Follow

In Sommer 2022 schaffen einige Banken das smsTAN-Verfahren ab. Dessen Nutzerinnen und Nutzer sollten rechtzeitig auf eine Alternative umstellen, die dann einen ChipTAN-Generator oder ein Smartphone erfordert.

Hierbei muss beachtet werden, dass nicht jede Bank jedes TAN-Verfahren anbietet und diese durchaus unterschiedliche Sicherheitseigenschaften aufweisen.

Weitere Informationen: bsi.bund.de/dok/1034074

@bsi
Wenn Ihr #ChipTAN (TAN-Generator) nutzen wollt: Fragt ggf. bei Eurer Bank noch mal explizit nach. mEn pushen viele Banken leider nur noch ihre Apps (die zudem auf #CustomROMs oft nicht funktionieren), bieten die Option aber trotzdem (versteckt) an

Wie ist eigentlich der Stand bei der @glsbank ?

@caos @bsi @glsbank Die GLS Bank bietet sowohl SecureGo plus als auch ChipTAN an. Ab Mai ist auch bei denen keine smsTAN mehr möglich. CustomROMS sind meines Wissens nicht möglich bei GLS.

@caos @bsi #ChipTAN hat bei mir nie wirklich funktioniert. Unterschiedliche Monitore, die "Blinkerbalken" musste immer angepasst werden, viele TFTs mochte der Leser gar nicht und ganz wichtig: wenn man ihn wirklich mal brauchte, lag er zu Hause.

@sesom42
Die neueren Dinger lesen einen QR-Code. Damit ist das Problem mit der Bildschirmanpassung dann wohl vom Tisch, wenn ich das richtig verstanden habe.
@caos @bsi

@oausi
gut, wobei die Bildschirmanpassung mE verschmerzbar und in 2-3 Sekunden erledigt ist @sesom42
für Bankgeschäfte unterwegs (die ich nicht mache) ist der Komfortverlust sicher bisschen größer
@bsi

@caos @oausi @sesom42 @bsi
Für mobile banking gibt es auch die Möglichkeit, das chipTAN-Gerät über Bluetooth anzubinden statt visuell (sofern Gerät und App das unterstützen). Das funktioniert erfahrungsgemäß sehr bequem.

@bsi ja... Ein bitterer Tag für Menschen ohne Google oder Apple Smartphone ☹️

@mklein @aslmx @bsi
Ich habe sämtliche Beschwerden dazu geschrieben (auch bei Datenschutzbehörden), aber keiner fühlt sich in der Pflicht, was dagegen zu tun! 🤬

@mklein @aslmx @bsi Die DKB schafft ChipTAN auch Stück für Stück ab. Mittlerweile kostet für Neukunden dort die normale Girokarte Geld. Sprich wer ChipTAN nutzen will zahlt extra.
Google und Apple user werden dann bevorzugt behandelt...

@aslmx @bsi Kannst doch noch einen Tan Generator nutzen der ganz sicher ohne Unixodes Betriebssytem auskommt.

@f2k1de
Ich kann auch zur Bank laufen und meine Geschäfte ohne TANs analog durchführen 😉

Es wird wohl auf so einen 10€ Hardware TAN Generator hinauslaufen, sofern ich mir nicht ein anders Smartphone organisiere, aber eigtl. will ich das Ding nicht mit mir rumschleppen... (Ja, ich mache Bankgeschäfte von unterwegs aus...)

@bsi

@bsi
Die Postbank schafft im Mai das ChipTAN-Verfahren ab. Folge: Der alte, noch völlig funktionsfähige ChipTAN-Generator kann nicht mehr genutzt werden und muss durch ein neues, teureres Gerät ersetzt werden. Oder man wechselt zum App-Verfahren, welches den Google-Playstore oder den Apple-Store sowie ein nicht gerootetes Gerät voraussetzt.

@D22 @bsi
Ich nutze ein googlefreies System, auf dem die App läuft. Aber leider aus dem Store.

@toriaka @D22 @bsi
Nutze gerootetes, googlefreies (microG) Android mit LineageOS und Magisk. Die Postbank-APP läuft problemlos, die TAN-Aoos von Sparkasse und DKB erfordern gebastel.
Will chipTAN behalten :mastosob:

@toriaka @bsi Ja, mit CalyxOS oder GrapheneOS geht das. Dennoch wird bei allen, die das nach wie vor sehr sichere ChipTAN-Verfahren nutzten, ein elektronisches Gerät unnötigerweise zu Elektroschrott.

@bsi
Jup, ne richtige Sauerei ist das. Chiptan kostet ein Schweinegeld und wenn man kein Smartphone hat (wie viele ältere Menschen) hat man keine Alternative.

@bsi Ein Unding, dass die Banken meinen, Apple oder Google erzwingen zu müssen. Und das vor allem anscheinend dürfen?

@blizzz @bsi DHL darf das leider auch. Wenn du Packstation nutzt, kommst du an der App nicht mehr vorbei. Immerhin lauft die APP auf meinem Lineage. Anders als dir SecureGo Tan App 😐

@blizzz @bsi

@digitalcourage ihr hattet ihr nicht mal so ne "Digitalzwang" Aktion?
Fällt solches Google/Apple Zwang darunter?

@bsi #PushTAN ist ein Witz. Bei PushTAN muss ich zuerst einmal meine Bankverbindung auf der Webseite eingeben, dann entsperre ich das Handy, bekomme eine Benachrichtigung, öffne die App, klicke dort auf "Weiter", muss mich anmelden, bekomme Buchungsdaten und TAN angezeigt und muss diese, statt eines einfachen Bestätigen-Klicks, wieder in der Bezwahlwebseite eingeben.

Beim Bezahlen mit #Paypal werde ich auf deren Webseite weitergeleitet, melde mich an, bestätige Empfänger und Betrag. Fertig.

@sesom42 @bsi
ich finde den Zwang mit in irgendeiner App, die ich nicht will, auf einem Telefon, das ich nicht komplett unter Kontrolle habe, mich beim Banking anzumelden unsicher.

Beim comdirect+commerzbank GAB es mal eine FotoTAN. Da war keine Anmeldung erforderlich.

@bsi
Wie wäre es, wenn jemand endlich mal eine Petition einreicht zur Erhaltung des chipTANs? Es ist deutluch besser als ne App, da sie mindestens 3 Komponenten fordert:
- Computer (wo man bankt, kann auch das Smartphone sein)
- Kontokarte (nicht Kreditkarte, warum auch immer)
- TAN-Generator
- Loginpasswörter und PINs

Demnach das sicherste System, das ich kenne. Ohne Google-Rotz etc.

@bsi Kennt jemand eine Bank, die ein standardisiertes zwei-faktor-verfahren verwendet? (z.b. TOTP)

Dann könnte man die Implementierung frei wählen und wäre nicht von der App der Bank abhängig.

#FreieSoftware #OffeneStandards

@hexmasteen Zumindest chipTAN und SmartTAN optic sind in deutschland bankübergreifend kompatibel soweit ich weiß: https://de.wikipedia.org/wiki/Transaktionsnummer#chipTAN_comfort_bzw._SmartTAN_optic_(Flickering). Ob das standardisiert ist weiß ich nicht. @bsi

@tastytea @hexmasteen @bsi
Sind auch standards.
Soviel ich weiß ist das Problem an der Sache, dass die TAN mit oder aus den Transaktionsdaten an sich heraus erstellt werden soll.
TOTP wäre mir auch wirklich das liebste dafür.

Wie auch bei der Packstation von DHL.

@alsternerd Die TAN wird aus den transaktionsdaten und daten aus dem chip der bankkarte generiert. Das macht es sicherer als TOTP, denn der chip lässt sich nicht so leicht faken (wenn es ordentlich implementiert ist) und du kannst die IBAN und den betrag auf dem gerät prüfen. @hexmasteen @bsi

@tastytea @hexmasteen @bsi
Tjoa, puh, lässt sich halt auch auf dem Gerät faken, wenn's nicht gerootet ist.

Das angenehmste war wirklich die SMS, auch weil's unsicher genug war, das man der Bank nen Irrtum geben konnte.

@tastytea @hexmasteen @bsi
Ich finde das aber auch sehr irritierend mit dem Betrag zusätzlich auf einem zweiten Gerät prüfen müssen.

Dann mach doch lieber im Interface ein Zeitlimit von 10 Minuten, bis zur tatsächlichen Ausführen und solange eine Möglichkeit zum Abbruch.

@alsternerd Das sind eigene geräte, das ist der vorteil daran. Da schiebste die bankkarte karte rein und hältst die sensoren an nen flickercode bzw. gibst den start-code ein. Als angreifer brauchst du also zugriff auf so ein gerät, die karte und den flickercode/startcode. Und du musst nicht überprüfen, kannst es aber wenn du extra sicher sein willst. Bei TOTP brauchst du nur einmal das geteilte geheimnis und kannst soviele TANs generieren wie du willst. @hexmasteen @bsi

@alsternerd @tastytea @hexmasteen @bsi Und wie genau so eine 10-minütige Verzögerung helfen, nicht von dir ausgelöste Zahlungen zu verhindern?
Das kann eigentlich auch nicht die Lösung sein.

@tastytea @hexmasteen @bsi @alsternerd Die genannten Punkte übrigens eine zwingende Anforderung an dieses Verfahren.
Es muss einen Bezug zum Konto und der jeweiligen Transaktion geben, damit der Kunde exakt versteht, was er gerade freigibt.

@tastytea @hexmasteen @bsi Diese Verfahren werden zwar von den meisten Banken angeboten, diese sind untereinander aber in aller Regel nicht kompatibel.
Böse Zungen behaupten, dass man es den Kunden nicht zu einfach machen möchte, mehrere Konten parallel zu verwalten.

@tastytea @hexmasteen @bsi Ach ja, eines noch.
Immer mehr Banken bieten entweder keine girocard mehr an oder nur noch separat gegen Aufpreis.
Damit sind die bestehenden Chip-TAN Verfahren dann auch obsolet.

@hexmasteen @bsi Ein normales TOTP wirst du im Bankenumfeld nicht finden.
Hintergrund ist, dass bei der Freigabe einer Transaktion ein Bezug zu dieser Transaktion bestehen muss.
Einfaches TOTP kann das nicht abbilden. Im Zweifel könnte es sogar passieren, dass zwei Vorgänge den gleichen 2FA-Code nutzen würden, wenn man sie schnell genug hintereinander anstößt.

@bsi
Etwa die Hälfte der Smartphones in Deutschland läuft mit einem Betriebssystem, das bekannte Sicherheitslücken hat. Viele davon führen sogar ungeprüfte Drittanbietersoftware mit backdoors oder unsichere Browser aus, sodass diese Geräte durch leicht angegriffen werden können.
Warum ist ein App-basiertes Verfahren zur Authorisierung von Bank-Transaktionen in solchen Fällen akzeptabel?

@larma
Weil SMS-TAN über das gleiche Gerät läuft, aber bei der Übertragung noch weniger abgesichert ist. SS7 **hust**. Aber ein dediziertes Gerät ergibt schon deutlich mehr Sinn.
@bsi

@BUNDjugend_ak_digi @bsi
Das smsTAN nicht sicher ist, ist mir klar. Allerdings kann der Empfang der SMS auch auf einem Dumbphone erfolgen, sodass das Telefonnetz der einzige Angriffsvektor ist.

Aber pushTAN sollte eben nicht als sichere Alternative betrachtet werden. Ich sehe in der Praxis Angriffe auf diese Verfahren und niemanden scheint es zu interessieren.

@BUNDjugend_ak_digi @bsi
Insbesondere das bereits vollständig abgeschaffte iTAN-Verfahren (indizierte Papier-Liste) erscheint mir sicherer als pushTAN. Hier braucht es vielleicht etwas mehr Erklärungen damit weniger auf Social Engineering Angriffe reinfallen.

@larma
Der Grund warum die Banken AppTAN machen ist, dass sie Geld sparen, nicht, weil es sicherer ist.
@bsi

@larma @BUNDjugend_ak_digi @bsi

Apps der Banken haben eine riesige Sicherheitslücke die Daten gefährdet.
Die Sicherheitsüberprüfung läuft in der Regel über die SafetyNet Api, die API prüft ob Google Dienste installiert sind. Bei Datenschutz konformen Smartphones funktionieren die Apps nicht.

Ich habe schon deswegen Bug reports an Banken gesendet, denen stört das aber nicht.

@larma @bsi

Besonders verstörend finde ich dann immer wenn Apps ein Smartphone mit aktuellem LineageOS hingegen als "unsicher" ablehnen und den Dienst verweigern (selbst wenn es nicht gerootet ist)

Also zumindest für #PhotoTAN via deutsche bank kann ich ein dediziertes gerät verwenden welches exakt nur diese funktion hat.

So ne wirre TAN app aufs handy käme nicht in frage... sowas von nicht. ;)

@bsi

Nur zur Info!
Die meisten Apps funktionieren auf datenschutzkonformen Smartphones nicht.

Die meisten Probleme kann man mit diesen Tools leicht beheben
github.com/microg

github.com/luk1337/ih8sn/relea

@j_r @bsi @glsbank Das weiß ich eben nicht genau, die PSD2 schreibt nämlich eigentlich nur vor, dass es zwei Faktoren sein müssen und jede TAN mit der Transkation verknüpft sein muss, statt nur mit der Uhrzeit. Ne SMS ist also eigentlich ok

Sign in to participate in the conversation
social.bund.de

Dies ist der Mastodon-Server des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI).