Moin,

bei der Postbank gibt es jetzt seit April das mobileTan Verfahren,
welches die Papierliste mit den Tan's ablöst.
Meine Frage dabei, trotz Tüv Sicherheit blablabla:

Wie sicher ist es, eine Nummer per SMS zu bekommen,
welche für Geldüberweisungen genutzt wird?

sehr sicher ;) ich denke mal wenn jemand dein Handy klaut wird er ja kaum gleichzeitig noch deine Onlinebankingszugangsdaten haben ;D ...ich denke mal da ist die ganze Liste voll mit tans unsicherer ;) wenn die einer zusammen mit deinen Zugangsdaten in die Finger bekommt is schon was fataler :P

sehr sicher ;) ich denke mal wenn jemand dein Handy klaut wird er ja kaum gleichzeitig noch deine Onlinebankingszugangsdaten haben ;D ...ich denke mal da ist die ganze Liste voll mit tans unsicherer ;) wenn die einer zusammen mit deinen Zugangsdaten in die Finger bekommt is schon was fataler :P
Das stimmt zwar auch, aber es wird vorallem Phishing verhindert. Da gabs ja Fälle, wo Leute ihre halbe TAN-Liste preisgegeben haben.

Es gibt nicht das sichere Verfahren, aber SMSTan (wie es die Sparkasse nennt) ist ein richtiger Schritt. Vorausgesetzt, man macht die Online-Überweisung nicht mit dem Smartphone, solche Helden gibts leider. Da wird dann die SMS ans gleiche Handy versendet und das wird in Zukunft wohl auch das größte Problem sein. Zumal auch Handys logischerweise nicht Virensicher sind.

Hui. Die Postbank ist aber flott. Ein Verfahren einzuführen das andere Banken schon seit > 2 Jahren als quasi Standard anbieten.... XD

Naja Sparkasse hat das auch erst vor kurzem eingeführt, bzw. bekannt gemacht.

sowas ähnliches wollte ich auch schreiben, ich benutzte es seit jahren als mobile ergänzung zum itan-verfahren (sparda-bank hh). dafür ist es perfekt, aber mein konto schickt mir bei kontobewegungen auch eine zusammenfassung des tages als sms^^

ich benutz das bei der Postbank auch schon seit 1,5 jahren.. jetzt haben sie nur die iTans defaultmäßig abgeschaltet

Bevor ich mir das alles antue, egal bei welcher Bank, bleibe ich besser bei meinem HBCI mit Karte und Klasse3 Kartenleser. Ist noch immer unerreicht was die Sicherheit angeht.

Bevor ich mir das alles antue, egal bei welcher Bank, bleibe ich besser bei meinem HBCI mit Karte und Klasse3 Kartenleser. Ist noch immer unerreicht was die Sicherheit angeht.
Das mag zwar stimmen aber es ist eben auch bedeutend unflexibler im Vergleich zum mTAN-Verfahren.

Online-Überweisungen am iPad? Unmöglich.
Mal ne versäumte Überweisung fix im Urlaub nachholen? Unmöglich.

Was passiert bei Einbruch...

Was soll bei Einbruch passieren?

Solange man seine Banking-Pin nicht irgendwo rumfliegen hat, passiert auch bei einem Einbruch nichts (genauso wie beim Handy-Diebstahl). Ohne PIN kommt man gar nichts erst ins Konto.

Das größte Sicherheitsrisiko besteht in Schadsoftware. Kann mir durchaus vorstellen, dass (wenn es das nicht schon gibt) daran gewerkelt wird, entsprechende Software zu entwickeln, die neben Banking-Daten auch überprüft, ob Smartphones verbunden sind, um (falls Schwachstellen vorhanden) bei z. B. Synchronisierung das Smartphone zu befallen.

In dem Fall hätte man dann PIN und TAN, müsste aber wohl zusätzlich noch per Fernsteuerung ab Empfangen der TAN (verfällt nach kurzer Zeit) sofort eine Überweisung veranlassen, da ich mal davon ausgehe, dass die Banken bei IP-Wechsel die TAN auch nicht mehr zulassen.

Nutze dieses Verfahren mit TAC-SMS (österr. sparkasse) schon sicher über ein jahr lang
Erstens ist es simpler, als hier einen Zettel mit den Codes rumliegen zu haben ... bzw. hab ich den öfters verlegt und zweitens wüsste ich nicht, was daran gefährlich sein sollte.

Wenn echt jemand diese TAC-SMS abfängt, bringt ihm die nicht viel.
die Person braucht zu aller erst meine gesamten login-daten, desweiteren ist der empfangende Code NUR für die aktuelle transaktion gültig ... und der code verfällt nach 5 minuten, wenn er nicht benutzt wird. Auch bei nem handyklau muss der mal in mein handy kommen was auch nicht so einfach sein sollte

da finde ich einen Zettel mit zig TAN-Codes drauf, der in der lade liegt, risikobehafteter

und überweisungen tätige ich sowieso immer vom pc aus, und nicht vom handy ... soweit kommts noch O_o

Hui. Die Postbank ist aber flott. Ein Verfahren einzuführen das andere Banken schon seit > 2 Jahren als quasi Standard anbieten.... XDmmm...

Mobile Tan gibt es bei der Postbank schon länger. Jetzt kommt die Zwangseinführung, weil einige weiterhin ihre Tan- Liste haben wollten. Diese wird gesperrt, wodurch jeder mTan benutzen muss.

Die Frage ist höchstens, ob die Daten, die man übermitteln möchte, nach Erhalt der TAN noch ändern kann. Wenn ja, ist es ein Sicherheitsproblem, ansonsten ist es sicherer.
Früher hat ein Trojaner die Tan abgefangen und seine eigene Überweisung damit durchgeführt.

Noch zur Info: http://www.heise.de/security/meldung/Angriffe-auf-deutsche-mTAN-Banking-User-1221951.html

Für mich ist das Verfahren zu unsicher, ich setze auf den externen Tangenerator zusammen mit der Karte.

Hui. Die Postbank ist aber flott. Ein Verfahren einzuführen das andere Banken schon seit > 2 Jahren als quasi Standard anbieten.... XD
Mobile TAN gibts nicht erst seit April sondern ist seit dem das einzige Verfahren.
Parallel gibts das schon seit letztem Jahr und ich finde es praktisch, weil man von jedem Internetzugang Überweisungen tätigen kann.

Für mich ist das Verfahren zu unsicher, ich setze auf den externen Tangenerator zusammen mit der Karte.
den man eben nicht immer dabei hat ;-)

Für mich ist das Verfahren zu unsicher, ich setze auf den externen Tangenerator zusammen mit der Karte.
Die mobileTAN kann nur für den Betrag benutzt werden für den sie angeforder wurde und nach ein paar Minuten ist die TAN verfallen (sollte sie nicht benutzt worden sein).
Imho ist das schon recht sicher.

Ich wurd vor kurzem auch von meiner Bank "gedrängt" umzustellen, da es bis Ende des Jahres sowieso Pflicht werden würde. Hab aber nicht die SMSTan Variante genommen, sondern den externen Generator.

Der hat noch zusätzlich eine Serie von Lichtsensoren dran und auf dem Schirm erscheint dann eine Reihe flackernder Balken wo man das Gerät vor halten muss um die Tan zu generieren. Zusätzlich muss die Bankkarte eingeschoben sein. Find ich persönlich praktischer als das Handy zu nutzen wenn man ne Überweisung tätigen möchte, hab das lieber klar getrennt.

Ok, danke erstmal für eure Antworten.
Was mich aber speziell interessiert hat, war die Übertragung per SMS.
Kann eine SMS nicht abgefangen werden? Klar, derjenige brauch dann noch alle Logindaten,
wie Angijak-Ishi schon richtig festgestellt hat.
Trotzdem trau ich dem noch nicht so richtig.
Und dass man unterwegs schnell ne überweisung durchführen muss,
finde ich auch etwas zweifelhaft. Unser Leben ist zu schnell geworden.

@ crystalfunky

auch wenn die SMS abgefangen werden würde so könnte damit wohl niemand was anfangen.

Soweit ich weiß wird die Tan für Kontonummer, BLZ und Summe generiert und kann nicht für andere Überweisungen genutzt werden.

Ich nutze die mTan auch schon was länger (ebenfalls Postbank) und das läuft einwandfrei.

Was mich aber speziell interessiert hat, war die Übertragung per SMS.
Kann eine SMS nicht abgefangen werden?
Natürlich. Nur musst du hier halt als Angreifer im Idealfall 2 Sachen abfangen und nicht nur eine. Viel einfacher ist aber die erwähnte Methode im Heise Artikel, den Lokadamus gepostet hat - also einfach auch das Handy zu infizieren, wenn die Leute die entsprechenden Angaben machen.

Ich find das unsicher. Wenn dir deine Logindaten abgegriffen wurden (z.B. via Fakeseite) dann ändern die erst die gespeicherte Handynummer und anschließend können sie Überweisungen durchführen wie es ihnen beliebt und man selbst bekommt nix davon mit. (selbst ähnliches erlebt)

Ich find das unsicher. Wenn dir deine Logindaten abgegriffen wurden (z.B. via Fakeseite) dann ändern die erst die gespeicherte Handynummer und anschließend können sie Überweisungen durchführen wie es ihnen beliebt und man selbst bekommt nix davon mit. (selbst ähnliches erlebt)

Handynummer kann man aber nur mit einer TAN ändern.... (zumindest bei der Postbank, alles andere wäre ziemlich dumm)

Mal eine Frage: Müsst ihr für mobileTAN pro SMS auch etwas bezahlen. Mir hat meine Hausbank heute mitgeteilt, dass sie pro versendeter SMS 10 Cent haben wollen.
Alternativ kann ich mir den externen TAN-Generator für 10 EUR kaufen. :mad:

Postbank ist kostenlos (externe ChipTan Leser kostet ~ 15€) auch bei der Bank of Scotland war das für umme..

Ich find das unsicher. Wenn dir deine Logindaten abgegriffen wurden (z.B. via Fakeseite) dann ändern die erst die gespeicherte Handynummer und anschließend können sie Überweisungen durchführen wie es ihnen beliebt und man selbst bekommt nix davon mit. (selbst ähnliches erlebt)
Wenn deine Handynummer geändert wird, gibts aber normalerweise erst ne SMS an dein altes, dazu noch nen Brief an deine angegebene Adresse mit nem neuen Freischaltcode, den du mit deiner neuen Nummer (die mit der angegebenen übereinstimmen muss) verwenden musst, um überhaupt mit nem neuen Handy das System zu benutzen.

Wenn dann noch die TAN wie erwähnt aus Summe, BLZ und Empfänger generiert wird, und der Zugriff nur von der IP, die die Angaben getätigt hat, für 5 min. erlaubt wird, wird es sehr schwer die TAN überhaupt zu nutzen, selbst wenn man die Login-Daten hat.

Da bräuchte man schon Schadsoftware, die einen auf eine umgebaute Banking-Seiten-Kopie weiterleitet (oder halt die Kommunikation mit der Bank entsprechend manipuliert, wenn das möglich ist), dem Nutzer vorspiegelt, auf der Bankenseite zu sein, entsprechende Rückmeldungen liefert, aber im Hintergrund eigene Überweisungen tätigt.

In so einem Fall bräuchte man die TAN aber gar nicht abfangen, da sie direkt geliefert wird.

Ach ja, für die SMS muss ich nix bezahlen (Sparkasse)

Das mag zwar stimmen aber es ist eben auch bedeutend unflexibler im Vergleich zum mTAN-Verfahren.

Online-Überweisungen am iPad? Unmöglich.
Mal ne versäumte Überweisung fix im Urlaub nachholen? Unmöglich.
Weil eine Überweisung auch ganz bestimmt so wichtig ist das sie keine Stunde warten kann bis ich zu hause am Rechner bin. Man kann es auch wirklich übertreiben. Und eine Überweisung schnell im Urlaub nachholen weil man sie vergessen hat ist wohl eine sehr seltsame Ausrede. Du hast es vergessen aber schleppst natürlich alle Daten dafür immer mit spazieren. :rolleyes:

Mal eine Frage: Müsst ihr für mobileTAN pro SMS auch etwas bezahlen. Mir hat meine Hausbank heute mitgeteilt, dass sie pro versendeter SMS 10 Cent haben wollen.
Alternativ kann ich mir den externen TAN-Generator für 10 EUR kaufen. :mad:mmm...

Postbank => kostenlos
CortalConsors => so weit ich es gesehen habe, hab ich dafür nichts bezahlt und schlimmer noch, ich hab auf ein Peng- Konto Zinsen bekommen :eek:. War zwar nur 0,005% oder so, aber bei der Postbank hab ich für das selbe Konto jedes Jahr 10€ bezahlt :ugly:.

Handynummer kann man aber nur mit einer TAN ändern.... (zumindest bei der Postbank, alles andere wäre ziemlich dumm)

Bei der Bank of Scotland kann man das auch ohne TAN machen (hab nämlich keine bekommen, eigentlich auch null Unterlagen von denen) und ich hab auch keine schriftliche Benachrichtigungen bekommen. Plötzlich war das Konto weg und das Geld drauf auch. Der "Angreifer" hatte auch "nur" meine Zugangsdaten. Der "Angreifer" hatte weder Zugang zu meinem Handy noch zu meinem MailKonto. Meine Anfragen an BoS wurden auch nicht vollständig beantwortet. Ich vermute der "Angreifer" hat dort angerufen, sich als ich ausgegeben und die Handynummer ändern lassen. Danach konnte er nach Belieben sämtliche anderen Sachen machen.
Hab mich dann zurecht bei der BoS beschwert wie man so einfach sowas ändern lassen kann und nun gehen Änderungen nur noch per Fax mit Durchschlag von meinem Perso.

Ich vermute der "Angreifer" hat dort angerufen, sich als ich ausgegeben und die Handynummer ändern lassen.
Wenn deren Sicherheitsvorschriften so prall sind wie in England kann das gut sein. Anrufen, 3 Sicherheitsfragen beantworten (Geburtsdatum, alte Wohnadressen, Mädchenname der Mutter z. B.) und schon kann man Telefonbanking machen. Kann man eine Frage nicht beantworten, wird einfach ne Ersatzfrage gestellt...

Bei meinem Barclays-Konto gibts Komplettzugriff auf Onlinebanking nach Eingabe der Onlinebanking Zugangsdaten, PIN und 2 zufällig ausgewählten Buchstaben eines selbst gewählten Geheimwortes (der Sicherheit willen per Dropdown-Menü auszuwählen)

Wenn deren Sicherheitsvorschriften so prall sind wie in England kann das gut sein. Anrufen, 3 Sicherheitsfragen beantworten (Geburtsdatum, alte Wohnadressen, Mädchenname der Mutter z. B.) und schon kann man Telefonbanking machen. Kann man eine Frage nicht beantworten, wird einfach ne Ersatzfrage gestellt...

Das ist ja echt lächerlich ...
Werd mein Konto bei denen wieder auflösen.

Wenn die Bank of Scottland die gleiche ist, die in der Schuldenkrise für Schlagzeilen sorgte, muss man sich über nichts wundern. Das die Bank so eine massive Werbekampagne fährt, hat halt seine Gründe.

Bank of Scotland != Royal Bank of Scotland alsosind das zwei völlig unabhängige Institue!