Gericht: Smart-TAN-Nutzer haftet bei Onlinebanking-Betrug

[michaelschmidt]

Da bin ich ja froh, dass alle meine Banken noch das iTan-Verfahren unterstützen, welches ich anwende, mir ist noch nie ein Cent abhanden gekommen.

Anscheinend hat das neuere Smart-Tan-Verfahren vorrangig den Sinn, dass letztendlich der geprellte auf seinem Schaden sitzen bleibt.

Garantiert werde ich nie ein Konto nehmen, bei dem es nur mTan oder Smart-Tan gibt.

 

Alles wo es keine Trennung vom elektronischen System gibt, kommt mir spanisch vor........

 

Cyberdiebe erbeuteten 18.500 Euro – und der Kontoinhaber hat Schuld: Ein Gericht entschied jetzt in einem Fall von Onlinebanking-Betrug, dass nicht die Bank haftet. Das Opfer hätte Unstimmigkeiten beim Smart-TAN-Plus-Verfahren erkennen müssen, so die Richter.

 

http://www.arcor.de/...ug,content.html

[tyr]

Das alte iTAN-Verfahren schützt dich auch nicht vor einer man in the middle Attacke.

[michaelschmidt]

Das alte iTAN-Verfahren schützt dich auch nicht vor einer man in the middle Attacke.

Aber da habe ich die schriftliche Zusicherung meiner Bank, dass sie den Schaden ersetzen.

Anscheinend gibt es diese Zusicherung beim Smart-Tan Verfahren nicht.

[tyr]

Wie ist denn der genaue Wortlaut dieser schriftlichen Zusicherung?

 

Ich kann mir nicht vorstellen, dass deine Bank bereitwillig und unbegrenzt dafür haften will, wenn du Überweisungen von Rechnern mit Schadsoftware laufen lässt.

[ZappBrannigan]

Aber da habe ich die schriftliche Zusicherung meiner Bank, dass sie den Schaden ersetzen.

Anscheinend gibt es diese Zusicherung beim Smart-Tan Verfahren nicht.

Die Zusicherung gilt generell immer wenn der Kunde den Betrug nicht hätte erkennen können. Daher gilt diese Zusicherung natürlich auch so gut wie immer beim unsicheren iTAN-Verfahren.

[michaelschmidt]

Ihre Sicherheit steht bei uns an erster Stelle.

Deshalb garantieren wir Ihnen, alle nicht vorsätzlich verursachten Schäden zu ersetzen, die Ihnen bei der Nutzung des iTAN-Verfahrens entstanden sind.

 

Genau das fehlt nämlich beim Smart-Tan- u. mTan-Verfahren.

[50cent]

Wie ist denn der genaue Wortlaut dieser schriftlichen Zusicherung?

 

Ich kann mir nicht vorstellen, dass deine Bank bereitwillig und unbegrenzt dafür haften will, wenn du Überweisungen von Rechnern mit Schadsoftware laufen lässt.

 

z.B. das Sicherheitsversprechen der Ing-Diba:

 

https://www.ing-diba.de/kundenservice/sicherheit/

[michaelschmidt]

Ich habe sogar einmal die Bank gewechselt, weil sie auf mTan-Verfahren umgestellt hat.

Das war noch lange bevor es die ersten Betrugsmeldungen gab.

Denn da fehlt einfach die Systemtrennung.

Ich bin nach wie vor der Meinung, dass iTan am sichersten und effizientesten ist für den Anwender.

[Hotspot]

Die auf dem TAN-Generator angezeigten Überweisungsdaten stimmten nicht mehr mit den am PC eingegebenen Daten überein. Sie wurden vom Opfer jedoch nicht überprüft, sondern blind bestätigt.

 

Das ist mmn aber auch grob fahrlässig

[michaelschmidt]

"grob fahrlässig" ist aber nicht "vorsätzlich".

[xolgo]

"grob fahrlässig" ist aber nicht "vorsätzlich".

 

Das ist richtig, aber wer grob fahrlässig handelt, muss eben auch für sein Verhalten haften. Das finde ich nur in Ordnung.

[tyr]

Ihre Sicherheit steht bei uns an erster Stelle.

Deshalb garantieren wir Ihnen, alle nicht vorsätzlich verursachten Schäden zu ersetzen, die Ihnen bei der Nutzung des iTAN-Verfahrens entstanden sind.

 

Genau das fehlt nämlich beim Smart-Tan- u. mTan-Verfahren.

Du lässt wesentliche Teile der Information weg, um deine Position zu stärken. Vollständiger:

 

http://www.dkb.de/kundenservice/sicherheit/

Sicherheit

 

Die DKB-Cash-Sicherheitsgarantie

 

Ihre Sicherheit steht bei uns an erster Stelle.

 

Deshalb garantieren wir Ihnen, alle nicht vorsätzlich verursachten Schäden zu ersetzen, die Ihnen bei der Nutzung des iTAN-Verfahrens mit Ihrem DKB-Cash entstanden sind.

Dazu müssen Sie bei Missbrauch oder Verdacht Folgendes tun:

 

Internet-Banking-Zugang schnellstmöglich sperren.

Rufnummer: 030 120 300 00

Strafanzeige erstatten

Es gelten die Bedingungen für DKB-Onlinebanking mit PIN und TAN.

 

Weiterhin:

https://dok.dkb.de/pdf/b_pin_tan.pdf

 

Die Sorgfaltspflichten sind definiert:

8. Geheimhaltung der PIN und der TAN

1) Der Teilnehmer hat dafür Sorge zu tragen, dass keine andere

Person Kenntnis oder Besitz von der PIN und den TAN/ der

TAN-Liste erlangt. Jede Person, die die PIN und eine TAN

kennt, hat die Möglichkeit, das Onlinebanking-Leistungsangebot

einschließlich der dem Teilnehmer eingeräumten sonstigen

Anwendungen missbräuchlich zu nutzen. Sie kann z. B.

Aufträge zu Lasten des Kontos/ Depots erteilen.

2) Insbesondere ist Folgendes zur Geheimhaltung der PIN und

TAN zu beachten:

--PIN und TAN dürfen nicht elektronisch gespeichert werden;

--die dem Teilnehmer zur Verfügung gestellte TAN-Liste ist sicher

und getrennt von der PIN zu verwahren;

--bei der Eingabe der PIN und TAN ist sicherzustellen, dass

Dritte diese nicht ausspähen können;

--der Teilnehmer darf jeweils nur eine TAN zur Autorisierung

z. B. eines Auftrags, der Aufhebung einer Sperre oder zur

Freischaltung einer neuen TAN-Liste verwenden;

--PIN und TAN dürfen nicht außerhalb des Onlinebanking-

Verfahrens weitergegeben werden, also beispielsweise nicht

per E-Mail;

--PIN und TAN dürfen nur auf den Internetseiten der DKB AG

oder ihrer Kooperationspartner gemäß Preis- und Leistungsverzeichnis

eingegeben werden.

3) Hat der Teilnehmer den Verdacht, dass eine andere Person

unberechtigt von seiner PIN oder von einer TAN/ der TAN-Liste

oder von beidem Kenntnis erhalten hat oder besteht der Verdacht

ihrer missbräuchlichen Nutzung oder stellt der Teilnehmer

den Verlust oder den Diebstahl seiner TAN-Liste, die missbräuchliche

Verwendung oder die sonstige nicht autorisierte

Nutzung seiner PIN oder einer TAN fest, so ist er verpflichtet,

unverzüglich die DKB AG hierüber zu unterrichten.

Im Fall der vorgenannten Anzeige wird die DKB AG den Onlinebanking-

Zugang zum Konto/ Depot sperren.

Der Teilnehmer ist verpflichtet, jeden Diebstahl oder Missbrauch

unverzüglich bei der Polizei zur Anzeige zu bringen

und dies der DKB AG nachzuweisen.

 

9. Weitere Sorgfalts- und Mitwirkungspflichten

1) Der Teilnehmer hat sich Gewissheit über die Sicherheit der

von ihm benutzten Technik und Software zu verschaffen und

Risiken (z. B. Computerviren, Trojaner) im Rahmen des Möglichen

(z. B. durch die Installation und Aktualisierung eines

handelsüblichen Virenschutzprogramms, einer Firewall und

der regelmäßigen Sicherheits-Updates für den von ihm verwendeten

Browser) auszuschließen. Weitere zu beachtende

Sicherheitshinweise erhält der Teilnehmer über die Internetseiten

der DKB AG.

2) Bei jedem Login in das Internet-Banking hat der Teilnehmer

das Sicherheitszertifikat zu überprüfen, um sicherzustellen,

dass er auch tatsächlich mit der DKB AG kommuniziert. Bei

Auffälligkeiten und Zweifeln an der Echtheit hat der Teilnehmer

die DKB AG unverzüglich hierüber zu informieren.

3) Der Teilnehmer hat alle von ihm eingegebenen Daten auf

Vollständigkeit und Richtigkeit zu überprüfen. Soweit die DKB

AG dem Teilnehmer Daten aus seinem Onlinbanking-Auftrag

(z. B. Betrag, Kontonummer des Zahlungsempfängers, Wertpapierkennnummer)

im Kundensystem zur Bestätigung anzeigt,

ist der Teilnehmer verpflichtet, vor der Bestätigung die

Übereinstimmung der angezeigten Daten mit den für die

Transaktion vorgesehenen Daten zu prüfen.

4) Der Teilnehmer hat die DKB AG unverzüglich nach Feststellung

eines nicht autorisierten Auftrags hierüber in Textform zu

unterrichten.

 

Nur wenn diese Voraussetzungen gegeben sind haftet die Bank auch vor der Sperre:

 

12.2 Haftung des Kunden bei missbräuchlicher Nutzung

seines Authentifizierungsinstrumentes (TAN-Liste)

12.2.1 Haftung des Kunden für nicht autorisierte Zahlungsvorgänge

vor der Verdachts- oder Sperranzeige

1) Gesetzliche Bestimmungen (§ 675v Absatz 1 BGB) sehen eine

verschuldensunabhängige Haftung des Kunden für Schäden

bis zu einem Betrag von 150 Euro vor, wenn ein nicht autorisierter

Zahlungsvorgang vor der Sperranzeige auf der Nutzung

eines verlorengegangenen, gestohlenen oder sonst abhanden

gekommenen Authentifizierungsinstruments beruht. Dies gilt

auch für sonstige missbräuchliche Verwendungen eines Authentifizierungsinstruments,

wenn der Teilnehmer die personalisierten

Sicherheitsmerkmale nicht sicher aufbewahrt hat. Die

DKB AG verzichtet auf eine Inanspruchnahme des Kunden, der

ein Verbraucher ist, nach diesen gesetzlichen Bestimmungen.

[...]

3) Kommt es vor der Verdachts- oder Sperranzeige zu einer nicht

autorisierten Verfügung und hat der Teilnehmer seine Sorgfaltspflichten

nach diesen Bedingungen vorsätzlich oder grob

fahrlässig verletzt oder in betrügerischer Absicht gehandelt,

trägt der Kunde den hierdurch entstandenen Schaden in vollem

Umfang, sofern nicht die Voraussetzungen des Absatz 4

vorliegen. Grobe Fahrlässigkeit des Teilnehmers kann insbesondere

vorliegen, wenn er

--den Verlust oder Diebstahl des Authentifizierungsinstruments

oder die missbräuchliche Nutzung des Authentifizierungsinstruments

oder des personalisierten Sicherheitsmerkmals

der DKB AG nicht unverzüglich anzeigt, nachdem er hiervon

Kenntnis erlangt hat,

--das personalisierte Sicherheitsmerkmal elektronisch gespeichert

hat,

--das personalisierte Sicherheitsmerkmal außerhalb des

Onlinebanking-Verfahrens, beispielsweise per E-Mail, weitergegeben

hat,

--das personalisierte Sicherheitsmerkmal einer anderen Person

mitgeteilt und der Missbrauch dadurch verursacht wurde,

--das personalisierte Sicherheitsmerkmal auf dem Authentifizierungsinstrument

vermerkt oder zusammen mit diesem

verwahrt hat (z. B. im Originalbrief, in dem es dem Teilnehmer

mitgeteilt wurde),

--mehr als eine TAN zur Autorisierung eines Auftrags verwendet.

4) Die DKB AG garantiert hiermit zugunsten des Kunden, der ein

Verbraucher ist, die Übernahme des vollen Schadens aus vor

der Verdachts- oder Sperranzeige erfolgten, nicht autorisierten

Zahlungsvorgängen, wenn der Teilnehmer die Pflichten

nach Ziffer 8.3) eingehalten, nicht in betrügerischer Absicht

gehandelt und den Schaden nicht durch vorsätzliche Sorgfaltspflichtverletzung

verursacht hat.

 

Und jetzt beschreibe mir bitte die Fälle, die noch abseits dieser Haftungsausschlüsse und Sorgfaltspflichen auftreten können. Ich sehe da eher den Punkt, dass die DKB die Kosten mit dem unsicheren iTAN-Verfahren niedrig hält, kundenfreundliche Bedingungen verspricht, die aber im Detail darauf bauen, dass der Kunde praktisch das gesamte Risiko sowieso selber trägt.

 

Der Schaden wird dir also nur in dem Fall ersetzt, dass du ohnehin schon alles richtig gemacht hast und eben auch nicht ansatzweise zu erkennen gewesen wäre, dass ein Betrugsversuch möglich war. Ich sehe den Unterschied zum skizzierten Gerichtsurteil nicht.

 

Ein Unterschied bleibt aber: das alte iTAN-Verfahren ist unabhängig vom individuellen Transaktionsdaten wie Empfängerkonto und Betrag. Und daher anfällig für Manipulationen und Betrug. Ein sicheres modernes Verfahren wie das Smart TAN Plus ist per se technisch weniger leicht angreifbar. Da ist es dann egal, ob die Bank vorgibt, Schäden zu ersetzen und in den Bedingungen dann doch das Risiko und die Sorgfaltspflichten für deine Geräte da hinschiebt, wo sie hingehören: in deine Verantwortung.

[tyr]

Wie ist denn der genaue Wortlaut dieser schriftlichen Zusicherung?

 

Ich kann mir nicht vorstellen, dass deine Bank bereitwillig und unbegrenzt dafür haften will, wenn du Überweisungen von Rechnern mit Schadsoftware laufen lässt.

 

z.B. das Sicherheitsversprechen der Ing-Diba:

 

https://www.ing-diba.de/kundenservice/sicherheit/

 

Das gleiche Spiel wie bei der DKB:

https://www.ing-diba.de/kundenservice/konditionen/agb/ bzw. speziell https://www.ing-diba.de/imperia/md/content/pw/content/service/pdf/agb_vertr_internet_kservice.pdf

 

Sorgfaltspflichten:

(3) Der Kunde hat Folgendes zum Schutz der personalisierten Sicherheitsmerkmale

zu beachten:

– Die personalisierten Sicherheitsmerkmale müssen geheim gehalten und vor dem

Zugriff Dritter geschützt werden.

– Die Zugangsdaten dürfen nicht elektronisch gespeichert werden und müssen –

wenn sie verkörpert aufbewahrt werden – getrennt von den TAN verwahrt werden.

– TAN dürfen nicht auf demselben Gerät empfangen oder gespeichert werden, auf

dem sie zur Freigabe im Internetbanking genutzt werden (Kanaltrennung). Lediglich

bankeigene Autorisierungsapplikationen dürfen gemeinsam mit dem Banking

auf dem selben Gerät genutzt werden.

– Bei Eingabe der personalisierten Sicherheitsmerkmale ist sicherzustellen, dass

andere Personen diese nicht ausspähen können.

– Die personalisierten Sicherheitsmerkmale dürfen nicht auf anderen als den von

der ING-DiBa für das Internetbanking bereitgestellten Internetdiensten eingegeben

werden (z. B. nicht auf Online-Händlerseiten) bzw. nicht weitergegeben

werden (z. B. per E-Mail).

– Der Kunde muss die Sicherheitshinweise zum Internetbanking auf der Internetseite

der Bank beachten, insbesondere die empfohlenen Maßnahmen zum Schutz

der eingesetzten Hard- und Software (Kundensystem).

 

Haftung:

7. Haftung

(1) Sobald der ING-DiBa der Auftrag des Kunden zur Sperre des Zugriffs über das

Internetbanking zugegangen ist, übernimmt die ING-DiBa alle danach durch eine

unsachgemäße oder missbräuchliche Verwendung der personalisierten Sicherheitsmerkmale

entstehenden Schäden. Dies gilt nicht, wenn der Schaden entstanden

ist, weil der Kunde in betrügerischer Absicht gehandelt hat.

(2)Gesetzliche Bestimmungen (§ 675v Absatz 1 BGB) sehen eine verschuldensunabhängige

Haftung des Kunden für Schäden bis zu einem Betrag von 150 Euro vor,

wenn ein nicht autorisierter Zahlungsvorgang vor der Sperranzeige auf der Nutzung

eines verloren gegangenen oder gestohlenen personalisierten Sicherheitsmerkmals

beruht. Dies gilt auch für sonstige missbräuchliche Verwendungen, wenn der Kunde

seine Pflicht zur sicheren Aufbewahrung der Sicherheitsmerkmale schuldhaft

verletzt hat. Die ING-DiBa verzichtet auf eine Inanspruchnahme des Kunden nach

diesen gesetzlichen Bestimmungen.

(3) Kommt es vor der Sperranzeige zu vom Kunden nicht autorisierten Zahlungsvorgängen

und hat der Kunde seine Sorgfaltspflichten nach diesem Vertrag vorsätzlich

oder grob fahrlässig verletzt oder in betrügerischer Absicht gehandelt,

trägt der Kunde den hierdurch entstandenen Schaden in vollem Umfang, sofern

nicht die Voraussetzungen des Absatz 4 vorliegen. Grobe Fahrlässigkeit des Kunden

kann insbesondere vorliegen, wenn er

– den Verlust oder Diebstahl der personalisierten Sicherheitsmerkmale oder deren

missbräuchliche Nutzung der ING-DiBa nicht unverzüglich anzeigt, nachdem er

hiervon Kenntnis erlangt hat,

– die personalisierten Sicherheitsmerkmale einer anderen Person mitgeteilt hat

und der Missbrauch dadurch verursacht wurde,

– die personalisierten Sicherheitsmerkmale erkennbar außerhalb der von der

ING-DiBa für das Internetbanking bereitgestellten Internetdienste eingegeben hat,

– die personalisierten Sicherheitsmerkmale außerhalb des Internetbanking, beispielsweise

per E-Mail, weitergegeben hat,

– die personalisierten Sicherheitsmerkmale auf der Liste mit den Transaktionsnummern

vermerkt oder in verkörperter Form mit diesen zusammen verwahrt hat,

– mehr als eine Transaktionsnummer zur Autorisierung eines Auftrags verwendet hat,

– die Pflicht zur Kanaltrennung bei Autorisierung durch m-TAN oder i-TAN-Verfahren

(keinen Empfang oder Speicherung von TAN auf demselben Gerät, auf dem

sie zur Freigabe im Internetbanking genutzt werden) nicht eingehalten hat.

(4) Die ING-DiBa übernimmt zugunsten des Kunden den vollen Schaden aus nicht

autorisierten Zahlungsvorgängen, der durch grob fahrlässiges Handeln entstanden

ist, wenn der Kunde

– die Pflicht zur Kanaltrennung bei Autorisierung durch m-TAN oder i-TAN-Verfahren

(keinen Empfang oder Speicherung von TAN auf demselben Gerät, auf dem sie zur

Freigabe im Internetbanking genutzt werden) eingehalten hat,

– nicht autorisierte Zahlungsvorgänge unverzüglich angezeigt hat und

– wegen der missbräuchlichen Verwendung seiner personalisierten Sicherheitsmerkmale

Strafanzeige gestellt hat und dies der ING-DiBa nachweist.

(5) Für Störungen des elektronischen Vertriebswegs, insbesondere für die nicht

ordnungsgemäße Datenübermittlung sowie dafür, dass der Zugang zu einem Konto

bzw. Depot des Kunden über das Internetbanking vorübergehend nicht möglich ist,

haftet die ING-DiBa nur bei grobem Verschulden.

(6) Den Schaden, der dem Kunden aus Übermittlungsfehlern bei der Abwicklung

des Internetbanking entsteht, trägt die ING-DiBa, es sei denn, der Kunde hat den

Schaden vorsätzlich verursacht.

 

Ich sehe den Vorteil nicht, der hier im Thread verkündet wird. Der Kunde trägt doch die Verantwortung für alles, was nach gängigem Stand der Wissenschaft vermeidbar ist selber. Sowohl bei der DKB als auch bei der ING Diba.

 

iTAN ist unsicher, mTAN ebenfalls, nur auf eine andere Art. Beim iTAN-Verfahren muss das Endgerät und der Übertragungsweg abgesichert sein. Beim mTAN-Verfahren kommt noch das potenziell unsichere SMS-Netz und das SMS-Empfangsgerät als Risiko dazu.

 

Das hier im Thread für unsicher befundene Smart TAN Plus Verfahren stellt sich für mich als beiden Verfahren sicherer dar, da die TAN nicht nur wie beim mTAN-Verfahren an Merkmale der Transaktion gebunden ist (Zielkonto, Betrag), sondern auch noch zusätzlich die TAN komplett offline vom Chip der Bankkarte generiert wird.

 

Wenn man natürlich seine Sorgfaltspflicht derart verletzt, dass man die Daten am TAN-Generator nicht prüft und dort dann die Daten vom bösen Betrüger eingegeben werden, dann darf man den Schaden selber tragen.

 

Wer aber ohnehin seine Sorgfaltspflicht ernst nimmt hat bei den Verfahren Chip TAN manuell bzw. Smart TAN Plus meiner Meinung nach ein für sich deutlich sichereres Verfahren als iTAN oder mTAN. Da muss dann der Angreifer sowohl an die Online-Banking PIN als auch physikalisch an die Bankkarte heran kommen, um Missbrauch betreiben zu können. Der notwendige Aufwand pro Betrugsfall ist erheblich größer, als mal eben im Internet ein paar Trojaner und Phishing-Mails auf die Allgemeinheit los zu lassen und irgendwelche armen Unwissenden rein elektronisch aus der Ferne abzuzocken.

 

Fatal ist es natürlich, wenn sich die Nutzer des mTAN- und iTAN-Verfahrens in einer trügerischen Sicherheit wiegen, weil die Bank Schadenersatz verspricht, aber laut Bedingungen nur dann haftet, wenn der Kunde sowieso alle Sorgfaltspflichen einhält, also das verbleibende Risiko selber trägt und vermeidet.

[michaelschmidt]

Ich habe den Namen der Bank nicht erwähnt, weil ich keine Werbung diesbezüglich für die Bank machen wollte.

Lassen wir mal betrügerische Absicht weg.

Dann bleibt noch vorsätzliche Sorgfaltspflichtverletzung übrig.

Was ist das ?

Ziffer 8,3 schränkt natürlich einiges ein.

Welche Bank ist dann diesbezüglich die Beste ?

Ich find halt die Systemtrennung bei iTan am besten, die ist bei den anderen Verfahren nicht gegeben.

[michaelschmidt]

Du hast deinen Post wieder geändert.

Damit hat sich die Frage erledigt.

[freesteiler]

Sorry aber der Kunde ist einfach selbst schuld. Daraus zu folgern, dass iTAN das sicherste ist, ist ziemlich daneben. Das erinnert mich an den Experten, der seine iTan-Liste eingescannt und am PC gespeichert hat, damit sie nicht irgendwo rumliegt. Ist deswegen das iTAN-Verfahren jetzt schlechter?

Dass einem der exakte (!) Verwendungszweck für die TAN angezeigt wird, ist einfach ein riesiger Sicherheitsvorsprung, den iTAN nicht bietet. Das ist Fakt.

[gruber]

Hier muss man wohl ganz klar die Sicherheitsgesichtspunkte von der Haftung trennen.

 

Bei iTAN weiss man eigentlich nicht, was man nun gerade authorisiert. Dank Man-in-the-Middle bzw. Man-in-the-Browser kann man der Anzeige im Browser ja nicht vertrauen. Dessen sind sich auch die Banken bewusst und geben daher die oben genannten Versprechen ab (sofern man die Bedingungen erfüllt).

 

Verfahren, die außerhalb des Browsers die Buchungssdaten nochmals anzeigen, bieten dagegen Schutz vor solchen Attacken. Dass sich dadurch die Haftung Richtung Kunde verschiebt, wenn man diese Möglichkeit nicht nutzt, ist für mich irgendwie verständlich.

Das ist ungefähr so als würde ich an den Schalter gehen, dem Angestellten dort sagen: "Ich möchte 100€ an FirmaX überweisen". Jemand anderes legt mir dann eine Überweisung vor "10000€ an BöserKerl" und ich unterschreibe diese ohne sie vorher zu lesen.

 

Ich bin Kunde bei der DKB. Diese bietet iTAN und (etwas versteckt) Homebanking mit HBCI über Kartenleser an. Leider kann man damit nur das Girokonto über extra Software halbwegs nutzen, für alles andere muss man sich weiterhin ins Onlinebanking einloggen und iTAN verwenden.

Bei der comdirect bin ich vor kurzem von iTAN zu photoTAN gewechselt. Ich habe mich bewusst für das extra Hardware-Token entschieden, da man mit Smartphone-App die selben Probleme wie bei mTAN hätte. Das funktioniert wirklich gut und zeigt im Display immer genau an was man gerade freigibt.

[tyr]

Bei iTAN weiss man eigentlich nicht, was man nun gerade authorisiert. Dank Man-in-the-Middle bzw. Man-in-the-Browser kann man der Anzeige im Browser ja nicht vertrauen. Dessen sind sich auch die Banken bewusst und geben daher die oben genannten Versprechen ab (sofern man die Bedingungen erfüllt).

 

Verfahren, die außerhalb des Browsers die Buchungssdaten nochmals anzeigen, bieten dagegen Schutz vor solchen Attacken. Dass sich dadurch die Haftung Richtung Kunde verschiebt, wenn man diese Möglichkeit nicht nutzt, ist für mich irgendwie verständlich.

Hast du die oben genannten Bedingungen gelesen? Ich sehe es nicht so, dass sich "die Haftung Richtung Kunde verschiebt" bei Systemen, die die TAN mit den Buchungsdaten verknüpfen und für den Kunden überprüfbar machen. Die Haftung ist selbst bei der iTAN schon beim Kunden, soweit sinnvoll abwälzbar.

 

Ich sehe angesichts der Bedingungen für diese sogenannten Versprechungen keine praktisch relevante Restmenge an Möglichkeiten, in der das Versprechen gelten kann. Was bleibt: iTAN ist unsicher, da, wie du schon schreibst, alles mögliche autorisiert werden kann.

[Staatenverbund]

Bei iTAN weiss man eigentlich nicht, was man nun gerade authorisiert. Dank Man-in-the-Middle bzw. Man-in-the-Browser kann man der Anzeige im Browser ja nicht vertrauen. Dessen sind sich auch die Banken bewusst und geben daher die oben genannten Versprechen ab (sofern man die Bedingungen erfüllt).

 

Naja, das ist doch ein bisschen sehr stark verkürzt? Ja, iTAN ist gegen MitM auf dem Rechner des Kunden anfällig, aber wenn man nicht jeden Scheiss auf dem eigenen Rechner installiert, warum sollte man unbedingt mit einem Angreifer auf dem eigenen Rechner rechnen?

 

Verfahren, die außerhalb des Browsers die Buchungssdaten nochmals anzeigen, bieten dagegen Schutz vor solchen Attacken. Dass sich dadurch die Haftung Richtung Kunde verschiebt, wenn man diese Möglichkeit nicht nutzt, ist für mich irgendwie verständlich.

 

Wenn der Kunde tatsächlich die Möglichkeit nicht genutzt hat, würde ich dem zustimmen.

 

Die verbreiteten Verfahren haben aber ein bis zwei ganz andere Probleme: Sie sind nicht sicher gegen eine unehrliche Bank, und es braucht wesentlich mehr Fachwissen, um das zu verstehen.

 

Zum einen werden die verwendeten kryptographischen Verfahren nicht offengelegt - und Banken sind schon viel zu oft damit aufgefallen, dass sie schrottige Kryptographie (und andere Sicherheitsmechanismen) eingesetzt haben, vor Gericht aber mit der Behauptung durchgekommen sind, es sei sicher, bis sich jemand die Mühe des Reverse-Engineering gemacht und vorführt hat, dass es nicht sicher ist.

 

Zum anderen kommen offensichtlich Verfahren zum Einsatz, bei denen die Bank in der Lage ist, die Rolle des Kunden zu übernehmen: Die TANs, die der Kunde erzeugen kann, kann auch die Bank erzeugen, oder jemand, der den Datenbestand der Bank klaut, und damit ist der Nachweis Dritten gegenüber, dass eine Transaktion vom Kunden gestartet wurde, eigentlich nicht möglich, und baut praktisch nur darauf, dass das Gericht im Zweifel einfach der Bank glaubt. Technisch angemessen wären eigentlich Signaturverfahren, bei denen der Kunde einen privaten Signaturschlüssel erzeugt, den die Bank nicht kennt, und mit dem er seine Aufträge digital unterschreibt - für erhöhte Sicherheit mit einer Smartcard in einem Cardreader, der die Transaktionsdaten anzeigt, die in die Signatur einfließen(!).

 

Praktisch rechne ich mir bei iTAN die höchsten Chancen aus, einem Richter beizubiegen, weshalb die Bank schuld sein könnte, und wenn man seinen Rechner unter Kontrolle hat, scheint mir die Gefahr durch MitM auch überschaubar.

 

Bei der comdirect bin ich vor kurzem von iTAN zu photoTAN gewechselt. Ich habe mich bewusst für das extra Hardware-Token entschieden, da man mit Smartphone-App die selben Probleme wie bei mTAN hätte. Das funktioniert wirklich gut und zeigt im Display immer genau an was man gerade freigibt.

 

Ein wesentliches Problem bei mTAN ist der katastrophale Zustand des Mobilfunknetzes, was die Sicherheit angeht, das entfällt bei der Smartphone-App.

[Pashofi]

Naja, das ist doch ein bisschen sehr stark verkürzt? Ja, iTAN ist gegen MitM auf dem Rechner des Kunden anfällig, aber wenn man nicht jeden Scheiss auf dem eigenen Rechner installiert, warum sollte man unbedingt mit einem Angreifer auf dem eigenen Rechner rechnen?

 

Da man einem Rechner nicht ansieht, wenn er infiziert wird oder infiziert wurde, muss man zumindest theoretisch bei sensiblen Dingen immer mit einem Angreifer auf dem eigenen Rechner oder im Netzwerk (mit gefälschten, aber vom Browser anerkannten SSL-Zertifikaten) rechnen. (Und ich meine hier nicht nur NSA und co.)

Selbst wenn der Virenscanner sagt, dass alles in Ordnung ist, heißt das nicht, dass dies auch stimmt. Oder auch wenn man keine fragwürdigen Dinge installiert hat, kann immer noch ein gekaufter Werbebanner auf Spiegel Online und co. eine bisher unbekannte Sicherheitslücke im Browser, Java oder Flash ausnutzen um den Rechner zu infizieren. Auch wenn man kein Windows sondern ein alternatives OS benutzt. So zumindest die Theorie. Und wenn mehrere Lücke zusammen kommen, kann dies sogar bei den ansonsten im Vergleich zu Windows oder Desktop-Linuxen ziemlich gut "abgeschotteten" Mobilsystemen geschehen. Theoretisch.

 

Richtig, das war jetzt 3x "theoretisch". Wie es in der Praxis aussieht, hängt eben von der Qualität der Angreifer ab. Tatsächlich eingetreten ist es in der Form bisher vermutlich noch nicht, weil es genug Idioten gibt, die jeden Schrott installieren und sich dann über die seltsamen ausgehenden Kontotransaktionen wundern. Die Mühe ist es also einfach nicht wert. Ich fühle mich aber trotz Linux und ohne "Scheiss auf dem Rechner" mit iTAN nicht sicher. Will dann auch nicht erst meiner Bank wegen einer Erstattung hinterherlaufen.

 

 

Wenn der Kunde tatsächlich die Möglichkeit nicht genutzt hat, würde ich dem zustimmen.

 

Die verbreiteten Verfahren haben aber ein bis zwei ganz andere Probleme: Sie sind nicht sicher gegen eine unehrliche Bank, und es braucht wesentlich mehr Fachwissen, um das zu verstehen.

 

Das stimmt natürlich. Aber wenn ich meiner Bank nicht vertraue, wem dann? Die können ja auch einfach 1000€ vom Konto nehmen und behaupten, ich hätte es irgendwo abgehoben. Wenn eine Bank wirklich unter dem Deckmantel von ChipTAN behauptet, ich hätte die Abbuchung autorisiert, obwohl das nicht der Fall ist, würde ich auch nicht auf eine erfolgreiche Rückerstattung bei Betrug mit iTAN hoffen.

 

Einen Punkt sprichst du aber an, dem ich zustimme: Das Verfahren sollte komplett offenliegen. Security by Obscurity hat noch nie gut funktioniert, eine Offenlegung würde aber Vertrauen in die Verfahren schaffen. Aber selbst dann kann die Bank das Geheimnis auf meiner EC-Karte vor der Herausgabe für sich selbst kopieren und dann für mich Transaktionen signieren und behaupten, ich hätte das doch autorisiert. Lösen ließe sich das nur, wenn wir eigenhändig das Geheimnis auf dem Chip in unseren EC-Karten generieren und irgendwie drauf flashen würden. Trotzdem dürfte es danach dann nicht auslesbar sein. Ich für meinen Teil setze da einfach so viel Vertrauen in meine Bank, dass sie nicht versuchen wird, mein Geld durch illegale Tricks zu stehlen. Und ich bete, dass ChipTAN gut umgesetzt ist. Unter diesen Annahmen kann ich guten Gewissens davon ausgehen, dass nur Geld von meinem Konto überwiesen wird, wenn ich vorher den exakten Empfänger und Betrag auf dem Gerät kontrolliert habe. Was deutlich besser ist als mit iTAN, wo man durch die Eingabe der TAN im besten Fall zwar das bestätigt, was man gerade auf dem Bildschirm sieht, genau so gut aber auch eine Überweisung von 20.000 Euro in zwielichtige Kanäle dahinter stecken könnte… Jedenfalls vertraue ich meiner Bank mehr als meinem Computer.

 

Zum anderen kommen offensichtlich Verfahren zum Einsatz, bei denen die Bank in der Lage ist, die Rolle des Kunden zu übernehmen: Die TANs, die der Kunde erzeugen kann, kann auch die Bank erzeugen, oder jemand, der den Datenbestand der Bank klaut, und damit ist der Nachweis Dritten gegenüber, dass eine Transaktion vom Kunden gestartet wurde, eigentlich nicht möglich, und baut praktisch nur darauf, dass das Gericht im Zweifel einfach der Bank glaubt. Technisch angemessen wären eigentlich Signaturverfahren, bei denen der Kunde einen privaten Signaturschlüssel erzeugt, den die Bank nicht kennt, und mit dem er seine Aufträge digital unterschreibt - für erhöhte Sicherheit mit einer Smartcard in einem Cardreader, der die Transaktionsdaten anzeigt, die in die Signatur einfließen(!).

 

Du sagst es ja selbst. Bis auf die selbst generierten privaten Schlüssel und die mangelnde Offenheit des Verfahrens haben wir heute mit ChipTAN aber schon genau das was du beschreibst (nach Auskunft der Banken). Wie gesagt, wenn die Bank nicht eine Kopie des Schlüssels in der EC-Karte zurückbehält und damit Geld vom Konto abfließen lässt, es aber so aussehen lässt, als ob ich es bestätigt hätte…

 

Gebe dir Recht, dass man mit iTAN am ehesten sagen kann "ich war es aber nicht!". Wenn sich aber die ChipTAN-Leute, die sagen "ich war es nicht!" häufen, wird wohl allgemein anerkannt dass auch mit ChipTAN entstandener Schaden durch Banken zu ersetzen ist. Vielleicht machen die Banken es dann endlich mal offen und richtig. Meine Bank schafft es immerhin schon, mir PGP-verschlüsselte Mails bei Kontotransaktionen zu senden. Das ganze jetzt in umgekehrter Richtung und in Hardware gegossen, um die Gefahren bei der Schlüsselverwaltung im PC zu umgehen, und ich wäre zufrieden. (Ein Standardformat für verschlüsselte&signierte E-Mails mit Transaktionsanweisungen wäre interessant – aber nur, wenn ich mir der Sicherheit des privaten Schlüssels absolut sicher wäre. Geldüberweisung per Mail, die man vorher kurz durch ein separates Stück Hardware schickt, nicht schlecht. Sollte nur nicht über gefährliche komplexe Schnittstellen wie USB/Ethernet mit dem Rechner verbunden sein. Und zur Sicherheit sollte der Nutzer selbst auch nicht an seinen privaten Schlüssel kommen. Und natürlich würde das Gerät eine Passphrase erfordern, damit es nicht schlimm ist, wenn es abhanden kommt.)

[Staatenverbund]

Da man einem Rechner nicht ansieht, wenn er infiziert wird oder infiziert wurde, muss man zumindest theoretisch bei sensiblen Dingen immer mit einem Angreifer auf dem eigenen Rechner oder im Netzwerk (mit gefälschten, aber vom Browser anerkannten SSL-Zertifikaten) rechnen. (Und ich meine hier nicht nur NSA und co.)

 

Gefälschte SSL-Zertifikate? Dass die CA-Landschaft Grütze ist, würde ich ja zustimmen, aber ich würde sagen, das Problem ist eher, dass es keiner "Fälschung" bedarf, sondern der Angreifer sich im Zweifel eher bei einer der legitimen CAs bedient? Eine "Fälschung" dürfte sich ja eher im Bereich des Unmöglichen bewegen. Dagegen kann man sich ja aber relativ gut schützen, indem man alle nicht benötigten CAs rauswirft und OCSP erzwingt, und wenn man will noch mit Pubkey-Pinning und Fingerprint-Abgleich mit der Hotline.

 

Dass man dem Rechner nicht ansieht, ob er infiziert wurde, ist klar - das gilt aber im Zweifel für den Rechner, der die ChipTANs erzeugt, auch ...

 

Selbst wenn der Virenscanner sagt, dass alles in Ordnung ist, heißt das nicht, dass dies auch stimmt.

 

Nein, wenn man einen Virenscanner auf dem Rechner hat, ist das eher ein Hinweis auf das Gegenteil (Virenscanner sind eine Sicherheitsproblem und kein Schutzmechanismus, wenn man nicht alles auszuführen versucht, was nicht bei drei auf den Bäumen ist).

 

Oder auch wenn man keine fragwürdigen Dinge installiert hat, kann immer noch ein gekaufter Werbebanner auf Spiegel Online und co. eine bisher unbekannte Sicherheitslücke im Browser, Java oder Flash ausnutzen um den Rechner zu infizieren.

 

Wenn man keine fragwürdigen Dinge installiert, kann einem ein Werbebanner auch keine Sicherheitslücken in Flash oder Java ausnutzen.

 

Sicherheitslücken in der von aussen erreichbaren Software sind natürlich ein Risiko, klar, aber das gilt halt zum einen auch für Cardreader und Smartcards, und zum anderen vor allem auch für die Rechner der Bank.

 

Auch wenn man kein Windows sondern ein alternatives OS benutzt. So zumindest die Theorie. Und wenn mehrere Lücke zusammen kommen, kann dies sogar bei den ansonsten im Vergleich zu Windows oder Desktop-Linuxen ziemlich gut "abgeschotteten" Mobilsystemen geschehen. Theoretisch.

 

Wenn man sich anguckt, was für Sicherheitslücken regelmässig in Mobilfunkstacks gefunden werden (man kann da noch Zeug mit Fuzzing finden!) und wie wenig Schutz die Architektur üblicher Handy-Chipsätze zu bieten scheint, würde ich aktuellen Mobilsystemen nicht viel weiter trauen als nem Windows 95 oder so.

 

Richtig, das war jetzt 3x "theoretisch". Wie es in der Praxis aussieht, hängt eben von der Qualität der Angreifer ab. Tatsächlich eingetreten ist es in der Form bisher vermutlich noch nicht, weil es genug Idioten gibt, die jeden Schrott installieren und sich dann über die seltsamen ausgehenden Kontotransaktionen wundern. Die Mühe ist es also einfach nicht wert. Ich fühle mich aber trotz Linux und ohne "Scheiss auf dem Rechner" mit iTAN nicht sicher. Will dann auch nicht erst meiner Bank wegen einer Erstattung hinterherlaufen.

 

Also, es kommt natürlich darauf an, was für ein Vermögen man verwaltet, aber ich halte für meinen Bedarf meine IT für sicher genug gegen Massenangriffe - für das, was bei mir zu holen wäre, würde wohl niemand einen Zeroday verbrennen. Und im Zweifel die Juristenkompatibilität des Verfahrens für vorteilhaft.

 

Das stimmt natürlich. Aber wenn ich meiner Bank nicht vertraue, wem dann? Die können ja auch einfach 1000€ vom Konto nehmen und behaupten, ich hätte es irgendwo abgehoben. Wenn eine Bank wirklich unter dem Deckmantel von ChipTAN behauptet, ich hätte die Abbuchung autorisiert, obwohl das nicht der Fall ist, würde ich auch nicht auf eine erfolgreiche Rückerstattung bei Betrug mit iTAN hoffen.

 

Es geht ja nicht nur um den Fall, in dem die Bank eine Autorisierung fälscht, sondern auch (vor allem?) um den Fall, wenn jemand drittes die Bank komprimittiert - das ist ja das Szenario, in dem Banken historisch damit aufgefallen sind, unehrlich (oder inkompetent?) zu sein, indem sie sich hinstellen und behaupten, ihre Verfahren seien sicher, und wenn das Verfahren über das mathematische und technische Verständnis des Richters hinausging, damit regelmäßig Erfolg hatten.

 

Einen Punkt sprichst du aber an, dem ich zustimme: Das Verfahren sollte komplett offenliegen. Security by Obscurity hat noch nie gut funktioniert, eine Offenlegung würde aber Vertrauen in die Verfahren schaffen. Aber selbst dann kann die Bank das Geheimnis auf meiner EC-Karte vor der Herausgabe für sich selbst kopieren und dann für mich Transaktionen signieren und behaupten, ich hätte das doch autorisiert. Lösen ließe sich das nur, wenn wir eigenhändig das Geheimnis auf dem Chip in unseren EC-Karten generieren und irgendwie drauf flashen würden. Trotzdem dürfte es danach dann nicht auslesbar sein.

 

Ja, eine Offenlegung wäre eigentlich das Mindeste, wäre nicht das erste mal, dass von Banken erdachte Sicherheitsverfahren bei fachlich qualifizierter Betrachtung zerbröseln. Wenn man sich anguckt, wie Banken sich anstellen, wenn offenkundige Sicherheitsprobleme in ihren Verfahren offengelegt werden, habe ich aber irgendwie wenig Hoffnung (siehe z.B. https://www.lightbluetouchpaper.org/2010/12/25/a-merry-christmas-to-all-bankers/ ) ...

 

Und die Lösung bräuchte natürlich eine Entkopplung der Signaturkarte und der EC-Karte. Die Signaturkarte kaufe ich selber von einem Anbieter meines Vertrauens, die Karte generiert intern den privaten Schlüssel und erlaubt mir dann, damit Signaturen vorzunehmen - die Bank kriegt nur den exportierten öffentlichen Schlüssel. Hätte nebenbei den Vorteil, dass ich die eine Karte mit dem einen Schlüssel bei beliebig vielen Banken einsetzen könnte. Oder je nach eigener Einschätzung könnte man statt einer Smartcard natürlich auch einen Raspberry Pi o.ä. einsetzen, der im Safe weggeschlossen wird.

 

Ich für meinen Teil setze da einfach so viel Vertrauen in meine Bank, dass sie nicht versuchen wird, mein Geld durch illegale Tricks zu stehlen. Und ich bete, dass ChipTAN gut umgesetzt ist.

 

Optimist! :-)

 

Du sagst es ja selbst. Bis auf die selbst generierten privaten Schlüssel und die mangelnde Offenheit des Verfahrens haben wir heute mit ChipTAN aber schon genau das was du beschreibst (nach Auskunft der Banken). Wie gesagt, wenn die Bank nicht eine Kopie des Schlüssels in der EC-Karte zurückbehält und damit Geld vom Konto abfließen lässt, es aber so aussehen lässt, als ob ich es bestätigt hätte…

 

Nein, die bisherigen Verfahren sind nahezu sicher symmetrische Verfahren, bei denen die Bank zwingend den gleichen Schlüssel braucht wie der Kunde, folglich wird die Bank eine Datenbank mit den Schlüsseln aller Kunden haben.

 

Gebe dir Recht, dass man mit iTAN am ehesten sagen kann "ich war es aber nicht!". Wenn sich aber die ChipTAN-Leute, die sagen "ich war es nicht!" häufen, wird wohl allgemein anerkannt dass auch mit ChipTAN entstandener Schaden durch Banken zu ersetzen ist.

 

Ja, so läuft es ja bisher im Regelfall. Das Problem ist, dass es in der Regel erstmal eine ganze Reihe geschädigter leer ausgeht, bis nicht mehr zu leugnen ist, dass die Bank schuld ist.

 

Meine Bank schafft es immerhin schon, mir PGP-verschlüsselte Mails bei Kontotransaktionen zu senden.

 

Sowas gibt's? Da interessiert mich jetzt aber wirklich, welche Bank das ist!

 

Das ganze jetzt in umgekehrter Richtung und in Hardware gegossen, um die Gefahren bei der Schlüsselverwaltung im PC zu umgehen, und ich wäre zufrieden. (Ein Standardformat für verschlüsselte&signierte E-Mails mit Transaktionsanweisungen wäre interessant – aber nur, wenn ich mir der Sicherheit des privaten Schlüssels absolut sicher wäre. Geldüberweisung per Mail, die man vorher kurz durch ein separates Stück Hardware schickt, nicht schlecht. Sollte nur nicht über gefährliche komplexe Schnittstellen wie USB/Ethernet mit dem Rechner verbunden sein. Und zur Sicherheit sollte der Nutzer selbst auch nicht an seinen privaten Schlüssel kommen. Und natürlich würde das Gerät eine Passphrase erfordern, damit es nicht schlimm ist, wenn es abhanden kommt.)

 

Jepp, die Grundlagen gibt es eigentlich alle schon - und die Schnittstelle zum Rechner scheint mir nicht so kritisch, solange der jeweilige Protokollstack gut von der Crypto-Engine isoliert ist, da die ganze Idee ja wäre, dass alles ausserhalb des Cardreaders (wenn wir von Cardreader + Smartcard ausgehen) nicht vertrauendwürdig ist und nur die Smartcard den Schlüssel kennt.

[shaky]

Was ist in diesem Zusammenhang von der sogenannten No-Risk-Garantie der netbank zu halten?

 

http://www.netbank.de/nb/no-risk-garantie.jsp

[wpf-leser]

Hey shaky,

 

meiner Ansicht nach ist das nichts anderes als bei anderen Banken auch - wer hätte es gedacht...

Schau' dir einfach mal die 'Detaillierten Informationen' unter den u.g. AGB-Stellen an, insbesondere gleich die erste [A/II/10].

 

Grüße,

wpf-leser

[Pashofi]

Hallo Staatenverbund,

 

mit "gefälschten" Zertifikaten meinte ich tatsächlich von irgend einer zweifelhaften CA (unfreiwillig?) ausgestellte Zertifikate, also nicht wirklich gefälscht. Ich denke, dass nur die wenigsten Nutzer aktiv die Liste der vertrauenswürdigen CAs verwalten oder Keys pinnen, ich jedenfalls nicht.

 

Ich nicke jedenfalls zu deinem Post mal mit dem Kopf. Dass ChipTAN auf einem symmetrischen Verfahren basiert war mir nicht bewusst, verfolge das nur hobbymäßig. Die Idee mit unabhängigen Kartenausgabe-Institutionen klingt jedenfalls sinnvoll, hoffentlich kann sich mal eine Bank mit einem solchen Modell durchsetzen. Die müssten doch eigentlich Leute mit viel Ahnung von sowas beschäftigen, die das umsetzen könnten.

 

Die 1822direkt sendet Mails bei Kontotransaktionen, man kann zwischen verschiedenen "Konto-Ticker" Varianten wählen. Entweder nur eine gewöhnliche Mail ohne Details, oder gewöhnliche Mails mit Details, oder eben eine PGP-verschlüsselte Mail mit den Details. Public Key muss man dabei irgendwie hinterlegen, ist schon eine Weile her. Eventueller Nachteil, je nach Bankvertrauen und persönlichen Sicherheitsbedenken (für mich war es fast ein Grund, eine andere Bank zu wählen): Kein ChipTAN. Dafür eine Variante mit Smartphone-App und die Klassiker mTAN und iTAN. Die Tatsache, dass es eine Sparkasse mit vielen Geldautomaten ist, und ich auf dem Girokonto ohnehin keine Reichtümer lagere, hat mich dann aber doch für 1822direkt entscheiden lassen. :-

[Staatenverbund]

mit "gefälschten" Zertifikaten meinte ich tatsächlich von irgend einer zweifelhaften CA (unfreiwillig?) ausgestellte Zertifikate, also nicht wirklich gefälscht. Ich denke, dass nur die wenigsten Nutzer aktiv die Liste der vertrauenswürdigen CAs verwalten oder Keys pinnen, ich jedenfalls nicht.

 

Eigentlich fallen alle kommerziellen CAs dadurch auf, dass die Identitätsprüfung beim Zertifikatsverkauf ein schlechter Witz ist - dass manche dann noch katastrophale IT-Sicherheit haben und/oder von Regierungen und Geheimdiensten entweder direkt betrieben oder genötigt werden, kommt natürlich noch dazu.

 

Und ja, die meisten Nutzer tun eh komische Dinge, aber das spielt ja keine Rolle dafür, ob ein Verfahren für mich/den sicherheitsinteressierten Nutzer unsicher ist. Wer Java-Plugin, Flash, Adobe Reader, Virenscanner und weitere Malware installiert, ist vermutlich mit iTANs nicht gut beraten, aber das spielt ja für mich keine Rolle. Die Verwaltung der CAs ist bisher in der Tat eine etwas frickelige Angelegenheit, aber zumindest Mozilla arbeitet ja wohl an im Browser eingebautem Pinning, damit das in Zukunft vielleicht etwas leichter geht. Ich für meinen Teil verwende für jede Bank ein auf die relevante CA festgenageltes FF-Profil und erlaube nur HTTPS, außer für OCSP.

 

Ich nicke jedenfalls zu deinem Post mal mit dem Kopf. Dass ChipTAN auf einem symmetrischen Verfahren basiert war mir nicht bewusst, verfolge das nur hobbymäßig.

 

Hier und da hört man mal Gerüchte, auf welchen Primitiven ein bestimmtes Produkt basiert, und das tendiert in Richtug DES und AES. Aber der wesentliche Hint ist, dass in ~ 20 bit (6-stellige TAN) keine Signatur passt, und dass Signaturverifikation eine vollständige Signatur braucht, da ja nur eine Seite die Signatur erzeugen kann - während man Hashes/Digests leicht abschneiden und den Schnipsel vergleichen kann.

 

Die Idee mit unabhängigen Kartenausgabe-Institutionen klingt jedenfalls sinnvoll, hoffentlich kann sich mal eine Bank mit einem solchen Modell durchsetzen.

 

HBCI mit RSA funktioniert ja im Prinzip so - wenn man ignoriert, dass es bei der Version mit Smartcard am Binding zwischen signierten Daten und der Anzeige des Kartenlesers mangelt, wenn man nicht die Secoder-Version verwendet, die nach meinem Wissen nach wie vor praktisch keine Bank anbietet. Aber wenn man z.B. die Version ohne Smartcard auf einem gut abgeschotteten Raspberry Pi betreibt und dort den Schlüssel erzeugt, kann man vermutlich recht nah drankommen - zumindest die Bank kennt den privaten Schlüssel dann nicht. Normalbenutzertauglich sieht aber natürlich anders aus ...

 

Die müssten doch eigentlich Leute mit viel Ahnung von sowas beschäftigen, die das umsetzen könnten.

 

Schön wär's :-)

 

Naja, ich denke, es sind zwei Faktoren: Wenn man sich z.B. das SSL-Setup vieler Banken anguckt, scheint es mir mehr als fraglich, dass da Leute mit viel Ahnung arbeiten. Andererseits haben Banken aber bei Sicherheit halt auch einen anderen Fokus: Für die Bank geht es bei Sicherheit um die Sicherheit der Bank, nicht um die Sicherheit der Kunden. Wenn vereinzelt Kunden das Konto leergeräumt wird, ist das für die Bank kein großes Risiko - im besten Fall kann sie es auf den Kunden schieben (ob nun berechtigt oder nicht), im schlimmsten Fall kostet es halt ein wenig Eigenkapital, das man andernfalls für Sicherheit hätte ausgeben müssen. Während das im für die Bank besten Fall für den Kunden eine Katastrophe sein kann, ist das für die Bank im schlimmsten Fall eine Art einkalkulierte Versicherungsleistung, die möglicherweise sogar billiger ist als Sicherheit für den Kunden zu schaffen. Das erklärt z.B. auch, weshalb viele Banken sich nicht darum kümmern, dass man sichere Passwörter verwenden kann, und stattdessen lieber den Zugang nach ein paar Fehlversuchen sperren: Wenn der Kunde mal eine Weile nicht über sein Vermögen verfügen kann, ist das für die Bank egal, während es im Einzelfall für den Kunden ein großes Problem sein kann, zumal, wenn dritte oft nur die Kontonummer brauchen, um jemand anderem den Zugang zum Konto zu sperren.

 

Die 1822direkt sendet Mails bei Kontotransaktionen, man kann zwischen verschiedenen "Konto-Ticker" Varianten wählen. Entweder nur eine gewöhnliche Mail ohne Details, oder gewöhnliche Mails mit Details, oder eben eine PGP-verschlüsselte Mail mit den Details. Public Key muss man dabei irgendwie hinterlegen, ist schon eine Weile her. Eventueller Nachteil, je nach Bankvertrauen und persönlichen Sicherheitsbedenken (für mich war es fast ein Grund, eine andere Bank zu wählen): Kein ChipTAN. Dafür eine Variante mit Smartphone-App und die Klassiker mTAN und iTAN. Die Tatsache, dass es eine Sparkasse mit vielen Geldautomaten ist, und ich auf dem Girokonto ohnehin keine Reichtümer lagere, hat mich dann aber doch für 1822direkt entscheiden lassen. :-

 

Klingt gut, ich denke, das werde ich bei Gelegenheit mal ausprobieren!