Postbank erweitert Sicherheitsverfahren im Online-Banking

  • Zitat von Jürgen:
    Für rund 20 EUR gibt es für den mobileTAN Empfang Zweit-Handy's im Scheckkartenformat. ;)

    Aber leider muss man wegen jeder Handyänderung den Kontakt in WISO neu synchronisieren und das obwohl die Nummernliste bei der Postbank vorliegt und dem synchronisierten Kontakt bereits zugewiesen ist.
    Gibt es schon ein requirement für die nächste Wiso Version, das richtige mTAN Telefon während des Überweisungsprozesses zu selektieren?
    Bei Gemeinschaftskonten und Kontoverwaltung für Kinder ist die heutige Handhabung zumindestens unpraktikabel. ;(

    • Offizieller Beitrag

    Gibt es schon ein requirement für die nächste Wiso Version, das richtige mTAN Telefon während des Überweisungsprozesses zu selektieren?


    Eine entsprechende Erweiterung ist meines Wissens geplant. Ob diese bereits in der nächsten Version umgesetzt wird weiß ich nicht.


    Viele Grüße
    Jürgen

    • Offizieller Beitrag

    Gibt es Links? Oder ist es einfach nur ein Billig-Handy, welches dann mit einer Prepaid betrieben wird?


    Werbung ist hier nicht gern gesehen. Daher nur ein unverbindlicher Link.


    http://lmgtfy.com/?q=Handy+im+Scheckkartenformat ;)


    Bei YouTube gibt's Videos.


    Gruß
    Jürgen

  • Mir hat die Postbank die TAN-Liste ohne eine Mitteilung einfach deaktiviert. Daraufhin habe ich mich tel. beschwert; außerdem hätte ich keine Lust, für die ganze lange Liste von Überweisungen eine mobilTAN nach der anderen anzufordern. Erst wollte die Service-Dame mir eine neue TAN-Liste schicken; nach etwas Hin und Her hat sie die vorhandene ganz schnell wieder aktiviert.
    Dem Wechsel des Verfahrens finde ich ja vernünftig; nur sollte man da rechtzeitig über die einzelnen Schritte informiert werden - finde ich.

  • Hallo Zusammen,


    verfolge diesen Thread mit Interesse :)


    ich stecke in der selben Situation, dass mir ohne meine Zustimmung auf einem meiner PB-Konten die iTAN gesperrt wurde, da zum "testen" meinerseits bereits eine mTAN und eine Mobile-Rufnummer freigeschaltet war.


    ich bin allerdings über das Vorgehen der PB sehr verärgert :cursing:
    zudem die mTAN derart unkompfortabel (zuminsest bei Mengen von Aufträgen) und in meinem pers. Fall via Mobil-Funk-Gerät mit weiteren Problemen verbunden ist.
    - bedingt duch eine Sendemastumstellung von T-Mobile und die Platzierung meines Büros im Keller in Stahlbetonbauweise (Faradaysche Käfig) befinde ich mich nämlich in einem Empfangsloch !!!


    zuletzt genanntes wäre ja, wenn auch widerwillig, noch umgehbar mit der Nutzung von SMS via Festnetz.
    Leider lässt aber die mTAN-Konfiguration im Online-Banking-Portal der Postbank unter dem Bereich "Mobilfunknummern verwalten" keine Eingabe einer Festnetz-Rufnummer zu.


    meine Frage nun hier in die Runde,
    - hat Jemand es schon einmal in anderen Portalen mit "SMS via Festnetz" versucht ?
    - sind bei anderen Banken neben den Mobil-Funk-Vorwahlen ggf auch "normale" Ortznetz-Vorwahlnummern eintragbar ?


    ich sehe es nämlich als weitaus komfortabler die SMS auch auf / an dem Platz zu emfpangen, an dem ich gerade auch mein Banking erledige.
    - die notwendige SMS/MMS-Client-SW und eine CAPI32 bzw TAPI-Treiber und den notwendigen Festnetz-Zugang (geht auch mit CAPI im Netz und via FB o.ä.) natürlich vorausgesetzt.

    • Offizieller Beitrag

    - hat Jemand es schon einmal in anderen Portalen mit "SMS via Festnetz" versucht ?
    - sind bei anderen Banken neben den Mobil-Funk-Vorwahlen ggf auch "normale" Ortznetz-Vorwahlnummern eintragbar ?


    Der mobileTAN-Empfang ist für Festnetzgeräte generell nicht vorgesehen.


    Viele Grüße
    Jürgen

  • Hallo Jürgen,

    Der mobileTAN-Empfang ist für Festnetzgeräte generell nicht vorgesehen.


    das ist mir zu einfach.


    - wer (unter)sagt das ?
    - wo steht das ?
    - was sollte hier einen Unterschied machen ?


    bei SMS im Festnetz [FN] handelt es sich ebenso um einen UMService wie im GSM-Netz


    um hier jetzt nicht die Thematik des Tread's verlassen zu wollen, - es geht doch darum, dass diese :thumbdown: mTAN :thumbdown: einfach nur zu mir an den Platz kommen soll / muss, an dem ich sie auch entgegen nehmen kann !
    - und das geht halt nur (hier in meinem Fall) via FN.
    mir schreibt doch auch keiner vor, dass ich den PC an dem ich das Banking betreibe per LAN oder WLAN anzuschließen habe.


    ich bin jedenfalls der Meinung, dass SMS im FN eine adäquate Alternative ist.
    - und mit ein ganz wenig Programmieraufwand ließe sich solch ein Client auch von der Banking-SW steuern und die empfangene mTAN automatisiert auslesen und in die HBCI-Kommunikation integrieren.
    - damit wäre die supertolle, vollautomatisierte Ablaufsteuerung wie mit der alten iTAN wieder möglich :D

    • Offizieller Beitrag

    Hallo,


    - wer (unter)sagt das ?
    - wo steht das ?
    - was sollte hier einen Unterschied machen ?


    - Der ZKA (Zentraler Kreditausschuss).
    - Hier.
    - Manipulationssicherheit durch Kanaltrennung (Festnetz/GSM).


    bei SMS im Festnetz [FN] handelt es sich ebenso um einen UMService wie im GSM-Netz


    Um Angriffe auf das mobileTAN-Verfahren zu verhindern, bedient man sich - wie du auf der Seite des ZKA nachlesen kannst - unterschiedlicher Kommunikationskanäle. Zum einen das Festnetz für die Internet-Verbindung zum PC und zum anderen das GSM-Netz für die Übertragung und Anzeige der mobilenTAN auf ein vom PC unabhängiges Medium.


    um hier jetzt nicht die Thematik des Tread's verlassen zu wollen, - es geht doch darum, dass diese mTAN einfach nur zu mir an den Platz kommen soll / muss, an dem ich sie auch entgegen nehmen kann !


    Wenn der mobileTAN-Empfang aus technischen Gründen nicht möglich ist, kannst du - Verfügbarkeit vorausgesetzt - ein alternatives Verfahren nutzen, z.B. chipTAN oder HBCI mit Chipkarte. Darüber hinaus bietet die Postbank ihren Kunden auf Antrag an, das iTAN-Verfahren bis zur engültigen Abschaltung zu verlängern. Ich habe gehört, dass dies sogar telefonisch vereinbart werden kann.


    - und mit ein ganz wenig Programmieraufwand ließe sich solch ein Client auch von der Banking-SW steuern und die empfangene mTAN automatisiert auslesen und in die HBCI-Kommunikation integrieren.
    - damit wäre die supertolle, vollautomatisierte Ablaufsteuerung wie mit der alten iTAN wieder möglich


    Meinst du das ernst? Das ist schlichtweg grob fahrlässig und genau das was die Banken zu deiner eigenen Sicherheit nicht sehen wollen.


    In den Bedingungen für das Online-Banking steht aus gutem Grund, dass ein Gerät auf dem die mobileTAN empfangen wird nicht für das Online-Banking genutzt werden darf. Wenn du z.B. ein Handy per Kabel oder Bluetooth mit dem PC verbindest und mittels Handysoftware die mobileTAN anzeigen lässt, so untersagt die Bank diesen Rechner für das Online-Banking zu nutzen.


    Wie würdest du denn die Auftragdaten des Empfängers kontrollieren?


    Gruß
    Jürgen

  • Hallo Jürgen,


    ja, ich meine das im Ernst.
    zuminst solange, wie es keinen adäqaten Ersatz für eine "vollautomatisierte Ablaufsteuerung" gibt.
    - dafür setze ich ja eine professionelle SW ein, deren Aufgabe u.a. auch die Sicherung meiner Daten ist.


    zunächst sehe ich es allerdings als "vedammte / verdingte" Plicht des Anwenders hier seiner Sorgfalt nachzukommen !!!
    soll heißen,
    - dass er *nicht* auf dem Rechner (zumindest schonmal nicht unter dem selben User-Profile), auf dem er Banking betreibt, ggf. sogar gleichzeitig auch im Internet und öminösen WEB-Site's surf't.
    - dass alle Security-Tool's usw. auf dem aktuellsten Stand sind.
    - ... könnte eine ellenlage Liste werden.


    dann zu deiner Frage.


    TAN - ... übersetze ich mal freizügig mit "TransAktionsNachweis"



    • die ChipTAN sehe ich als eine Möglichkeit. Allerdings integriert und erweitert mit vollautomatisierter Prozessierbarkeit.
      - ggf einer weiteren "Start-Verifikation" damit danach alles in Summe durchlaufen kann.
      btw, Sammelaufträge ist hier def. nicht die Lösung da bei der Auftragsweiterverarbeitung die Transparenz der Order's verlohren geht.
      aber, die Postbank bietet sie derzeit ja via HBCI noch nicht an (was genau meine Kritik ist)
    • dann gibt es noch den "Neuen Personalausweis".
      - der hat genau das Banking als ein Feature in seinem Portfolio.
    • und es gibt auch noch elekt. Zertifikate


    und dann sind da ja auch noch die SW-Hersteller



    • heutzutage ist es überhaupt kein Problem eine solche SW als Virtual Application in einer VM bereit zu stellen.
      - da beißen sich Trojaner, Keylogger und u.a. die Zähne dran aus.
      - klar, einer MITM-Attac sind diese Szenarien auch nicht gewachsen, aber das ist auch eine ganz andere Dimension.


    grundsätzlich gesprochen sehe ich es selbstverständlich als Pflicht der Anbieter eine höchst mögliche Sicherheit bereitzustellen.
    aber mindestens genauso hoch ist die Plicht des Anwenders diese Sicherheit nicht durch Leichtfertigkeit zu unterwandern (s. o. die Einleitung)!
    - es gibt keine 100%ige Sicherheit.
    - und jedes heute als sichers Medium bezeichnete bietet erneuten Anreiz es zu hacken und ist spätestens morgen geknackt. - that's life.



    bei all diesen Diskussionen muss aber die Hauptprämisse im Fokus bleiben!
    - das Ganze soll mir die Arbeit erleichten, und nicht erschweren.
    - sonst kann ich auch gleich wieder Überweisungsträger aus dem Drucker ausbeben und sie per Post zur Bank schicken.
    :S vielleicht ist das ja dann mit e-Post oder De-Mail wirklich ein sicherer Weg ?! - Szenario fällt mir gerade so beim Schreiben hier ein :D


    Fazit:
    - mir reichte die iTAN
    - für die Sicherheit und "Reinheit" meines PC's bin ich zuständig (und die Tool-Herstellen der Sec-Suiten und des BS's)
    - wer Banking per WEB-Site durchführt und zeitgleich (und ggf sogar in der selben Browser-Instanz) auf xyz.ru recherchiert und downloadet ist selber schuld !!!
    - ich darf auch nicht besoffen Auto fahren.

  • Wobei ich das Problem von PCPeet nicht so recht verstehen kann. Meine Bank verarbeitet per Chipverfahren vielfache ÜW mit einer Authentifizierung. Nix mit x-facher TAN oder so.


    Falk


    hallo Falk,


    dann werden diese Auftäge sicherlich als Sammelauftrag verarbeitet, - oder ?
    - wie sieht denn dann Deine Buchungshistorie aus ?
    - oder nimmst Du diese Aufräge dann gar als Spittbuchung wieder auseinander ?


    v.G/PCP

    • Offizieller Beitrag

    Hi,


    zunächst sehe ich es allerdings als "vedammte / verdingte" Plicht des Anwenders hier seiner Sorgfalt nachzukommen !!!


    Rund 27 Millionen Bundesbürger erledigen heutzutage Bankgeschäfte online. Wie war das noch mal mit dem schwächsten Glied in der Kette? ;)


    die ChipTAN sehe ich als eine Möglichkeit. Allerdings integriert und erweitert mit vollautomatisierter Prozessierbarkeit.


    Ein wesentliches Element beim chipTAN und mobileTAN-Verfahren ist die visuelle Kontrolle der Überweisungsdaten vor Eingabe der TAN. Automatisierte Prozesse widersprechen daher dem Grundkonzept des Verfahrens. Ein solches System wäre angreifbar.


    grundsätzlich gesprochen sehe ich es selbstverständlich als Pflicht der Anbieter eine höchst mögliche Sicherheit bereitzustellen.


    Eben. Und genau aus diesem Grund schalten die meisten Banken iTAN noch in diesem Jahr ab und setzen an dessen Stelle auf moderne 2-Kanal-Technologien.


    Gruß
    Jürgen

  • Hi Jürgen

    Rund 27 Millionen Bundesbürger erledigen heutzutage Bankgeschäfte online

    Verzerrung der Tatsachen!
    - es geht hier um asynchrones Onlinebanking mit spezieller Client-SW via HBCI.
    - das ist nicht gleichzusetzen mit einer synchronen browserbasierten HTTPS-Kommunikation !!!


    Wie war das noch mal mit dem schwächsten Glied in der Kette

    davon distanziere ich erst einmal grundsätzlich.
    - dann muss man hier halt Kategorisieren.
    - es darf auch nicht jeder Fahranfänger gleich einen 36tonner bewegen - Stichwort Internet-Führerschein

    Ein solches System wäre angreifbar

    wie gesagt, - jedes von Menschenhand geschaffene System ist angreifbar.
    - es ist einfach nur eine Frage der Zeit, des Aufwands und der Mittel.


    Automatisierte Prozesse widersprechen daher dem Grundkonzept

    damit führst Du per se das Onlinebanking grundsätzlich ad absurdum.


    visuelle Kontrolle der Überweisungsdaten

    dem widerspreche ich ja nicht !
    - btw macht das MG bereits heute schon und u.a. mit der iTAN vor der HBCI-Kommunikation.
    - was spricht dagegen diese Kontrolle z.B. auch bei der ChipTAN (oder what ever) "in Summe" mitten in den asynchronen HBCI-Prozess zu integrieren ?
    - ein Kontrollschritt und alle 27 (steht natürlich für 'n') Transaktionen werden dann danach automatisiert ausgeführt !?


    Eben. Und genau aus diesem Grund schalten die meisten Banken iTAN noch in diesem Jahr ab und setzen an dessen Stelle auf moderne 2-Kanal-Technologien.

    und wo ist dann bei mTAN mit SMS im Festnetzt diese "moderne 2-Kanal-Technologien" unterwandert ?


    Nein, Falk macht einfach nur Banking mit Chipkarte.


    schon klar, aber dann sag mir doch bitte mal wie oft bei 27 Einzelüberweisungen an 27 unterschiedliche Empfänger mit 27 unterschiedlichen Beträgen eine Interaktion von Frank (hier stellvertretend für irgendeinen User) durchzuführen ist und wie viel Zeit dabei verstreicht ???
    - bei mir läuft das heute mit MG und iTAN via HBCI in ca. 90 Sec. ab.

  • Kann es sein, dass Du Dich noch nie wirklich intensiv mit dem Thema HBCI/online Banking beschäftigt hast? Viele Dinge, die Du in Deinen vorhergehenden Postings erwähnt hast, werden so schon durchgeführt. Wenn Du Dir mal http://www.zka-online.de/zka/z…r/electronic-banking.html anschaust und die einzelnen Verfahren vergleichst, wirst Du feststellen, dass FinTS mit Chipkarte als verschlüsseltes und signiertes Verfahren (ähnlich einer qualifizierten elektronischen Signatur laut Signaturgesetz) funktioniert. Und hier werden auch alle Aufträge und Anfragen mit einer Authentifizierung erledigt. So wie Du es Dir vorstellst. Dies geht natürlich nur mit einem entsprechenden Kartenlesegerät (möglichst Klasse 3). Wenn Deine Bank dieses Verfahren nicht anbietet und Du diesen Komfort aber haben möchtest, solltest Du bei Deiner Bank nachfragen und darauf drängen oder über einen Bankwechsel nachdenken.


    Falk

  • hallo Falk,


    auch wenn Du es ggf anders gelesen hast. - ich hab mich sehrwohl und intensiv damit auseinander gesetzt.
    Dieser Thread hier läuft aber unter dem Kontext "Postbank", und es geht um Client-SW wie z.B. MG.
    In diesem Zusammenhang stehen dann auch meine eingangs geäußerten Darstellungen.
    Sieh es mir nach, aber ich habe nunmal all meine Konten bei der PB, und da kann ich leider noch nicht aus Erfahrung mit ChipTAN sprechen.
    Es ist sehr sehr müßig valide Informationen zu dem zu finden, was da, und vorallem wie kommt.
    Die PB hällt sich da auch reichlich bedeckt.
    - und btw, das Angebot bis zur ChipTAN-Implementierung via HBCI noch weiterhin die iTAN zu nutzen haben die mir auch nicht gemacht.
    - werde aber Mo. nochmal drauf drängen.


    wenn das dann aber alles so funzt wie Du das schreibst, also mit einem C3-Leser und der ChipTAN, dann bin ich ja glücklich :thumbsup: und zufrieden.
    - dann war bzw ist die Aufregung ja alles umsonst :wacko:
    - leider findet man auch darüber kaum valide Informationen.
    - aber dennoch, dann schonmal sorry hier ins Forum :|


    wenn Du aber hier anscheinend schon ausgiebig praktische Erfahrungen hast, dann kannst Du ggf ja auch noch ein paar Tipp's zu empfehlenswerten Kartenlesern geben :?:
    wenn ich dann schon Investiere, dann habe ich auch kein Problem etwas mehr auszugeben und dafür dann ein Gerät zu wählen, was letzlich auch Features für den Perso und Homebanking und ggf weitere wie den Secoder-Standard unterstützt.
    Ich denke, wir sind uns einig, dass die "Giraffe" wohl mit einer, wenn nicht sogar der Führende am Markt ist.
    - aber auch da ist es nicht leicht all das zu finden was ein Gerät kann und was nicht, und ob das im Bundle dann auch genau das ist, was es einzel auch gibt.
    - und ausgerechnet der mit dem "edlen Design" ist natürlich nicht Perso-geeignet :(


    Was sind Deine Empfehlungen ?

  • Das edle Design ist schon nPA geeignet, nennt sich cyberJack RFID komfort und hat die Herstellernummer 2718700-000 http://www.reiner-sct.com/content/view/212 . Nur noch nicht lieferbar. Das soll wohl noch ein paar Tage dauern. Näheres erfahre ich hoffentlich am 04.03.


    Noch einmal: Lies bitte mal auf der verlinkten ZKA Seite die Unterschiede von FinTS, ChipTAN und mobileTAN nach!! Dann wirst du hoffentlich auch begreifen, das diese Verfahren unterschiedlich funktionieren. Eine TAN ist eine TransAktionsNummer. Sie genehmigt eine Transaktion.


    In der Beschreibung findest Du auch die Hinweise darauf, dass für diese Verfahren unterschiedliche Gerätetypen benötigt werden (siehe auch bei Reiner-SCT Chipkartenleser und TAN-Generatoren). Mit FinTS mit Chipkarte werden die Transaktionsdaten verschlüsselt und signiert übertragen. Dies ist derzeit das sicherste System.


    Was den cyberJack RFID komfort angeht, so unterstützt er, bis auf ChipTAN, alles was Du aufgeführt hast. Er ist nämlich vom e-com plus abgeleitet!


    Falk