π

Der Tod der Papier-TANs

Show Sidebar

Offenbar ist es so, dass neue Vorgaben der Europäischen Bankenaufsichtsbehörde die Banken zwingen, die Papier-TANs durch Zwei-Faktor-Authentifizierung abzulösen:

Als Grund für die neuen Regeln wird von den Banken die mangelnde Sicherheit der Papierlösung angeführt.

Und:

Dass die Verwendung von per SMS versendeten Zugangscodes tatsächlich sicherer ist, ist zwar strittig, aber die neuen Regeln müssen von den Banken umgesetzt werden. Gerade bei Phishing-Attacken soll das SMS-System, das die Papier-Listen meist ersetzt, laut den Finanzinstitutionen besseren Schutz bieten als Papier-TANs. "Bei perfekter Handhabung mögen Papier-TANS vielleicht sogar sicherer sein, aber die Menschen sind unachtsam und bewahren sich die TAN-Listen beispielsweise oft mit Verfügernummern und Passwörtern gemeinsam auf. Das ist problematisch. Beim SMS-System gibt es sehr wenige Schadensfälle", sagt ein Bank-Austria-Sprecher der futurezone.

Übersetzt bedeutet das, dass wegen der Unfähigkeit mancher, mit sensiblen Daten auf Papier achtsam umzugehen, die Sicherheit aller verschlechtert wird. Das muss man sich auf der Zunge zergehen lassen.

Die Zusendung der Papier-TANs konnte ich per Netbanking überwachen, sodass ein Abgreifen der Listen am Postweg ausscheidet. Die empfangenen Papier-TANs wurden bislang von mir gescannt, der Zettel vernichtet, Scan per OCR in Text/Zahlen umgewandelt und ausschließlich in meinem Passwort-Safe vorrätig gehalten, auf den ich sehr aufpasse: Open Source, AES-verschlüsselt, offline, kein Handy, keine Cloud. Ein einfaches Abgreifen meiner TANs war somit nur mehr durch sehr aufwändiges targeted cracking, wie sie unsere Regierungen gegen uns verwenden, möglich. Dagegen kann man sich kaum wehren. Die restlichen, wesentlich häufigeren Angriffsszenarien waren aus meiner Sicht damit ganz gut abgedeckt.

Ich habe auch schon leidigliche Erfahrung mit einem chipTAN mit optischem Sensor gemacht, der eine sichere Alternative darstellen würde: die Usability ist leider noch mies, die technische Umsetzung funktioniert nur in einer geringen Zahl an Versuchen. Der Frustpegel dabei ist enorm hoch. Ich benutze das Ding somit nicht mehr.

Deshalb bin ich betrübt über den Zwang zu TANs per SMS. Denn: ich vertraue meinem Handy leider so gar nicht. Zu viele Einfallstore sind hier möglich und werden tatsächlich aktiv auf breiter Front ausgenutzt. Sogar meine Handy-Tastatur-App verlangt Zugriff auf das Internet. Das Abfangen von SMS (mTANs) als Man-in-the-middle ist mit sehr wenig Kosten und mittelmäßigem IT-Wissen möglich. Es gibt Berichte von zahlreichen erfolgreichen Angriffen, wo Handys als auch Computer von Personen mit Malware infiziert war, der die abgefangenen SMS als auch die gecrackte Netbanking-Webseite miteinander so verband, damit Konten leergeräumt werden konnten.

Also wird es so sein, dass mich meine Bank dazu zwingt, von einem für mich sicheren Verfahren auf ein bekannt unsicheres Verfahren zu wechseln, bei dem ich nur noch durch regelmäßiges Kontrollieren meiner Bankauszüge sagen kann, ob mein Geld noch da ist.

Danke sehr.

Comment via email or via Disqus comments below: