Hintergrund: Ich besitze einen Master in der Informatik, bin interessiert an IT Sicherheit und schreibe diesen Post für Pishing Opfer denen die DKB eine grob fahrlässige Verletzung der Pflichten vorwirft.
Übersicht der TAN Verfahren vom BSI
PushTAN/AppTAN: App auf dem Smartphone
Das PushTan Verfahren firmiert bei den verschiedenen Banken unter verschiedenen Namen. Zur Nutzung dieses Verfahrens sind ein Smartphone oder Tablet und die entsprechende pushTAN-App notwendig. Nach Anmeldung des Verfahrens bei der Bank erhalten Kunden den Zugangscode für die App. Nach Eingabe der Transaktionsdaten, im Browser oder der Banking-App, werden die eingegebenen Daten zur Kontrolle noch einmal in der pushTAN-App angezeigt. Nachdem der Kunde diese bestätigt, wird die TAN generiert. Diese muss dann im Browser oder der BankingApp eingegeben werden. Manche Apps übernehmen diese auch automatisch. Die Sicherheit des TAN-Verfahrens kann erhöht werden, wenn zwei unterschiedliche Geräte für Banking und TAN-Generierung eingesetzt werden. Auch hier sollte immer die aktuellste Version der App installiert sein.
eTAN/ChipTAN: TAN-Generator mit girocard
Beim ChipTAN-Verfahren kommen zwei voneinander unabhängige Geräte zum Einsatz. Erst einmal wird aus den Transaktionsdaten ein graphischer Code erstellt, der dann mit dem ChipTAN-Generator ausgelesen werden muss. Dieser Generator wird vorher mit der entsprechenden Bankkarte aktiviert und erstellt aus der Grafik eine Transaktionsnummer. Da der Generator selbst nicht mit dem Internet verbunden ist, kann er aus der Ferne nicht angegriffen werden. Sollten die generierten TANs Unbefugten in die Hände fallen, können damit jedoch keine anderen Transaktionen ausgeführt werden, weil sie dynamisch an die jeweilige Überweisung gebunden sind.
PhotoTAN/QR-TAN: Grafik am PC, dazu ein Lesegerät oder eine Smartphone App
Bei diesem TAN-Verfahren kommen zwei voneinander getrennte Geräte zum Einsatz. Nach Eingabe der Transaktionsdaten erscheint auf dem Bildschirm eine Grafik, die mit der entsprechenden App für die photoTAN ausgelesen wird. Der in der Grafik enthaltende Code wird in eine TAN gewandelt, mit der die Transaktion frei gegeben wird. Die grafische Datenverschlüsselung bietet Hackern keine große Angriffsfläche. Zusätzlich wird die App mit einem Passwort gesichert. Eine Sicherheitslücke könnte das Smartphone des Kunden sein, wenn es nicht regelmäßig mit den Aktualisierungen der Apps versorgt wird.
[…]
Jedoch bleibt der Einsatz eines externen TAN-Generator am sichersten, da dieser vom Internet getrennt ist und ausschließlich für das Onlinebanking benutzt wird
https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Online-Banking-Online-Shopping-und-mobil-bezahlen/Online-Banking/smsTAN/sms-tan_node.html
Das neue Banking der DKB sieht nur noch die Smartphone App als TAN Verfahren vor.
Dies ist problematisch, da die App prinzipbedingt weniger sicher ist als ein getrenntes Gerät (ChipTAN).
- Weder App noch Nutzer können sicherstellen, dass auf dem Smartphone keine Schadsoftware läuft. Es findet zwar eine Überprüfung auf „root“ statt, was aber allenfalls ein Indikator einer Infektion ist – und sich einfach austricksen lässt.
- Die Nutzung eines alten Smartphones nur zum Banking ist unsicher, da alte Smartphones kaum mit Sicherheitsupdas versorgt werden.
- Das Smartphone braucht zwingend einen Zugang zum Internet, was ein potentielles Infektionsrisiko darstellt.
- Die App ist gleichzeitig der einfache Zugang zum Finanzstatus.
Die allermeisten Nutzer werden also ihr alltags Smartphone zum Banking benutzen.
Die Banken sind sich dieses Risikos bewusst und geben Tipps das installieren von Schadsoftware zu verhindern. Siehe: https://www.vrbank-hg.de/onlinefiliale/sicherheit/phishing-warnungen/phishing-android-app.html
Nur ganz verhindern lässt sich das nicht, es bleibt immer ein Restrisiko – vor allem unter dem Aspekt, dass gerade Nutzer günstiger Smartphones oft spärlich mit Updates versorgt werden: https://de.statista.com/statistik/daten/studie/180113/umfrage/anteil-der-verschiedenen-android-versionen-auf-geraeten-mit-android-os/
Die DKB hat sich nun entschlossen alle Nutzer auf ihre neue App umzustellen und im gleichen Zug auch das deutlich sicherere ChipTAN ausgehebelt, denn selbst mit den ChipTAN spezifischen Anmeldedaten (an der aktuellen Website) wird das nur noch die App als TAN Verfahren benutzt.
Damit ist meiner Einschätzung nach technisch keine starke Kundenauthentifizierung mehr gegeben und es dürfte unmöglich sein dem Kunden eine grobe Fahrlässigkeit nachzuweisen. Und damit ist die DKB voll in der Haftung. Siehe https://www.stader.legal/missbrauch-im-onlinebanking.html
Aussagen der DKB
meine Anfrage
Laut der FAQ ist chipTAN im neuen Banking nicht mehr vorgesehen, sondern alles benutzt nur noch Push-Tan.
TAN2go und chipTAN benötigst du nur für die Funktionen, bei denen du ins bisherige Banking geleitet wirst.
https://www.dkb.de/fragen-antworten/welche-tan-verfahren-bietet-die-dkb-an
Dieses Verfahren ist inherent weniger sicher und wurde von mir explizit nicht freigegeben.
Nur noch das alte Banking zu nutzen ist auch keine Lösung, da ein potentieller Angreifer ja einfach das neue Banking nutzen kann.
Wie kann ich weiter chip-TAN (echte 2 factor) benutzen?
Die Antwort der DKB liest sich wie eine vorbereitete Pressemitteilung, ich muss also Vermuten, dass sie sich des Risikos voll bewusst sind.
Meine etwas zynische Zusammenfassung der Antwort: Bequemlichkeit ist uns wichtiger als Sicherheit. Hier die Antwort im Wortlaut.
Das neue Banking ist mit der neuen App verknüpft und kann nur
gemeinsam genutzt werden.
Als Direktbank legen wir Wert auf bequeme und sichere Bankgeschäfte.
Unsere Lösungen sind optimal auf mobile Endgeräte abgestimmt.. Die
Mehrzahl unserer Kund*innen schätzt und erwartet bequeme, sichere
Technologien für ihre Bankgeschäfte. Diesem Wunsch fühlen wir uns
verpflichtet und entwickeln auch künftig Lösungen, die mit mobilen
Endgeräten sehr gut vereinbar sind.
Wir bitten Sie daher zu berücksichtigen, dass Smartphones und Tablets
als auch digitale Authentifizierungsverfahren, Vertragsabschlüsse sowie
Vermögensverwaltung künftig unsere und damit Ihre Begleiter im Banking
sein werden.
Als chipTAN-Nutzer*in können Sie bis auf Weiteres das bisherige Banking
wie gewohnt nutzen.
Update: Laut FAQ wird an einer hardware Lösung gearbeitet, wie sie aussieht, wann sie kommt – und warum man nicht einfach weiter ChipTAN unterstützt erschließt sich mir nicht.
Update 2: Die Gerichte scheinen PushTAN auch für unsicher zu halten https://www.golem.de/news/onlinebanking-gericht-haelt-push-tan-verfahren-fuer-unsicher-2310-178689.html.