ist eine mTAN von meiner Bank sicher?
4 Antworten
Wenn sich Onlinebanking und mTAN z. B. auf deinem Handy befinden, also auf ein und dem selben Gerät, nein, dann ist das nicht 100% sicher!
Die Unsicherheit liegt aber nicht in der Verantwortung der Bank, vielmehr in der Verantwortung vom Kontoinhaber.
Was kann die Bank dafür, wenn Du irgendeine dubiose Mail öffnest und dir damit Schadsoftware einfängst!?!
Oder was kann die Bank dafür, wenn Du z. B. jemanden anderes den Zugang zum Handy gewährst?!?!
So, (sorry an den Fragesteller), ich hab es nochmal ausprobiert. Ich kann bei der ING tatsächlich über mein Handy, nur mit Eingabe der PIN, Geld auf mein Referenzkonto überweisen.
Bei meinem neuen Tagesgeldkonto einer anderen Bank muss ich mich erst am PC anmelden und in der app des handys erfolgt dann nur die Bestätigung. Das würde ich dann auch 2-Faktoren-Regelung nennen.
Aber letztendlich hat man nur wenig Wahl, das wird ja von den Banken vorgegeben. Wenn in den AGB vorgegeben wird, dass ich das Handy im Tresor aufbewahren muss...
Zum Thema Sicherheit macht man sich ja meist nur oberflächliche Gedanken, bevor ein Schaden eintritt.
Das Problem fängt ja schon damit an, dass das Mobilfunknetz selbst nicht hinreichend sicher ist. Das Mobilfunknetz ist und war nie dafür ausgelegt, sensibel Informationen sicher zu übermitteln. Trotz einiger nachgerüsteten Sicherheitsfeatures ist es nach wie vor sehr löchrig.
Gerade Lücken im SS7-Standard wurden in der Vergangenheit bereits aktiv für Angriffe auf Bankkonten genutzt:
https://t3n.de/news/zwei-faktor-authentifizierung-sms-1137356/
Es gibt natürlich einen Grund, warum SMS für die Übermittlung von TANs nicht mehr genutzt wird. Wie man aber auch klar den Fällen entnehmen kann, ist das Mithören von smsTANs nur einer von zwei Faktoren, um Transaktionen ausführen zu können. Man muss nämlich auch Zugang zur jeweiligen Konto-App bzw. Webanwendung haben. Dafür sind Zugangsdaten erforderlich, die typischerweise über Phishing oder das Knacken schwacher (oder wiederverwendeter) Passworte gefunden werden. Aus diesem Grund setzen Banken eher auf App-TANs, die auf Netzwerkebene verschlüsselt übertragen werden und für den Zugang weitere Zugangsdaten (z.B. Biometrie) erfordern.
Das wesentliche Problem bei solchen Hacking-Angriffen ist jedoch irgendwo im Prozess typischerweise der Bankkunde selbst.
Das Versenden von TAN per SMS entspricht nicht mehr dem Stand der Technik und ist grundsätzlich nicht mehr als sicher einzustufen. Das Mobilfunknetz ist und war nie dafür ausgelegt, sensibel Informationen sicher zu übermitteln.
Dazu kommt das Problem, dass in der Praxis der zweite Faktor (die TAN) oft auf dem selben Gerät empfangen wird, auf dem er auch eingegeben wird. Das ist grundsätzlich als unsicher einzustufen.
Die Nutzung einer Banking-App und einer pushTAN-App auf ein und demselben Mobilfunkgerät ist technisch unzureichend und weist ein erhöhtes Gefährdungspotential auf (LG Heilbronn, Urt. v. 16.05.2023 - Az.: Bm 6 O 10/23).
So sicher wie Dein Endgerät für den Empfang der TAN.
In der ausführlichen Frage ging es laut Schlagworten wohl um ein leergeräumtes Konto und hacking.
Was sie wohl der Bank schreiben möchte? "mTAN gar nicht so sicher, Haftung der Bank" ?
Zur Beantwortung einer solchen Frage wären noch einige Details erforderlich.
Der Grundsatz lautet: es müssen zur Absicherung zwei unterschiedliche Authentisierungswege bzw. -mittel verwendet werden. Dies ist in der PSD2 festgeschrieben und wird durch §1 Abs. 24 ZAG in deutsches Recht umgesetzt.
Die PIN für den Zugang zum Smartphone wäre normalerweise die erste Hürde. Bei Nutzung von Webanwendungen muss i.a. die Freigabe des Logins in diese über die aktive App auf einem Smartphone erfolgen.
Die Zugangsdaten zum Banking (und die Sicherung einer App z.B. durch Biometrie) wären die zweite Hürde.
Die Übermittlung einer smsTAN (mTAN) erfolgt zwar im Klartext, aber deren Nutzung erfordert immer noch den Zugang zur konkreten Transaktion in der App oder der Webanwendung.
Wird also "ein Konto leergeräumt", so setzt das eine Überweisung voraus (bei einer Barabhebung würde man keine TAN benötigen), die durch mind. zwei Tokens abgesichert ist:
- die PIN des Smartphones
- die Zugangsdaten zum Banking (ggf. mit Biometrie)
Weiterhin wird die einmalig und nur für die vorgesehene Transaktion verwendbare TAN übermittelt und ist einzugeben. Bei mTANs erfolgt dies ungesichert. Bei TANs über die App selbst erfolgt das im Rahmen des gesicherten Kontexts mit einer Freigabe. Die Transaktion selbst müsste aber in beiden Fällen in die authentisierte App eingegeben werden.
Die Bank wird angesichts dieser Anforderungen berechtigterweise die Frage stellen, wie denn diese Hürden mit Credentials übergangen werden konnten, wenn nicht ein Fehlverhalten des Bankkunden selbst vorliegt.
- Wurden etwa TANs mündlich oder per Chat/E-Mail Dritten mitgeteilt?
- Wurden die Sorgfaltspflichten zur Vertraulichkeit der Credentials verletzt (z.B. durch Verlust von Aufzeichnungen)?
- Sind die verwendeten Passworte zu schwach oder wird ein biometrisches Verfahren genutzt, das auch weitere Personen die Authentisierung erlaubt?
Um das genau zu differenzieren, muss man die genauen Umstände kennen. Eine einfache Zeile mit der Frage nach der Sicherheit von mTAN reicht da nicht.
Es ist mit Sicherheit nicht so selten, dass nur ein Gerät (eben nur das handy) für den Zugang genutzt wird.
Inwieweit eine Bank für die von ihr zugelassenen Authorisierungsverfahren haftbar ist, kann ich nicht beurteilen. Nicht grundlos wurde ja die sms-TAN überwiegend eingestellt.
Ich hab wohl sogar selbst die App der ing auf dem Handy, und man könnte so darüber verfügen. (Ist aber kein nennenswertes Geld mehr drauf). Und genau das wollte ich nicht.