahren und habe ein Android Betriebssystem auf meinem Smart. Werde mich gleich mal bei meiner Bank erkundigen was man da machen kann. Am besten auf Kartenlesegerät umstellen oder wieder die TAN-Liste ;-) Aber was ist heutzutage denn noch 100 Prozent sicher!?

    1. TAN-Liste … da hab ich die Pfeifen damals aber zusammengesch*, als die mir erzählen wollten, das neue iTan-Verfahren sei doch so viel sicherer als das herkömmliche … Das einzige, was das damals gebracht hatte, war, dass man die Listen nicht mehr in der Mitte auseinander schneiden kann.

      Ansonsten: Dass mTan anfällig ist, wissen wir ja schon länger, auch die entsprechenden Trojaner sind schon länger bekannt (eigentlich müsste man die Polizisten verpflichten, heise oder Golem mitzulesen). Aber es ist immer noch eines der besseren Verfahren, zumindest für Leute, die weder unter Windows noch Android Schadsoftware haben. Das Chip-Tan-Verfahren ist einfach nur unbequem und erfordert ähnliche Aufmerksamkeit (d. h. auf dem tollen Display die Kontonummer vergleichen etc.)

      Theoretisch bräuchten wir extra Geräte ohne Netzanbindung, in die man Kontonummer + Betrag eintippt, mit einer PIN/Passwort bestätigen und das Ergebnis (irgendein Hash) an die Bank weiterleitet.

      1. Theoretisch bräuchten wir extra Geräte ohne Netzanbindung, in die man Kontonummer + Betrag eintippt, mit einer PIN/Passwort bestätigen und das Ergebnis (irgendein Hash) an die Bank weiterleitet.

        Ähm, genau das leistet das von dir im Absatz darüber noch so geschmähte ChipTAN-Verfahren.

        Der „Flicker-Code“ ist nur eine Komfort-Funktion. Bei den Geräten mit Tastatur kann man alternativ auch Bankleitzahl, Kontonummer und Betrag selbst eintippen (Taste „TAN“ statt „F“ bei der TAN-Erzeugung).

  6. Ist doch kein Wunder. Beim normalen TAN-Verfahren hat man ein Passwort und eine Papierliste. Beides gibt man ein. Hat man einen Trojaner fängt der das eventuell ab. Wird aber schnell auffällig, wenn man mehrmals TAN eingeben muss.

    Beim mTAN hat man ein Passwort und… eine Mobiltelefonnummer, die man mit diesem Passwort ändert.
    Hat man einen Trojaner, fällt das gar nicht auf, da man nichts extra eingeben muss. Da verändert dann *Verbrecher* die Telefonnummer und fertig.
    Außerdem muss man – auch im Mobilfunkloch – bereit sein, die SMS zu empfangen, die auch mal eine Weile auf sich warten lässt.
    Schlechter und anfälliger. Echt toll, dieses ach so sichere Verfahren.

  7. Ich musste mir ein wenig das Lachen verkneifen. „Oh, ein sprechender Elch möchte meine Kreditkartennummer! … Das finde ich fair!“
    Kein Sicherheitssystem kann solche sachen vermeiden, weder elektronisch noch „in echt“. Da hilft nur ein Mindestmaß an Aufklärung.

  8. Ein „Me too“ zum mTAN Problem: Die Möglichkeit, den Kunden auf sozialer Ebene auszutricksen ist für mich kein Grund, das System unsicher zu bezeichnen.

    Metapher:
    Mit einer traurigen Geschichte kann ich viele alte Menschen dazu bringen, mir ihre Wohnungstür zu öffnen und mich einzulassen. In einem unbeobachteten Moment kann ich sie dann leicht bestehlen. Ich glaube aber nicht, daß jemand deswegen auf die Idee käme, das Konzept „Wohnungstür“ als unsicher zu definieren, und davon abzuraten, eine Tür in seine Wohnung einzubauen.

    1. sicherlich erhöht ne tür deine Sicherheit – aber es kommt eben auch auf die tür an – stell dir ne einfache holztür ohne schloss vor – kann man immernoch so rein nur man sieht von außen nich wo du bist. Ist das wirklcih sicherer? – ein klein wenig ja – aber richtig schützen tut se dennoch nicht.
      und da setzt es ja an – es gibt sicherlich auch sichereres als mTAN. schützt zwar grundlegend schon, aber es gibt auch eindeutig sichereres. also wenn ich befürchte dass bei mir wer einbrechen will nehm ich dann doch lieber ne bessere tür mit nem vernünftigen schloss dran.

      1. Das ist unsinnig. Es gibt auf dieser Welt keine Tür oder Alternative zur Tür, die verhindert, daß ein Bewohner mir freiwillig öffnet, weil ich ihn überzeuge/austrickse. Genau darum geht es doch: Hier liegt ein soziales Problem vor. Und soziale Probleme kann man nicht mit technischen Lösungen beseitigen.

        Darüberhinaus sprichst Du mehrmals von sichereren Lösungen als mTAN. Wenn Du was kennst, die sicherer und dennoch immer noch gut benutzbar ist, dann bin ich ganz Ohr. Kriterien für „gut benutzbar“ könnten z.B. sein: Geringe Anschaffungskosten, Kompatibilität mit verschiedensten Betriebssystemen (v.a. offenen, z.B. wenn nur Browser nötig), und von Banken unterstützt, deren Filialen nicht nur städtisch verfügbar sind.

        Denn in der Metapher wäre die Tür nur sicher, wenn sie zugemauert wäre. Merkst selber, ne?

      2. @ Sleeksorrow:

        ChipTAN ist sicherer als mTAN, da es sich um speziell abgesicherte Geräte handelt, die ausschließlich fürs Online-Banking entworfen wurden. Zusätzlich muss bei mTAN auch noch die Sicherheit des Handy-Netzes in Betracht gezogen werden. Auch verlangen einige Banken Gebühren für jede per SMS verschickte mTAN, was man sich bei ChipTAN sparen kann.

  9. Diese Angriffe sind bereits seit längerem bekannt, allerdings werden dazu bis jetzt keine Sicherheitslücken ausgenutzt, sondern der Nutzer muss den Trojaner, der die mTANs vom Handy abgreift, noch selbst installieren:

    http://www.heise.de/security/meldung/Banking-Trojaner-ZeuS-nimmt-SMS-TAN-Verfahren-ins-Visier-1096613.html

    Am besten verwendet man für mTAN aber gleich ein Uralt-Handy, das nichts anderes kann als telefonieren und SMS empfangen oder noch besser einen ChipTAN/SmartTANPlus Generator. Ein speziell abgesichertes Gerät, das es erlaubt unabhängig vom potentiell verseuchten PC die Transaktionsdaten im eigenen Display noch einmal zu verifizieren:

    http://www.reiner-sct.com/index.php?option=content&task=view&id=162

  10. So ganz verstehe ich jetzt aber noch nicht worin hier das grosse Sicherheitsproblem an sich sein soll. Klar wenn der Onlinebanking Rechner und das Telefon vom selben Trojaner unter Kontrolle gehalten wird, dann hat man ein Problem! Aber letztlich hat man doch immer noch 2 getrennte Übertragungswege und 2 getrennte Geräte.

    Dass Angreifer nun Versuchen auf beide Geräten in möglichst geschickter weise den Trojaner zu installieren, finde ich eigentlich nicht überraschend!

    Verglichen mit anderen online-Zahlungsverfahren ist das schon nicht so schlecht (Kreditkarte, Paypal, …)

  11. Es ist doch offenbar nicht die M-Tan, die unsicher ist, sondern das bedenken- und kritiklose nutzen von Smartphones samt Betriebssystemen mit Sicherheitslücken. Es kann doch nicht die Lösung sein, ein extra Gerät vorzuhalten für Transaktionen, die durch die Nutzung von Mobilgeräten und elektronischer Kommunikation eigentlich erleichtert werden sollten… schöne neue Welt! Selber denken macht schlau.

    1. Es kann doch nicht die Lösung sein, ein extra Gerät vorzuhalten für Transaktionen, die durch die Nutzung von Mobilgeräten und elektronischer Kommunikation eigentlich erleichtert werden sollten

      Wieso nicht? SmartPhones so wie ChipTAN abzusichern wäre ein ungleich höherer Aufwand und daher auch mit entsprechenden Kosten verbunden. Man baut ja auch Tresore und Kleiderschränke, statt alle Kleiderschränke auf das Sicherheits-Niveau von Tresoren aufzurüsten.

      1. Ich finde Deine einseitige ChipTAN Werbesendung seltsam. Ja, smsTAN ist nicht der Weisheit letzter Schluß, aber Du blendest die Nachteile von ChipTAN völlig aus und preist das als sicherere Lösung an. Das ist so gefährlich wie falsch.

        Wie oben gesagt, ChipTAN trickst man mit nur einem Trojaner aus, statt mit zweien. Und warum? Weil der TAN Generator keinen eigenständigen Kommunikationskanal hat, im Gegensatz zu einer SMS aufs Handy.

        Weiterhin basiert die Sicherheit dieser Lösung darauf, wie sicher ich meine Chipkarte verwahre. Diese Karte brauche ich nur alle 3-4 Tage. Wird sie mir gestohlen, braucht der Angreifer nur noch meine Online PIN und kann sich bedienen. Den Verlust der Karte merke ich erst nach Tagen. Mein Smartphone hab ich alle paar Minuten in der Hand und bei Verlust wird die SIM Karte sofort gesperrt.

        Darüberhinaus sind sogar die höherwertigen TAN Generatoren extrem instabil. Ich habe meinen (nicht den billigsten) 3x austauschen lassen müssen. Nach nur je 2 oder 3 Überweisungen hat er meine Chipkarte nicht mehr erkannt. Und jedesmal konnte ich die gerade anstehende dringende Überweisung dann tagelang nicht ausführen. Als dann der dritte Generator drauf ging, ist er wortlos in die Tonne geflogen.

      2. Wie oben gesagt, ChipTAN trickst man mit nur einem Trojaner aus, statt mit zweien.

        Wie oben gesagt, dass man den Sammelüberweisungsmodus nicht verwenden sollte habe ich schon Gestern geschrieben, abgesehen davon ist das Verfahren sicher.

        Und warum? Weil der TAN Generator keinen eigenständigen Kommunikationskanal hat, im Gegensatz zu einer SMS aufs Handy.

        Darauf kommt es im Kampf gegen Trojaner überhaupt nicht an, sondern auf eine vom PC unabhängige Anzeige der Überweisungsdaten auf einem zweiten Gerät.

        Bei mTAN kann man daher versuchen sowohl den PC als auch das SmartPhone gleichzeitig zu infizieren, bei ChipTAN geht das nicht, da die Geräte nur fürs Online-Banking ausgelegt sind und auch die Firmware nicht geändert werden kann, daher ist ChipTAN eben sicherer.

        Was die Geräte betrifft: Also mein ChipTAN-Generator funktioniert noch. Vielleicht mal ein anderes Modell oder einen von einer anderen Firma probieren (es gibt ReinerSCT und Kobil).

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.