Online-Banking: Aber sicher – Das chipTAN-Verfahren

1. Es herrscht: VerunsicherungchipTAN-Verfahren

Die Möglichkeit, bequem von zu Hause aus eine Überweisung oder andere Bankgeschäfte erledigen zu können, ist für viele Anwender verlockend. Trojaner, Phishing-E-Mails oder andere Gemeinheiten versalzen Anwendern allerdings die Suppe. Viele Anwender fragen sich daher:

Ist Online-Banking sicher?

Die Antwort auf diese Frage lässt sich nicht in einem Satz zusammenfassen. Ausschlaggebend für ein »sicheres« Online-Banking ist insbesondere das genutzte TAN-Verfahren.

Im vorliegenden Beitrag stelle ich euch eine Möglichkeit vor, Online-Banking möglichst sicher mit dem chipTAN-Verfahren durchzuführen.

2. Was ist »sicher« beim Online-Banking?

Der Titel des Beitrags lautet:

Online-Banking: Aber sicher – Das chipTAN-Verfahren

Was bedeutet nun »sicher«? Bin ich sicher, wenn ich die Straße bei grün überquere? Bin ich sicher, wenn ich mich beim Autofahren anschnalle? Natürlich nicht, aber die Wahrscheinlichkeit eines Unfalls lässt sich verringern.

Auch in der IT gibt es keine 100%ige Sicherheit. Es geht immer nur um Wahrscheinlichkeiten. Anhand eines kleinen Beispiels lässt sich das verdeutlichen:

Tante Frieda ist eine durchschnittliche Anwenderin, die Windows 7 nutzt und (Sicherheits-)Updates hin und wieder einspielt. Online-Banking macht sie über den Browser. Ihre Bank unterstützt neben dem klassischen iTAN-Verfahren ebenfalls mTAN. Da sie ebenfalls ein Smartphone besitzt, hat sie sich für mTAN entschieden – nach der ausgefüllten Überweisung bekommt sie per SMS eine TAN übermittelt. Leider klickt Tante Frieda innerhalb von Phishing-E-Mails gerne mal auf Links, die Angreifer missbrauchen, um die Zugangsdaten von Online-Konten abzufischen. Ihr kleiner Neffe installiert regelmäßig Android-Spiele von unsicheren Drittquellen – Tante Frieda ist das bisher nie aufgefallen

In diesem fiktiven Szenario ist es wahrscheinlich, dass Kriminelle sicherheitsrelevante Daten wie PIN oder TAN ergaunern und Tante Frieda ein (erheblicher) Schaden entsteht.

Und genau darum geht es: Wir müssen die Wahrscheinlichkeit für solch einen (oder ähnlichen) Angriff reduzieren. Natürlich ist die Lösung, die ich in dem vorliegenden Beitrag vorstelle, auch nicht 100%ig sicher. Allerdings wird die Hürde für einen potenziellen Angreifer derart hoch gelegt, dass er nur eine geringe Chance auf Erfolg hat. Oder anders formuliert: Die Wahrscheinlichkeit, dass beim Online-Banking ein Schaden entsteht, ist mit der im vorliegenden Beitrag vorgestellten Variante (sehr) gering.

2. Was benötigen wir?

Für ein (möglichst) sicheres Online-Banking sollten nach meiner Auffassung folgende drei Voraussetzungen erfüllt sein:

  • Bank: Wir benötigen eine Bank, die das chipTAN-Verfahren unterstützt.
  • chipTAN: Die EC-Karte (Bankkarte) wird in einen externen TAN-Generator / Lesegerät gesteckt und eine TAN generiert, die nur wenige Minuten für den aktuellen Auftrag gültig ist.
  • Linux-Live-System: Wir verwenden ein Linux-Live-System, um die Online-Überweisung getrennt vom eigentlichen Hauptsystem durchzuführen.

Gerade aber ein Linux-Live-System stellt für Anfänger eine »große« Hürde da. Daher sollten wir an dieser Stelle nochmal zwischen Anfängern und Fortgeschrittenen unterscheiden. Anfänger erzielen mit der Kombination chipTAN-Verfahren + externer TAN-Generator schon einen erheblichen Sicherheitsgewinn. Ein Linux-Live-System einzusetzen stellt sozusagen das Tüpfelchen auf dem »i« dar. Das chipTAN-Verfahren sorgt bei korrekter Anwendung schon für eine hohe Sicherheit bei Online-Überweisungen.

Allerdings sollten wir uns auch immer vor Augen führen, dass nicht nur die Online-Überweisung ein sicherheitsrelevanter Vorgang ist, sondern dass über den Online-Zugang zu einem Bankkonto etliche sensible Informationen (Kontostand, Überweisungen, Aktiendepot etc.) abrufbar sind. Gerade im Hinblick auf Schadsoftware wie Trojaner ist es daher sinnvoll, sich über ein vom Hauptsystem abgeschottetes / getrenntes Linux-Live-System in den Online-Bereich der Bank einzuloggen. Mit dieser Maßnahme lässt sich das Risiko erheblich reduzieren, dass ein Dritter die Zugangsdaten über eine im System verankerte Schadsoftware ausspioniert.

Vor diesem Hintergrund solltet ihr euch die Fragen stellen:

Will ich (mehr) Sicherheit oder bevorzuge ich die Bequemlichkeit / Alltagstauglichkeit?

Falls die Antwort auf die Frage »(mehr) Sicherheit« lautet, solltet ihr den unbequemen Weg über ein Linux-Live-System wählen und euch damit vertraut machen. Beantwortet ihr die Frage hingegen mit dem Wunsch nach Bequemlichkeit  / Alltagstauglichkeit, solltet ihr lediglich die Ziffern 2.1 und 2.2 umsetzen.

2.1 Anfänger: Auswahl der Bank

Bei der Auswahl einer Bank spielt insbesondere eine zentrale Frage eine Rolle:

Unterstützt die Bank das (optische) chipTAN-Verfahren?

Einige Banken tun dies noch immer nicht bzw. setzen Verfahren ein, die im Grunde als unsicher bezeichnet werden können. Das ist insofern paradox, weil auch Banken ein großes Interesse haben (sollten), dass Betrüger nicht an das Geld ihrer Kunden gelangen.

In den letzten Jahrzehnten wurde das iTAN-Verfahren (Liste mit indizierten TAN-Nummern) sukzessive durch das mTAN- / smsTAN-Verfahren abgelöst bzw. ergänzt. Gerade das iTAN-Verfahren sehen viele Banken nur noch als Mindestschutz an und empfehlen ihren Kunden andere Verfahren. Aktuell weit verbreitet ist das bereits genannte mTAN- / smsTAN-Verfahren. Bei einer Überweisung benötigt ein Kunde neben einem Computer ebenfalls ein Handy / Smartphone, auf das die auftragsbezogene TAN zur Autorisierung des Vorgangs gesendet wird. Gerade im Hinblick auf Trojaner und andere schadhafte Programme / Apps ist die Nutzung dieses Verfahrens mit einem beträchtlichen Risiko verbunden. Was viele vermutlich (auch) nicht wissen:

Aus Sicherheitsgründen ist es nach den Bedingungen der meisten Banken strikt verboten, eine m- bzw. smsTAN fürs Online-Banking auf dem internetfähigen Smartphone zu nutzen, das zeitgleich für Bankgeschäfte eingesetzt wird.

Ganz klar: Hierbei wird die Zwei-Faktor-Authentifizierung ad absurdum geführt – die zwei Faktoren sind dann nicht mehr voneinander unabhängig. Bei einem Schadenfall übernimmt die Bank womöglich keine Haftung. Vor diesem Hintergrund ist es natürlich paradox, dass etliche Banken die hauseigenen Banking-Apps massiv bewerben, bei denen sowohl die Initiierung als auch Autorisierung einer Überweisung über ein und dasselbe Gerät erfolgen. Das Thema »Banking per Smartphone-App« werde ich nochmal unter Ziffer 4 aufgreifen.

Zusammengefasst: Eure Bank sollte das (optische) chipTAN-Verfahren zwingend unterstützen. Teilweise wird das Verfahren von den Banken auch unter einem anderen Namen wie »Smart-/Sma@rt-TAN plus« beworben. Im Zweifelsfall fragt ihr einfach direkt bei der Bank nach und bittet um Auskunft.

Hinweis

Eure Bank sollte das chipTAN-Verfahren unterstützen. Daneben gibt es natürlich noch weitere Überlegungen bzw. Kriterien für die Auswahl einer Bank. Viele Banken schrecken bspw. nicht davor zurück, ihre Kunden durch Drittanbieter tracken zu lassen – gerade im Hinblick auf den äußerst sensiblen Online-Bankingbereich entstehen dadurch unkalkulierbare Risiken für Sicherheit und Privatsphäre. Mehr Details unter: Wie Banken die Sicherheit und Privatsphäre ihrer Kunden aufs Spiel setzen.

2.2 Anfänger: chipTAN-Verfahren

Beim chipTAN-Verfahren wird die für die Überweisung notwendige TAN von einem Chipkarten-Lesegerät generiert – auch TAN-Generator genannt. Dieser TAN-Generator besitzt ein Ziffernfeld und Karteneinschub für die Bankkarte (EC-Karte). Auf der Rückseite befinden sich fünf optische Sensoren, um die flackernde Grafik (Flicker-Code) zu empfangen. Zahlreiche deutsche Banken bieten dieses Verfahren mittlerweile an. Den Ablauf einer Online-Überweisung möchte ich grob skizzieren:

  • Für eine Online-Überweisung sind zwei Dinge notwendig: Die Bankkarte (EC-Karte) und ein TAN-Generator.
  • Die Bankkarte wird in den TAN-Generator gesteckt und eingeschaltet.
  • Bei einer Online-Überweisung wird anschließend eine chipTAN angefordert. Dazu wird der TAN-Generator an den Bildschirm des Computers gehalten und der Flicker-Code (Lichtsignale) gescannt. Alternativ ist die Eingabe auch manuell am TAN-Generator möglich.
  • Anschließend werden dem TAN-Generator ein (Start-)Code, die Kontonummer des Empfängers und der Überweisungsbeitrag übermittelt. Auf dem Display des TAN-Generators werden die Informationen anschließend zur Kontrolle angezeigt.
  • Sofern die übermittelten Daten mit dem (Online-)Überweisungsträger übereinstimmen und der Anwender sein »Okay« gibt, errechnet der TAN-Generator aus dem (Start-)Code und der eingesteckten EC-Karte eine auftragsbezogene TAN, die für wenige Minuten gültig ist.
  • Diese TAN-Nummer gilt es nun in den Überweisungsvorgang am Computer zu übertragen. Danach ist der Vorgang abgeschlossen.

Der große Vorteil an diesem Verfahren: Beim TAN-Generator handelt es sich um ein dediziertes Gerät, ohne Verbindung zum Computer oder Smartphone. Selbst wenn der Computer oder das Smartphone kompromittiert sind, gelingt die Autorisierung der Überweisung lediglich über die EC-Karte am TAN-Generator – beides liegt vor euch auf dem Tisch und ist offline. Wenn ihr bei einer Online-Überweisung die angezeigten Daten im Display des TAN-Generators kontrolliert (Empfänger, Überweisungsbetrag etc.), ist die Sicherheit des chipTAN-Verfahrens als »sicher« einzustufen. Oder anders formuliert: Die Wahrscheinlichkeit, dass Kriminelle sicherheitsrelevante Daten wie die TAN ergaunern, ist sehr gering.

Damit ihr das chipTAN-Verfahren anwenden könnt, benötigt ihr ein Chipkarten-Lesegerät (TAN-Generator), den eure Bank unterstützt. Persönlich nutze ich den ReinerSCT Tanjack – dieser beherrscht den HHD 1.4 Standard und sollte mit fast allen Banken funktionieren.

Tipp: Informiert euch bei eurer Bank, welchen TAN-Generator bzw. welchen HHD-Standard das Gerät unterstützen muss.

Hinweis

Beim chipTAN-Verfahren gibt es auch Lösungen wie »chipTAN USB«, bei denen das Online-Banking über ein an den Rechner angeschlossenes USB-Gerät abgewickelt wird. Alle Varianten, bei denen der TAN-Generator mit dem Rechner gekoppelt bzw. verbunden wird – egal ob via USB, Bluetooth oder eine andere Schnittstelle – solltet ihr meiden. Der Vorteil des »herkömmlichen« chipTAN-Verfahrens liegt nach meiner Auffassung gerade darin, dass eben KEINE Verbindung mit dem Computer besteht.

2.3 Fortgeschrittene: Linux-Live-System

Weshalb ich ein Linux-Live-System für eine wichtige Komponente bei der Durchführung von Bankgeschäften wie Online-Überweisungen halte, habe ich bereits dargestellt. Nochmal zur Erinnerung: Im Hinblick auf Schadsoftware wie Trojaner ist es sinnvoll, sich über ein vom Hauptsystem abgeschottetes / getrenntes Linux-Live-System in den Online-Bereich der Bank einzuloggen. Damit reduzieren wir das Risiko erheblich, dass ein Dritter die Zugangsdaten über eine im System verankerte Schadsoftware ausspioniert.

Zugegebenermaßen wird die Vorbereitung und Anwendung eines Linux-Live-Systems viele Anwender zunächst abschrecken – das sollte es allerdings nicht. Wer den Vorgang einmal verinnerlicht hat, wird mit einem Plus an Sicherheit belohnt. Grob skizziert sind folgende Schritte notwendig:

  • Wahl einer Distribution: Zunächst solltet ihr ein Linux-Live-System auswählen, mit dem ihr später die Online-Überweisungen durchführen wollt. Die meisten Linux-Distributionen bieten mittlerweile ein Live-Medium an. Diese Live-Distributionen werden insbesondere zum Kennenlernen von Linux eingesetzt, werden aber auch für andere Zwecke wie zur Dateisystem-Reparatur verwendet. Die Besonderheit an einem Live-System ist meistens: Der vorhandene Festplatteninhalt bleibt unverändert. Für Anfänger eignen sich für diesen Zweck insbesondere bekannte Distributionen wie Ubuntu oder Linux Mint, die regelmäßig gepflegt werden und eine gute Hardwareerkennung mitbringen.
  • Live-Medium: Anschließend muss das heruntergeladene Image auf seine Integrität geprüft und auf ein Medium überspielt werden. Als Medium eignet sich bspw. eine externe Festplatte, eine CD/DVD oder ein USB-Stick. Persönlich nutze ich gerne USB-Sticks (+ Schreibschutzschalter) mit ca. 2 – 4 GB an Größe. Insbesondere für Windows-Nutzer eignet sich für diese Aufgabe der Universal USB Installer, um ein Image (ISO-Datei) auf einen USB-Stick zu übertragen. Hinweis: Bei diesem Vorgang wird der komplette Inhalt des USB-Sticks gelöscht.
  • Praxisbetrieb: Mit dem vorbereiteten Medium wird das Linux-Live-System anschließend gebootet und zunächst eine Netzwerkkonnektivität zum Router hergestellt (LAN-Kabel oder WiFi). Anschließend wird direkt der Browser gestartet und die Webseite der Bank aufgerufen – bitte keine Umwege gehen oder andere Seiten aufrufen.
  • Updates: Das Linux-Live-System gilt es in regelmäßigen Abständen zu aktualisieren – ansonsten bleiben wichtige (Sicherheits-)Updates auf der Strecke. Eine Aktualisierung ist im Grunde relativ einfach: Ihr ladet die aktuelle / neue Version eines Systems herunter und überschreibt einfach den vorhandenen USB-Stick, den ihr bisher für diesen Zweck benutzt habt. Mindestens einmal im Quartal solltet ihr diesen Vorgang durchführen, der ca. 15 Minuten in Anspruch nimmt.

Auch dieses Verfahren bietet natürlich keine 100%ige Sicherheit. Es bleiben auch hier immer Restrisiken, die es gilt zu benennen:

  • Integrität: Ist das heruntergeladene Linux-Live-System (ISO-Datei) unverändert bzw. wird das Live-Medium (CD, USB-Stick) auf einem vertrauenswürdigen System erstellt, das nicht von einer Schadsoftware befallen ist?
  • Manipulation: Selbst wenn das Linux-Live-System vollständig in den Hauptspeicher (RAM) kopiert wurde, ist es vor Veränderungen im Betrieb bzw. Manipulation nicht geschützt.
  • Systemupdates: Wer es versäumt, das Linux-Live-System regelmäßig zu aktualisieren, erhöht damit unnötigerweise die Wahrscheinlichkeit, dass das System über eine bekannte Sicherheitslücke angreifbar ist – auch wenn die Wahrscheinlichkeit in der häuslichen Umgebung eher gering ist.
  • Persistenz: Bei der Nutzung eines Linux-Live-Systems via USB-Stick sollten keine persistenten Daten geschrieben werden. Oder anders formuliert: Der USB-Stick sollte schreibgeschützt sein bzw. keine Änderungen am Dateisystem zulassen. Das verhindert unter anderem die heimliche Manipulation von Daten auf dem Stick. Netac, Kanguru oder TrekStor bieten USB-Sticks mit Schreibschutzschalter an.
  • […]

Wie ihr seht, kann man noch weitere Überlegungen anstellen bzw. Vorsichtsmaßnahmen treffen. Allerdings müsst ihr euch dann irgendwann auch die Frage stellen:

Gegen wen oder was schütze ich mich da eigentlich?

Zusammengefasst: Die korrekte Verwendung eines Linux-Live-Systems kann die Wahrscheinlichkeit (weiter) reduzieren, dass ihr Opfer von Kriminellen werdet. Ob ein Linux-Live-System allerdings alltagstauglich ist, müsst ihr für euch selbst herausfinden. Falls nicht, dann nutzt zumindest das chipTAN-Verfahren – auch dann habt ihr schon sehr viel eure Sicherheit beim Online-Banking getan.

Hinweis

Ubuntu bietet eine Anleitung für die Erstellung einer Live-DVD oder eines Live-USB-Mediums.

3. Online-Überweisung in der Praxis

Den gesamten Vorgang einer Online-Überweisung möchte ich euch nun einmal aus der Sicht eines fortgeschrittenen Nutzers demonstrieren, der ein Linux-Live-System einsetzt. Zum Einsatz kommen folgende Komponenten:

  • Bank: PSD-Bank Karlsruhe mit Unterstützung für chipTAN-Verfahren
  • TAN-Generator: ReinerSCT Tanjack – dieser beherrscht den Standard HHD 1.4
  • Live-System: Slax Linux (v.9.4.0)
  • Hardware: ThinkPad T440 (WiFi-Chipsatz wird von Slax erkannt)

Update 30.01.2022

Das letzte Update von Slax Linux ist über zwei Jahre her. Für Online-Banking sollte man daher lieber auf eine aktuelle bzw. gepflegte Linux-Distribution wie Ubuntu oder Linux Mint setzen.

Zunächst wird der vorbereitete USB-Stick mit Slax Linux in einen freien USB-Slot am Notebook geschoben und der Rechner gestartet. Entweder euer Rechner startet automatisch vom USB-Stick oder wird euch ein Auswahlmenü darstellen. In seltenen Fällen müsst ihr händisch nachhelfen und im BIOS den Boot-Vorgang konfigurieren.

Bevor Slax bootet, solltet ihr die Option »Run Slax (Copy to RAM)« selektieren. Slax wir dann direkt in den RAM (Hauptspeicher) eures Systems geladen und von dort aus ausgeführt. Der USB-Stick kann dann noch während des Boot-Vorgangs entfernt werden:

Slax Boot

Nach dem Bootvorgang solltet ihr zunächst eine Konnektivität zu eurem Router herstellen, damit ihr ins Internet könnt. Im Beispiel verbinde ich mich mit dem Router über WiFi – ihr könnt natürlich auch ein Netzwerkkabel benutzen. Nach Eingabe des WPA2-Passworts wird die Verbindung zum Router hergestellt und per DHCP automatisch eine IP-Adresse vermittelt:

Network Manager

Anschließend könnt ihr den mitgelieferten Browser (Chromium) starten und die Webseite eurer Bank bzw. die URL zum Online-Banking eintippen:

PSD-Bank

Sobald ihr euch eingeloggt habt, könnt ihr den Online-Überweisungsträger ausfüllen. Die Bestätigung der Überweisung erfolgt im Beispiel via Flicker-Code. Dazu halte ich den TAN-Generator (mit eingesteckter EC-Karte) einfach an den Bildschirm – und zwar so, dass sich die zwei dargestellten Dreiecke des Flicker-Codes mit denen des Lesegeräts überlappen. Falls notwendig könnt ihr die Größe des Flicker-Codes auf dem Bildschirm vergrößern bzw. verkleinern. Sobald der Flicker-Code übermittelt wurde, berechnet der TAN-Generator – nach manueller Prüfung der Informationen – die für die Transaktion gültige TAN:

chipTAN

Nach Eingabe der TAN ist die Überweisung ausgeführt. Ihr könnt das System anschließend wieder herunterfahren.

4. Banking per Smartphone-App?

Update 30.01.2022

Nach nunmehr knapp 4 Jahren hat sich die Lage im Bereich Mobile-Banking bzw. Banking am Smartphone gewandelt. Für die meisten Anwender dürfte die Kombination einer Banking-App mit dem chipTAN-Verfahren sicherer sein, als Online-Banking über den (heimischen) PC bzw. Notebook durchzuführen. Die Sicherheitsarchitektur (Sandbox-Modell) von Android und iOS ist einem herkömmlichen Windows-System überlegen, bei dem Nutzer in der Regel die Möglichkeit haben, tief ins System einzugreifen.

Der vorliegende Beitrag bleibt dennoch weiterhin aktuell – für alle jene, die ihre Bankgeschäfte weiterhin sicher am PC durchführen wollen. Die Kombination aus Linux-Live-System und dem chipTAN-Verfahren bietet aus meiner Sicht eine sehr hohe Sicherheit.

Banken wie die Deutsche Bank, Commerzbank und Sparkassen bieten spezielle Apps für das Smartphone, um bequem und von überall Überweisungen durchführen zu können. Mein Rat: Aus Sicherheits- und Datenschutzgründen solltet ihr auf diese Apps unbedingt verzichten. Das hat mehrere Gründe – auf zwei gehe ich kurz ein:

  • Unsichere Umgebung: Ein Smartphone ist keine »sichere« Umgebung für Apps, bei denen sensible Daten verarbeitet werden. Man sollte sich nämlich immer wieder vor Augen führen, dass auch Betriebssysteme wie Android hochkomplexe Software sind. Deshalb ist es auch nicht weiter verwunderlich, dass auch bei Android immer wieder neue Schwachstellen auftauchen, die ernste Sicherheitslücken nach sich ziehen und Millionen von Geräten bzw. deren Nutzer bedrohen. Sicherheitslücken der Kategorie Stagefright (CVE-2015-1538, CVE-2015-3864 etc.) oder der WebView-Bug (CVE-2014-6041) demonstrieren regelmäßig, wie verwundbar Android ist. Das Problem sind allerdings nicht unbedingt die Sicherheitslücken selbst – denn diese werden ja von Google geschlossen – sondern das eigentliche Problem liegt woanders: Die meisten Anwender können ihre Geräte bzw. Android nicht mit aktuellen Sicherheitsupdates versorgen, da die Hersteller oftmals schon nach einem halben Jahr den Support einstellen. Vor diesem Hintergrund ist es grob fahrlässig, Banking-Apps zu nutzen – egal in welch schillernden Farben die Banken ihre Apps darstellen. Die meisten Smartphones in freier Wildbahn sind eine wandelnde Zeitbombe mit schwerwiegenden Sicherheitslücken.
  • Sicherheitskonzept ausgehebelt: Wer Online-Banking per (Smartphone-)App nutzen möchte, muss sich oftmals zwei Apps auf seinem Gerät installieren. Einmal die Online-Banking-App und eine TAN-App, um die TANs zu empfangen, die für die Autorisierung der Online-Überweisungen notwendig sind. Solche App-basierten TAN-Verfahren sind für Angriffe geradezu prädestiniert, da der gesamte Online-Banking-Vorgang auf ein und demselben Gerät abläuft. Die Sicherheit der eigenen Kunden wird durch das Wegfallen einer Zweifaktor-Authentifizerung auf dem Altar der Bequemlichkeit geopfert.

Die zwei genannten Gründe sollten im Grunde schon ausreichen, um auf Bankgeschäfte via Smartphone zu verzichten. Doch wir können noch einen draufsetzen: Die Banking-Apps selbst weisen zahlreiche Sicherheitslücken auf, mit denen sich bspw. Überweisungen beliebig manipulieren lassen:

An dieser Stelle noch ein Hinweis von mir: Viele Banken pushen ihre App-Lösungen daher, weil sie fürchten, dass sie Kunden verlieren, wenn sie nicht auf bequeme Lösungen setzen. Diesen Trend, der Bequemlichkeit über Sicherheit stellt, haben wir insbesondere digitalen Finanzunternehmen, sog. FinTechs, zu verdanken.

Fazit: Wer seine Bankgeschäfte einzig über die Banking-Apps (auf ein und demselben Gerät) erledigt, der handelt grob fahrlässig.

Hilf mit die Spendenziele zu erreichen!

Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.

Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.

Mitmachen ➡

5. Fazit

Durch Bekanntwerden von zahlreichen Missbrauchsfällen hat Online-Banking bei vielen Anwendern ein schlechtes Image und sie verzichten aus Angst, selbst Opfer von Kriminellen zu werden. Andere Anwender hingegen scheinen jegliches Risiko auszublenden und nutzen (unsichere) Smartphone-Apps für ihre Bankgeschäfte.

Nach meiner Auffassung gibt es allerdings einen Mittelweg, mit dem sich das Risiko erheblich reduzieren lässt, ohne auf Online-Banking verzichten zu müssen. Unterstützt die Bank das chipTAN-Verfahren, sollten sicherheitsbewusste Anwender zu diesem wechseln. Die Kombination bestehend aus einem (Offline-)TAN-Generator und der EC-Karte bietet insgesamt eine hohe Sicherheit. Wer das Risiko weiter reduzieren möchte, der kombiniert das chipTAN-Verfahren mit einem Linux-Live-System – Tante Frieda benötigt hierbei allerdings wohl etwas Unterstützung.

Bildquellen:

Budget: Nhor Phai from www.flaticon.com is licensed by CC 3.0 BY

Über den Autor | Kuketz

Mike Kuketz

In meiner freiberuflichen Tätigkeit als Pentester / Sicherheitsforscher (Kuketz IT-Security) schlüpfe ich in die Rolle eines »Hackers« und suche nach Schwachstellen in IT-Systemen, Webanwendungen und Apps (Android, iOS). Des Weiteren bin ich Lehrbeauftragter für IT-Sicherheit an der Dualen Hochschule Karlsruhe, sensibilisiere Menschen in Workshops und Schulungen für Sicherheit und Datenschutz und bin unter anderem auch als Autor für die Computerzeitschrift c’t tätig.

Der Kuketz-Blog bzw. meine Person ist regelmäßig in den Medien (heise online, Spiegel Online, Süddeutsche Zeitung etc.) präsent.

Mehr Erfahren ➡

SpendeUnterstützen

Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.

Folge dem Blog

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:

Bleib aktuell ➡


Diskussion

75 Ergänzungen zu “Online-Banking: Aber sicher – Das chipTAN-Verfahren”

  1. Comment Avatar Chris sagt:

    Was spräche denn gegen die Verwendung eines Linux Live-Systems in einer VM? Dann könnte zumindest auf den Neustart verzichtet werden. Die VMs sind ja einigermassen abgeschottet gegen den Rest des Systems …

    Meine Erfahrung mit etwa 8 online Banken, bei denen ich ein Konto habe: nicht eine davon unterstützt ChipTAN. Früher war ich mal bei der Postbank, die es unterstützte – aber seitdem ich sie verlassen habe, liegt das Gerät ungenutzt herum.

    • Comment Avatar Norbert sagt:

      Die VM ist nur dann sicher, wenn sie als Sandbox betrieben wird. Es darf dann kein Zugriff in irgendeiner Weise auf die Dateien auf dem Rechner außerhalb der VM zugelassen werden.

      • Comment Avatar Mike Kuketz sagt:

        Nein, auch wenn die virtuelle Maschine in eine Sandbox gesteckt wird (vom Hostsystem), dann hilft das bspw. nicht gegen Trojaner oder Keylogger die sich auf dem Hostsystem befinden und den Gast ausspionieren. Es schützt aber das Hostsystem bis zu einem gewissen Grad. Schadsoftware hat es dann schwerer, aus der virtuellen Maschine auszubrechen. Dazu müsste die Schadsoftware die Virtualisierung und die Sandbox umgehen.

    • Comment Avatar Mike Kuketz sagt:

      Es spricht dagegen, dass sich Keylogger oder Trojaner in deinem Hauptsystem einnisten und jede Mausbewegung und Tastaturanschlag in der VM mitverfolgen können. Natürlich ist so ein virtuelles System bequemer – aber einige Angriffsszenarien bleiben dann eben bestehen. Daher rate ich pauschal zu einem Linux-Live-System.

  2. Comment Avatar Tom sagt:

    Bei der Lösung besteht die Gefahr des Vertippens bei der Eingabe der Banken-Webseite im Browser ! Ich kann mir vorstellen, dass Internet-Kriminelle bereits einige Domains mit ähnlich schreibenden Banken-Seiten angelegt und präpariert haben.

    Dem schreibgeschützten USB-Stick ist es egal (wahrscheinlich ist es auch von der Überweisung safe) aber man will trotzdem die Login-Daten nicht weitergeben.

    • Comment Avatar Mike Kuketz sagt:

      Das stimmt. Vertippen sollte man sich nicht.

      • Comment Avatar Anonymous sagt:

        Hier bietet sich die erwähnte Distribution Porteus-Kiosk an, die lediglich einen Browser beinhaltet. Dieser wird beim Starten des Systems direkt aufgerufen. Bei der Installation kann man eine Homepage definieren (also z. B. https://meinebank.de) und darüber hinaus eine Whitelist anlegen (Wildcards werden standardmäßig unterstützt). Der einzige Eintrag kann dann lauten „meinebank.de“. Somit macht Porteus-Kiosk folgendes beim Systemstart:
        -Browser öffnen
        -korrekte Homepage der Bank aufrufen
        -keine andere Seite außer der Bankhomepage und deren Subdomains zulassen

        Das System kann nach der Installation nicht mehr verändert werden und bleibt in diesem Zustand.

        • Comment Avatar Justus sagt:

          Moin, ich hatte mir Porteus auch angeschaut und finde es eigentlich super. Allerdings ist der Quellcode nicht öffentlich und es gibt kein Impressum bzw. eine Datenschutzerklärung. Insgesamt fand ich die Kommunikation des Herstellers sehr intransparent. Hinzu kam noch, dass der Download nicht über https gesichert ist. Ich hatte etwas ähnliches jetzt mit Webconverger probiert, weiß allerdings noch nicht ob es wirklich besser ist (siehe unten).

          • Comment Avatar Brian sagt:

            Porteus Kiosk geht da tatsächlich (leider) einen eigenen Weg: „Please find the ‚Sources‘ link on the download page:
            https://porteus-kiosk.org/download.html#ISO

            Porteus Kiosk is based on Gentoo which means every single package is compiled (except for proprietary software like Adobe Flash, Google Chrome, etc..), verified and tested by me before it goes public.

            Update and kiosk config parsing utilities are not available publicly for the security reasons.“

            Quellcode aus Sicherheitsgründen nicht zu veröffentlichen führt das Open Source Prinzip ad absurdum.

  3. Comment Avatar MoMo sagt:

    Danke für den ausführlichen Artikel.
    Aktuell nutze ich allerdings das optische ChipTan-Verfahren mit Starmoney.
    Kommt noch ein zweiter Artikel, der beschreibt wie man Hibiscus konfiguriert und nutzt?
    Ich denke, das das ebenfalls viele interessieren wird.
    Danke.

  4. Comment Avatar Harry sagt:

    Hallo Mike,

    danke für den Artikel. Hast du zufällig auch schon Erfahrungen mit Banking Apps auf Appel-Geräten sammeln können? Ich rate in meinem Freundeskreis schon länger davon ab, Banking-Apps zu nutzen. Als Gegenargument wird mir aber immer um die Ohren geschlagen, dass dies „natürlich“ nicht für Apple-Geräte gilt.

    Meiner Meinung nach gilt das natürlich auch für Apple-Geräte/Iphones.

    Ich persönlich nutzte das Chip-TAN Verfahren und einen raspberry pi, welchen ich ausschließlich zum Online-Banking verwende.

    • Comment Avatar Mike Kuketz sagt:

      Insgesamt mag die Sicherheit auf Apple-Geräten etwas höher sein – hauptsächlich deshalb, weil die Geräte bis zu vier Jahre (oder länger?) mit System-Updates versorgt werden und Apple die Apps etwas besser »vorfiltert«.

      Insgesamt ist die Problematik allerdings ähnlich. Pauschal lässt sich sagen: Egal auf welchem Smartphone-(OS), ich würde auf keinem Online-Banking durchführen wollen.

  5. Comment Avatar Jörg sagt:

    Hello,
    ich nutze das Phototan Verfahren (Commerzbank) mit den bunten „QR-Codes“. Dazu ein offline Tan Generator der, wenn er erst einmal authorisiert wurde, den QR Code abfotografieren kann und mir die entsprechende TAN generiert. Finde, das ist ein klasse Verfahren welches vollkommen ohne Smartphone auskommt und dazu noch sehr Benutzerfreundlich ist.
    Bitte korrigiert mich wenn ich da falsch liege.

    Gruß
    Jörg

    • Comment Avatar Walter sagt:

      Dreieinhalb Jahre nutzte auch ich das Phototan-Gerät der Commerzbank. Die Batteriekontaktfedern dieses Gerätes sind in ihrer Andruckkraft ganz erheblich überdimensioniert, so dass sie das Plastikgehäuse an der Öffnungsklappe aufsprengen. Das ist in dieser Zeit 2x passiert, da wurde es mir zu bunt. Ich nutze jetzt mTAN per Prepaid-Handy (ohne Internet). Der Kaufpreis des Phototan-Geräts wurde von der Commerzbank erstattet. Schade, dass die Commerzbank kein anderes Phototan-Gerät anbieten konnte.

      • Comment Avatar Anonymous sagt:

        Es ist egal welches PhotoTAN-Gerät die Commerzbank anbietet. Du kannst dir selbst bei zb ebay Kleinanzeigen für 5€ oder weniger solch ein Gerät abholen oder (schädlicher für die Umwelt) dir ein neues von irgend einen anderen Anbieter holen.
        Diese verwenden die gleiche Norm. Es gibt beispielsweise welche mit 3-AAA Batterien und mit Schraube festgehaltene Batterie-Klappe. Diese Dinger sind echt stabil.

  6. Comment Avatar Justus sagt:

    Hallo Mike,

    danke für den Artikel, der genau zur richtigen Zeit kommt. Eine kleine Frage bzw. Anregung von meiner Seite. Ich beschäftige mich seit zwei Tagen genau mit diesem Thema und hatte nun die Idee ein Kiosk-System zu nutzen. Konkret ist meine Wahl nun auf Webconverger gefallen. Ich habe es so konfiguriert, dass der Browser sofort die Bankingseite aufruft und auch nur diese (im Browser) aufrufbar ist. Ein Feature von Webconverger sind automatische Updates, also ist die Persistenz hier nicht gegeben, allerdings ist das System immer auf dem aktuellen Stand. Was hältst du von dieser Variante, der große Pluspunkt ist hier aus meiner Sicht die verhältnismäßig einfache Bedienbarkeit für andere Familienmitglieder.

    Grüße und Danke!

    • Comment Avatar Mike Kuketz sagt:

      Vergleichbar mit einem Linux-Live-System. So eine Lösung ist in jedem Fall »sicherer«, als Online-Banking von seinem Windows-Rechner aus durchzuführen.

  7. Comment Avatar Mustermann sagt:

    Bei den meisten Standard Linux-Distributionen fehlen bei den angebotenen ISOs trotzdem noch eine Menge Sichereits-Updates.

    Mein Sicherheitskonzept für Onlinebanking:

    1. Ich persönlich nutze statt einem Live-System eine extra Installation von (z. Z. ) Ubuntu auf einer separaten Festplatte. (Eine komplette Festplatte ist natürlich etwas zu viel, ich will demnächst versuchen, das ganze auf einen verschlüsselten 16 GB USB-Stick auszulaugen.)
    2. Die Festplatte ist vollständig verschlüsselt.
    3. Die Installation hat nur die Update-Server und den Server der Bank gesehen, sonst gar nichts. Updates werden natürlich vor jedem Login bei der Bank eingespielt.
    4. Die Webseite der Bank ist als Lesezeichen hinterlegt, d. h. Vertippen ist nicht möglich.
    5. Im Firefox ist nur NoScript installiert, JavaScript ist nur für die Webseite der Bank erlaubt.
    6. Das Zertifikat der Bank-Webseite gleiche ich jedes mal per Hand mit dem Zertifikat ab, was mir beim ersten Login angeboten wurde (Screenshot). (Theoretisch müsste ich natürlich zur Bank laufen und fragen, ob das wirklich ihr Zertifikat ist.)
    7. Login-Name und Passwort habe ich natürlich geändert, leider ist man bei der Wahl des Passwortes sehr eingeschränkt. (Aber das ist letztendlich ein Problem der Bank, da das nur relevant wird, wenn die gehashten Passwörter bei der Bank abgegriffen werden. Für Login-Versuche reicht die Sperre nach 3 Fehleingaben.) Beides liegt NICHT auf der Festplatte (auch nicht in einer Passwortdatenbank).
    8. chipTAN: Für Überweisungen nutze ich den TAN-Genrator, der mir von meiner Bank zur Verfügung gestellt wurde und die Bank-Karte. Beides lasse ich nicht offen herumliegen.
    9. Dass die Zahlungsdaten genau geprüft werden (bei der Eingabe, im TAN-Generator und nach dem Senden des Auftrages), versteht sich eigentlich von selbst.
    10. Anschließend logge ich mich aus, schließe den Browser und fahre das System herunter.

    Das ist sehr umständlich und muss natürlich nicht jeder so machen, man muss halt immer zwischen Sicherheit und Praktikabilität / Bequemlichkeit abwägen.

    PS: Onlinebanking erfolgt natürlich grundsätzlich NIE über WLAN!

    • Comment Avatar Mike Kuketz sagt:

      Wie ich bereits sagte:

      Gegen wen oder was schütze ich mich da eigentlich?

      Man kann natürlich immer einen draufsetzen bzw. weitere Sicherheitsmaßnahmen und Verhaltensweisen einsetzen.

  8. Comment Avatar thomas_w sagt:

    Verbessert der zusätzliche Einsatz von uBlock und/oder pi-hole die Sicherheits nochmals?

    Gibt es einen Unterschied zwischen einem Live-Linux und einem entsprechend aufbereiteten RasPi mit aktuellem Betriebssystem. Sind beim RasPi mehr Sicherheitslücken zu erwarten?

    Danke für den ausführlichen Artikel. Sehr hilfreich und eine schöne Checkliste.

    • Comment Avatar Mike Kuketz sagt:

      Verbessert der zusätzliche Einsatz von uBlock und/oder pi-hole die Sicherheits nochmals?

      Ja und Nein. Bei Banken, die keine (unsicheren) Drittquellen einbinden nicht. Ansonsten könnte die Kombination in Ausnahmefällen helfen.

      Gibt es einen Unterschied zwischen einem Live-Linux und einem entsprechend aufbereiteten RasPi mit aktuellem Betriebssystem. Sind beim RasPi mehr Sicherheitslücken zu erwarten?

      Ein Linux-Live-System ist ein nicht persistentes System – also ein System, bei dem keine Daten geschrieben werden bzw. diese nach dem Herunterfahren wieder verschwinden. Daher ist eher das Linux-Live-System zu bevorzugen.

  9. Comment Avatar Paul sagt:

    Vielen Dank für den informativen Beitrag.
    Im Artikel wird teilweise von 2 Apps/ Wegen (mTan/smsTan + Banking App) auf einem Gerät gesprochen/ geschrieben, dazu eine Frage:
    Wie (kritisch) ist der Einsatz nur einer 1 App (z.B. Ing-Diba Banking to go) zu bewerten? Hier ist man von 2FA (secure app zur Freigabe von Transaktionen) vor einiger Zeit dazu übergegangen Banking + Freigabe über eine App zu realisieren. Laut Homepage alles kein Problem mit „Sicherheitsversprechen“ und Schutz vor Manipulation.
    Vielen Dank

    • Comment Avatar Justus sagt:

      Hey, zu dem Thema gibt es einige Talks vom Chaos Communication Congress. Grundsätzlich stelle ich mir das nach deiner Beschreibung so vor. Du stehst vor einer Tür und sollst dem Wächter den Geheimcode sagen, den er dir selbst vor 2 Sekunden zugeflüstert hat. Den Rest kannst Du dir ja selbst denken ;)

    • Comment Avatar Mike Kuketz sagt:

      Alle Bank Transaktionen, die nur über ein Gerät (Smartphone) erfolgen bzw. darüber autorisiert werden, sind als unsicher zu bewerten. Das bedeutet: Egal ob zwei oder nur eine App zum Einsatz kommen – es spielt sich auf dem ein und demselben Gerät ab. Das ist nicht sicher, sondern nach meiner Auffassung grob fahrlässig.

  10. Comment Avatar Martin sagt:

    Ich nutze HBCI mit Chipkarte. Bin ich altmodisch?

    Dafür könnte man sich ein Live Linux ohne Browser bauen.

    Zum Thema Updates:
    Wenn man einen vertrauenswürdigen Linux Server im LAN hat, könnte man sich darauf sein Onlinebanking Live-Linux täglich neu bauen lassen und dieses dann per PXE booten.

  11. Comment Avatar 4ndr0 sagt:

    Ich verwende bisher HBCI mit einem Kartenleser der Klasse 3 und Hibiscus.
    Für alles, was damit nicht geht, nutze ich einen ChipTAN-Generator.

    HBCI mit Chipkarte wird bald ersetzt durch „chipTAN USB“. Dafür benötigt man ebenfalls einen Leser, nutzt allerdings seine Girocard anstelle einer separaten HBCI-Signaturkarte. Das haben diverse Banken bereits angekündigt.

    Die TAN kann dann direkt per Knopfdruck in die Finanzsoftware übertragen werden.

    chipTAN USB vermisse ich leider im Artikel :)

    • Comment Avatar Anonymous sagt:

      HBCI ist eine reine deutsche Todgeburt wie DeMail u. ä. Für die Banken viel zu teuer und kaum sicherer als chipTAN.

    • Comment Avatar Mike Kuketz sagt:

      chipTAN USB halte ich für eine Verschlechterung. Denn hier besteht eine Verbindung zum Computer. Diese nicht existente Verbindung zum Rechner halte ich ja gerade für einen Vorteil vom »herkömmlichen« chipTAN.

      Unter Ziffer 2.2 chipTAN habe ich nochmal eine Hinweisbox ergänzt.

      • Comment Avatar 4ndr0 sagt:

        Dann hälst du HBCI mit Chipkarte also auch für unsicher? Denn hier ist ja auch ein Gerät per USB an den PC angeschlossen und die Transaktionen werden mit der Karte signiert.

        Gemeinhin wird HBCI doch sogar als das sicherste Verfahren empfohlen und in Firmen eingesetzt. Stichwort Secoder.

        • Comment Avatar Mike Kuketz sagt:

          Moment – bitte achte auf deine Formulierung. Deine Frage legt nahe, dass ich das chipTAN Verfahren via USB als unsicher bezeichnet hätte. Das habe ich allerdings nicht getan, sondern halte es gegenüber dem (offline) chipTAN-Verfahren für eine Verschlechterung.

          Insgesamt halte ich das (offline) chipTAN-Verfahren (Flicker-Code / manuelle Eingabe) für am sichersten. Das bedeutet nicht, dass ich das chipTAN-Verfahren via USB oder HBCI für unsicher halte. Oder formulieren wir es in Wahrscheinlichkeiten: Die Wahrscheinlichkeit, dass beim (offline) chipTAN-Verfahren etwas »negatives« passiert halte ich am geringsten. Daher empfehle ich (Stand Juli 2018) auch dieses Verfahren.

          • Comment Avatar 4ndr0 sagt:

            Danke für die Klarstellung, da habe ich mich tatsächlich unglücklich ausgedrückt.

            Aber HBCI hat ja mit klassischen TAN-Verfahren nicht viel zu tun, oder? Hier gebe ich ja keine TAN ein, sondern ich „entsperre“ die HBCI-Karte (Nicht Girokarte) mit meiner PIN und die signiert dann die Transaktion.

            Zudem ist das Verfahren nicht via Browser verwendbar, sondern man benötigt eine Finanzsoftware (z.B. Hibiscus).

            Ist in dem Sinne nicht chipTAN weniger gut, da ich hier den potentiell unsicheren Browser verwende, um die Transaktion abzuwickeln? Klar kann die Finanzsoftware auch Sicherheitslücken haben, aber die ist im Gegensatz zum Browser ja nur für diesen Zweck entwickelt worden.

          • Comment Avatar Mike Kuketz sagt:

            Stell die Frage doch anders: Ist chipTAN per USB oder HBCI nicht unsicherer, wenn es auf einem persistenten Windows-PC durchgeführt wird?

            Mein Vorschlag lautet noch immer: chipTAN + Browser via Linux-Live-System.
            Übrigens lässt sich (offline) chipTAN sogar mit Flicker-Code in Hibiscus verwenden.

  12. Comment Avatar Klaus sagt:

    Danke für den Artikel!

    Persönlich halte ich den Einsatz des Linux-Live-Systems für überflüssig. Selbst wenn jemand die Zugangsdaten des Online-Banking-Kontos ergattert, fehlt ihm immer noch die Bank- / Geld-Karte um mit einem Tan-Generator irgend etwas zu bestätigen. Da gebe ich dann doch der Bequemlichkeit Vorrang vor der zusätzlichen Sicherheit. Man kann es auch übertreiben – muss man aber nicht ;)

    […]Gegen wen oder was schütze ich mich da eigentlich?

    • Comment Avatar Mustermann sagt:

      Trotzdem hat er dann Einblick in deine Transaktionen der letzten Monate / Jahre (?). Außerdem kann er ggf. in deinem Namen mit der Bank kommunizieren.
      Und wenn die Bankkarte dann doch mal weg kommt, weißt du nie, ob deine Zugangsdaten nicht doch schon irgendwo im Netz zum Verkauf stehen. Und damit kann er dann problemlos Transaktionen tätigen.

      Ich würde eher darauf setzen, dass ich mein Hauptsystem so absichere, dass meine Zugangsdaten gar nicht erst (lokal) abgegriffen werden können. Aber erst gibt halt nie eine Garantie, dass das auch funktioniert.

  13. Comment Avatar Holger sagt:

    Verhindere ich das Schreiben persistenter Daten nehme ich mir gleichzeitig die Möglichkeit Kontoauszüge und andere relevante Dokumente im .pdf Format runterzuladen. Hier muss entweder auf den normalen Login ohne Bankingaktivität zurückgegriffen werden oder die Persistenz temporär aktiviert werden.

    • Comment Avatar Klaus sagt:

      Du kannst auch einen 2., leeren (bei Bedarf kann man den auch jedes mal vorher neu formatieren) USB-Stick anstecken (wenn noch Platz ist), bei dem das Schreiben erlaubt (und ggf. das Ausführen deaktiviert) ist.
      Oder Du schreibst die benötigten Dokumente in eine Freigabe im lokalen Netz (falls so etwas vorhanden ist). Wenn Du ohnehin schon sehr sicherheitsbewusst bist, dann wird das auch kein Problem darstellen, insbesondere wenn Du das System nur temporär zum Banking nutzt.

      • Comment Avatar Danilo sagt:

        […] leeren (bei Bedarf kann man den auch jedes mal vorher neu formatieren) USB-Stick anstecken […]

        Nur so ganz nebenbei als Hinweis: Das Formatieren von Flashspeichermedien ist eine ganz, ganz schlechte Idee! Das gilt ganz besonders dann, wenn die Formatierung mit den vorhandenen Boardmitteln unter Windows oder OS X durchgeführt wird.
        Kleines deutschsprachiges Wiki dazu: https://wiki.rz.fh-schmalkalden.de/flash-speicher

        • Comment Avatar Anja sagt:

          fdisk Version 2.17.2 oder neuer aus util-linux-ng sollte mit den Flags „-c“ und „-u“ (und der Option +size(M, G)) bei Flashspeichern ein korrektes Allignment durchführen. Man sollte sich des von dir beschriebenen Problems bewusst sein, aber pauschal davon abraten würde ich nicht.

  14. Comment Avatar Anonymous sagt:

    Ich werfe mal eine komplett andere Auffassung in die Runde:
    Da man den Einbruch ins eigene System i.d.R. nicht mitbekommt, nutze ich das Funktionieren des Bankings als Sicherheitsindikator.
    Mir sind meine privaten Daten wichtiger als z.B. erhackte 1000€. Für mich ist es deshalb vollkommen ok, wenn das Banking die Schwachstelle in meinem System darstellt, zumal die Chancen auf Erstattung bei fast 100% liegen:
    Beweislast liegt beim Zahlungsdienstleister: Es muss eine (Sorgfalts-)Pflichtverletzung des Nutzers bewiesen werden, außerdem muss bewiesen werden, dass der Zahlungsvorgang technisch einwandfrei abgelaufen ist…und das sollte schwer werden bei diversen nicht gepatchten Sicherheitslücken auf Smartphones. @Mike: Danke fürs Bereitstellen weiterer Hinweise hier im Artikel.
    Auch nach der ständigen Rechtssprechung des BGH trägt die Bank regelmäßig das Risiko. Ein Bekannter hat übrigens vor kurzer Zeit in einem ähnlich gelagerten Fall sein Geld schnell erhalten.
    Falls die Bank übrigens irgendwelche Klauseln auspackt in Sachen Generalhaftung usw., lohnt sich ein kurzer Blick in Suchmaschinen…da ist nämlich Einiges ungültig.
    Fazit: ich bin da entspannt und btw: es ist nur Geld! Eure Privatsphäre (Leben) ist wichtiger…

    • Comment Avatar Mike Kuketz sagt:

      Du schließt ja selbst mit dem Satz:

      Eure Privatsphäre (Leben) ist wichtiger…

      Vor diesem Hintergrund halte ich deine »lockere« Einstellung für bedenklich. Macht es dir nichts aus, wenn sich Dritte Zugang zu deinem Konto verschaffen und die Zahlungsvorgänge unter die Lupe nehmen? ;-)

      • Comment Avatar Anonymous sagt:

        Doch, natürlich ist das ungünstig. Das gesamte System muss sehr gut abgesichert sein. Wenn in diesem guten System die Bank die Schwachstelle ist, kann man es als Indikator verstehen.
        Bezüglich der Privatsphäre (Leben) ist interessant: Der Artikel hat nach 1 Tag bereits 34 (!) Kommentare. Soll heißen: wenn es ums Geld geht, gibt es Aufmerksamkeit. Wenn es „nur“ um Privatsphäre geht, siehts anders aus. Diese Tendenz erkennt man bereits hier im Datenschutz-Blog, in Vollendung sieht man es im Leben…
        Vielen macht es übrigens nichts aus, dass Dritte Zugang zum Konto haben und Zahlungsvorgänge unter die Lupe nehmen, nichts anderes ist SOFORT-Überweisung (…), denen ist eh nicht mehr zu helfen.

    • Comment Avatar Frank sagt:

      Ich würde es vielleicht nicht so drastisch ausdrücken und fragen ob Geld oder Daten wichtiger sind. Aber ich würde mal sagen wer ein Live System für das Online Banking nutzt muss sich die Frage stellen ob er nicht generell ein Live System nutzt. Weil wenn ich die Befürchtung habe mein normales System ist kompromittiert kann ich mit dem Wechsel auf ein Live System vielleicht dafür sorgen dass ein Eindringling keine Transaktion durchführen kann, er sieht aber evtl. fast alles was er auch bei Zugriff auf die Kontotransaktionen sieht (zum Beispiel abgelegte Rechnungen).

      Ein Live System ist die sichere Variante. Nur wenn man das in Erwägung zieht und die Gedanken weiterspinnt landet man schnell in einer Spirale der „Angst“.

      • Comment Avatar Mustermann sagt:

        Ein guter Punkt. Auf meinem Hauptsystem soll auch keiner auf meine Daten zugreifen. Wenn aber ich davor ausgehen würde, dass meine Hauptsystem kompromittiert ist, müsste ich es eigentlich platte machen und neu aufsetzen bzw. grundsätzlich ein Live-System nutzen. Wenn ich hingegen davon ausgehe, dass mein Hauptsystem nicht kompromittiert ist, dann könnte ich ja eigentlich auf Onlinebanking darauf betreiben.

        Trotzdem kann man für einzelne Dinge, die einem besonders wichtig sind (und die man vielleicht nur selten macht) die Sicherheitsvorkehrungen erhöhen, sei es durch ein extra System fürs Onlinebanking bzw. ein Live-System, sei es die Nutzung von Tails o. Ä. bei bestimmten Recherchen (nur mal als Beispiel).

  15. Comment Avatar THLK sagt:

    Also mir stellen sich zwei grundsätzliche Fragen:

    1) na ja eben die bereits von anderen Kommentatoren angesprochenen fehlenden Sicherheitsupdates zwischen zwei Quartalen, die ein Sicherheitsrisiko darstellen, wenn man einen Stick nutzt,

    2) Für das andere Sicherheitssystem bei Kreditkarten (Mastercard Secure bzw. VisaCard 3D) gibt es meines Wissens kein chip-TAN-System, sondern nur zum Beispiel die mTAN, also eine SMS. Allerdings in Kombination mit einer zusätzlichen geheimen Frage. Oder weiß da jemand etwas anderes? Wenn man im Ausland unterwegs ist, gibt es eben eher selten die Möglichkeit, eine Überweisung zu machen…

    • Comment Avatar Mike Kuketz sagt:

      zu:
      1.) Das Risiko, dass ein Windows-System von einer Schadsoftware betroffen ist, ist höher, als das Risiko, dass ein (halbwegs aktuelles) Linux-Live-System aufgrund eines fehlendes Sicherheitsupdates kompromittiert wird. Man muss auch den Anwendungsfall betrachten: Rechner bootet, Nutzer stellt Netzwerkverbindung her und startet den Browser. Dort wird direkt ohne Umwege die Bankwebseite aufgerufen. Es müsste schon eine ausergewöhnliche Sicherheitslücke sein, die ein System im Rahmen dieses eingeschränkten Handlungsumfeld befällt. Dennoch sind deine Bedenken berechtigt, nur die Wahrscheinlichkeit ist eben nicht sehr hoch – Updates mindestens einmal im Quartal sind dennoch empfehlenswert bzw. wichtig.

      • Comment Avatar Mustermann sagt:

        zu 1)
        Auch so ist Chip-TAN schon relativ sicher, wer also ernsthaft Onlinebanking mit Chip-TAN angreift, weiß vermutlich, was er tut.
        Ich würde allerdings grundsätzlich kein Onlinebanking auf Windows betreiben: Zum Einen, weil Windows relativ oft von Schadsoftware befallen wird, zum Anderen aber auch, weil ich Windows (10) grundsätzlich als kompromittiert betrachte (schon allein durch Microsoft).

        Den (deutlichen) Vorteil eines Linux-Live-Systems gegenüber einem aktuellen Linux-Onlinebanking-only-System sehe ich allerdings immer noch nicht.

  16. Comment Avatar THLK sagt:

    ein weiteres Problem fällt mir ein:
    Ich persönlich habe mein Banking-Passwort in KeePassX abgespeichert. Also kenne ich es ohnehin nicht auswendig. Das bedeutet, dass ich bei Verwendung eines Live-Systems ein anderes System (auf einem anderen Rechner) parallel laufen lassen müsste und mein Passwort irgendwie „von Hand“ abschreiben muss. Es sind, glaube ich, 32 Zeichen mit Groß- und Kleinbuchstaben und Zahlen, zufällig von KeepassX erzeugt…

    • Comment Avatar Mustemann sagt:

      32 Zeichen sind auch sehr viel. Ich persönlich würde eher 16 Zeichen nehmen und die per Hand abschreiben.

      Mein eigenes Passwort ist leider so kurz*, dass ich es mir merken kann. Den Login-Namen habe ich dafür etwas länger gewählt und schreibe den immer von einem Blatt Papier ab (das sicher verwahrt wird).

      *Vorgabe der Bank

      PS: Die Entwicklung von KeePassX stagniert übrigens, schau dir doch mal KeePassXC an. Das ist ein Community-Fork von KeePassX.

      • Comment Avatar THLK sagt:

        Na ja, vielleicht sind es viele Zeichen. Aber dennoch merke ich mir tatsächlich nur insgesamt 2 oder drei Passwörter, also für den Login, für KeepassX und für eine verschlüsselte Platte.
        Auch wenn ich das Passwort kürzen würde, wäre es trotzdem kompliziert, es von Hand eingeben zu müssen. Das mache ich schon ewig nicht mehr. Ich habe für jeden einzelnen Account ein völlig unterschiedliches Passwort, alle mit KeepassX generiert.

        [gekürtzt]

  17. Comment Avatar Klaus sagt:

    Meine Spasskasse bietet Chip-TAN-Verfahren, was ja erst mal gut ist. Auf der anderen Seite kann ich für das Online-Konto nur ein fünfstelliges (!) Passwort verwenden … :-(

    • Comment Avatar Mustermann sagt:

      Das ist leider ein Problem bei (fast) allen Sparkassen (es wird die gleiche Software verwendet). Da kann man nur hoffen, dass das in absehbarer Zeit geändert wird. Relevant wird das aber sowieso primär bei einem digitalen Einbruch bei der Bank, wenn die gehashten Passwörter abhanden kommen. Brute Force beim Login funktioniert nicht, nach drei fehlerhaften Eingaben wird der Login erstmal gesperrt.

  18. Comment Avatar Thomas sagt:

    Gerade eine akute Verständnigsfrage. Du schreibst:

    Der große Vorteil an diesem Verfahren: Beim TAN-Generator handelt es sich um ein dediziertes Gerät, ohne Verbindung zum Computer

    Indem ich den TAN-Generator an den Bildschirm meines Computers halte, stelle ich eine optische Verbindung her. Insbesondere läuft Transaktion damit immer noch über ein Gerät, nämlich meinen Computer. Der TAN-Generator ist damit nur ein zusätzliches Bediengerät, kein unabhängiger Bedienkanal. Ohne jetzt in die Tiefen des Verfahrens abgetaucht zu sein könnte ich mir vorstellen, dass durch einen Angriff auch der Flicker-Code manipuliert wird… Warum ist das ausgeschlossen?

    • Comment Avatar Mike Kuketz sagt:

      Ich kenne bisher kein einziges Angriffsszenario bei dem der Flicker-Code manipuliert wurde. Und würde er manipuliert werden, so wären die Prüfdaten (Empfänger, Kontonummer, Betrag, etc.) auf dem TAN-Generator abweichend.

      Du stellst also eine optische Verbindung her und zwar zu einem Flicker-Code, der von der Bank-Seite generiert wird. Das würde ich nicht mit einer USB- oder Bluetooth-Verbindung zum Computer vergleichen. ;-)

      • Comment Avatar Martin sagt:

        Einem Freund von mir wäre vor etlichen Jahren schon mal fast eine erhebliche Summe abhanden gekommen. Er hatte einen Trojaner auf dem Rechner der die Überweisung bzw. den Code manipuliert hat. Damals haben die Geneatoren aber nur die TAN ausgegeben und noch nicht die Überweisungsdaten angezeigt.

        Deinem Argument mit dem getrennten System kann ich folgen, dann muss man aber auf dem Generator auch die Überweisungsdaten angezeigt bekommen und penibel prüfen.

        Mein Freund hatte damals übrigens Glück, er wollte eine zweite Überweisung machen und bekam angezeigt, dass sein Tageslimit ausgeschöpft war. Da gingen die Alarmglocken an. :-)

        • Comment Avatar Mustermann sagt:

          Deshalb ist es ja so wichtig, die Überweisungs-Daten nochmal im TAN-Generator zu prüfen. Wenn du das nicht tust könnte dir das von der Bank auch als Fahrlässigkeit ausgelegt werden.

          Ein Problem bei meinem TAN-Generator: Wenn man zulange bracht, wird die Aktion (ohne Vorwarnung!) abgebrochen. Das heißt, man darf sich nicht zu lange Zeit lassen beim Prüfen…

  19. Comment Avatar anonymous sagt:

    Eine Sache verstehe ich nicht so ganz. Warum ist euch eigentlich wichtig ob die TAN-Generierung sicher ist?
    Natürlich kann damit Geld von euer Konto wegüberwiesen werden. Dennoch haftet die Bank dafür. Nicht ihr. Eine mir bekannte Person hat total dämlicher Weise eine spam-mail die von ihr alle 50iTANs eingegeben haben wollte befolgt. Danach war natürlich maximal möglich viel von ihr Konto wegüberwiesen(maximaler Dispo). Vor Gericht hat diese Person aber das ganze Geld von der Bank zurück bekommen.

    Klar, ist etwas nervig, man bekommt aber 5% über den Basiszinssatz von der Bank alles verzinst zurück.

    Wichtiger finde ich die PIN für den Login. Damit sieht man alles was ihr in den letzten Jahren bezahlt habt usw. -> Datenschutz. Die Pin ist auch relevant für die Überweisung.
    Die Tan aber ist völlig egal, den die bank trägt dann eure kompletten Kosten und die Betrüger hatten bereits schon durch die Pin Zugriff auf euer Konto.

    • Comment Avatar Mike Kuketz sagt:

      Ach so – wenn die Bank alle Kosten übernimmt, dann kann ich meine iTANs ja öffentlich an schwarze Brett der UNI hängen. ;-)

      • Comment Avatar Mustermann sagt:

        Eben. Die meisten Banken werden nicht bei grober Fahrlässigkeit haften Bei dem von anonymous beschrieben Fall würde mich mal die Begründung des Gerichts interessieren. Kann aber auch sein, dass die Bank einen Prozesse mit medialem Interesse vermeiden wollte und es am Ende auf einen Vergleich hinausgelaufen ist. Das war dann aber ein Entgegenkommen der Bank.

  20. Comment Avatar gongo sagt:

    Für mich ist im täglichen Gebrauch des Onlinebankings das wichtigste Thema in meiner privaten Risikobewertung wie bzw. ob ich überhaupt zu meinem Geld komme.
    Ich war z. B. vor kurzem mit meiner Familie auf Weltreise. Da braucht man ordentlich Geld, und es kann sein dass man bei einem Notfall plötzlich ganz viel Geld braucht.
    Ich war also von meiner Sim Karte abhängig (in Österreich gibt es de facto keinen chiptan). Habe auch ein deutsches Konto, dieses war von meinem Chiptan Gerät abhängig, das während der Reise nicht kaputt werden durfte.
    Mein zweiter Punkt im Kommentar ist, dass ich eine Firma habe, in der meine Mitarbeiter täglich viele Überweisungen machen. Mitarbeiter, die leider auch täglich E-mails mit den verschiedensten Attachments erhalten, die meist auch gelesen werden müssen. Da relativiert sich dann manches Sicherheitskonzept.
    Trotzdem ein sehr interessanter Artikel.

  21. Comment Avatar Ben sagt:

    Sind diese TAN-Generatoren mittlerweile zuverlässiger geworden? Hatte das Anfangs von der Sparkasse genutzt und jedes mal war es ein Kampf, das der Code sauber übermittelt wurde. Teilweise musste das Gerät ungelogen 3-4 min an den Bildschirm gehalten werden. Verschiedene Monitore und Winkel, alles wurde ausprobiert.. so wurde jede Überweisung zur Geduldsprobe. Ehrlich gesagt war ich dann froh, als mTAN kam und ich hab sofort umgestellt.

    • Comment Avatar anonymous sagt:

      Ja, hat sich deutlich verbessert. Erst recht bei den aktuellen Geräten mit den QR-Codes.

    • Comment Avatar Anonymous sagt:

      Ja, ist deutlich besser geworden Ich habe da aktuell absolut keine Probleme. Nachmelden man das Feld mit dem Flicker-Code einmal auf die richtig Größe eingestellt hat, funktioniert das in 95% der Fälle innerhalb von 10, max. 15 Sekunden.

  22. Comment Avatar Haviland Tuf sagt:

    Ich habe mein Konto bei der DKB und als Altkunde habe ich auch noch das iTAN Verfahren aktiviert. Nutzen tue ich es jedoch nicht für Transaktionen sondern als Sicherheitsmaßnahme. Wie das?
    Bei der DKB hat jedes TAN Verfahren seinen eigenen Login und Passwort, sowohl der Benutzername als auch das Passwort sind wählbar.
    Wenn ich nur meinen Kontostand anschauen will logge ich mich mit dem iTAN Login ein, die iTan Liste ist schon lange vernichtet, so dass nichts passieren kann.
    Die Banking APP auf dem Smartphone kennt auch nur den iTAN Login und dient ebenfalls ausschließlich zur Kontrolle. Sozusagen lesender Zugriff ;-)
    Transaktionen tätige ich am Rechner mit einem Linux System, die TANs kommen zwar aus der TAN2go App. Die Login-Daten für den TAN2go Zugang werden jedoch nur im Linux Browser eingegeben. Dadurch dass auf dem Smartphone keinerlei Login-Daten für den TAN2go Zugang gespeichert oder eingegeben werden ist das ganze denke ich relativ sicher.
    Was meint der Experte dazu?

  23. Comment Avatar Olaf sagt:

    Hi,

    seit ich die user.js vom privacy-handbuch in Firefox benutze, ist der Flicker-Code so langsam, dass er nicht mehr vom TAN-Generator erkannt wird…
    Irgendwelche Tipps wie ich das in den about:config Einstellungen wieder beschleunigen kann?

    Danke und Gruß

  24. Comment Avatar burks sagt:

    Bei meiner Bank (Sparkasse) wurde das gesamte Online-Baning outgesourced. Fragen zum Online-Banking beantwortet eine Fremdfirma. Ist der TAN_Generator defekt, muß im Internet bestellt werden. Wer kein Internet hat – Pech! Die Sparkasse selber kann da nicht helfen, hält auch keine Ersatzgeräte vorrätig und kann nicht für den Kunden bestellen. Also durfte ich für meine Oma ein Gerät bestellen.

    Derzeit werden die TAN-Generatoren durch eine Smartphone App abgelöst. Meine Sparkassenberaterin sagt „die Kunden wollen das so und ausserdem sei es wesentlich sicherer als das Verfahren mit dem TAN-Generator und überhaupt habe heute jeder ein Smartphone …“.

    • Comment Avatar THLK sagt:

      Vielleicht könntest Du Deiner Bankberaterin mal den Link auf diesen Artikel schicken. Und ihrem Chef gleich mit…

    • Comment Avatar thomas_w sagt:

      Trifft für meine Sparkasse so nicht zu. TAN Generator ist vorrätig und eine Hotline regional vorhanden. Mal abgesehen von 116116 Sperrnummer…

    • Comment Avatar Anonymous sagt:

      Eigentlich verwenden alle Sparkassen ein einheitliches IT-System. Ich vermute, du meinst mit „Fremdfirma“ die Finanz Informatik GmbH & Co. KG. Die macht das jetzt schon ein paar Jahre. Und letztendliches stellt sich die Frage: Wer soll es sonst machen? Die Sparkasse selbst? Die ist dazu nicht in der Lage.

      Selbst du IT unserer Regierung und des Bundestages wird outgesourced, jahrelang sogar an ein ausländisches Unternehmen.

      Dein Problem mit den TAN-Generatoren kann ich hier nicht nachvollziehen, das scheint ein spezifisches Problem bei deiner Sparkasse zu sein. Ich habe meinen TAN-Generator direkt von der Sparkasse zugeschickt bekommen (kostenlos). Das Gerät selbst ist natürlich von einer Fremdfirma.

      • Comment Avatar burks sagt:

        Hallo Anonymous,

        aus Dir spricht der Sparkassen-Angestellte. Das sind alles keine Begründungen. Aus Dir spricht der Zeitgeist, die Gewöhnung oder eben der Sparkassen-Angestellte.

        Eine Bank die Dienstleistungen an Drittfirmen outsourced ist nicht mehr unbedingt vertrauenswürdig. Das mit dem Mangel an Wirtschaftskraft aka Geld kann ich so nicht nachvollziehen. Meine Sparkasse hat 2016 einen zweistelligen Millionenbetrag erwirtschaftet. Baut gleichzeitig Personal, Geldautomaten, Filialen ab und fusioniert alle paar Jahre mit anderen „Sparkassen“. Um ein Konto zu eröffnen ist mittlerweile eine vorherige Terminabsprache notwendig. Dafür „mal eben so vorbeikommen“ is‘ nich‘.

        Ich bin bereits gespannt was uns in den nächsten Jahren noch alles in Sachen Bankwesen bevorsteht.

        Nein, den ersten TAN Generator durften wir uns bei einer bestimmten Sparkassen-Filiale persönlich abholen. Die Vorlage des Anschreiben reichte aus. Da wurde nichts teuer verschickt. Bereits nach 7 Monaten war dann die Batterie verbraucht.

  25. Comment Avatar SuperMario sagt:

    Hallo Mike,
    vielen Dank auch f. d. sehr hilfreichen Artikel, der eine gut umsetzbare Hilfestellung gibt.

    Bzgl. d. Auswahl des Live-Systems bin ich mir jedoch unsicher, ob z.B. das minimalistische und eigentlich von mir präferierte Slax wirklich empfehlenswert ist, angesichts „nur“ MD5-Summe?

    • Comment Avatar Mike Kuketz sagt:

      Mit dem Hash überprüft man NUR den Download. Das ist keine sicherheitstechnische Prüfung – für diesen Zweck ist MD5 (noch immer) ausreichend.

  26. Comment Avatar Joseph sagt:

    Hallo Mike,

    Wie machst du das eigentlich beim Online-Banking? Welche Software und welches System nutzt du da?

    Nutzt Du weiterhin eine VirtualBox-Maschine mit Basissystem Lubuntu und dem Online-Banking-Client Hibiscus oder inzwischen das von Dir hier empfohlene Verfahren mit einem Linux-Live-System?

    Gerne würde ich auch den Punkt von THLK vom 13. Juli aufgreifen: Banking-Passwort in Keepass gespeichert. Wenn ich die Variante eines Linux-Live-Systems nehme, dann müsste ich mir das „lange und (hoffentlich) sichere“ Passwort auf einem Blatt vermerken und händisch übertragen. Nicht nur, dass dies jedes Mal umständlich wäre, sondern wesentlicher: Niemals ein solch relevantes Passwort irgendwo schriftlich festhalten. Und selbst wenn es nur für „den Augenblick“ wäre, so müsste ich jedes Mal danach das Passwort schreddern. Was das Verfahren trotz aller Sicherheitsvorteile nicht gerade attraktiver, benutzerfreundlicher macht.

    Daher würde ich selbst dein Set-up aus der Leserfrage bevorzugen.

    Ich freue mich über Deine Antwort!

  27. Comment Avatar Benjamin sagt:

    Hallo Mike,

    vielen Dank für die ausführliche Erklärung und deinen genialen Blog. Weiter so! :D

    Nun habe ich jedoch ein anderes Problem im Bezug auf Banken, nämlich, dass nur noch Karten mit NFC ausgeben werden, welches ich partout nicht nutzen möchte. Schon aus Sicherheits und Datenschutz-Gründen. Auch blockieren die NFC-Karten meine Zutrittskarte auf der Arbeit. Nun ist es so, dass bei meiner bisherigen Bank die Antenne einfach auszumachen und zu durchtrennen war.

    Bei der DKB, zu der ich wechseln wollte, weil die chipTAN unterstützen und eine kostenlose Kreditkarte anbieten, ist es leider so, dass die Karte auch beim Benutzen einer Taschenlampe komplett undurchsichtig ist, sodass man die Antenne unmöglich finden kann.

    Selbst nachdem ich die Karte komplett zerschnitten hatte, war die NFC-Funktionalität direkt im Chip noch immer gegeben.

    Nun zu meiner eigentlichen Frage, kennst du eine Bank, die noch normale Karten ausgibt? Oder was man ansonsten noch machen könnte?

    Bin echt ein bisschen verzweifelt.

    Viele Grüße
    Ben

HilfeWenn du konkrete Fragen hast oder Hilfe benötigst, sind das offizielle Forum oder der Chat geeignete Anlaufstellen, um dein Anliegen zu diskutieren. Per E-Mail beantworte ich grundsätzlich keine (Support-)Anfragen – dazu fehlt mir einfach die Zeit. Kuketz-Forum

Abschließender Hinweis

Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.

Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.