21.12.2012 09:57
Handy als TAN-Generator
Die 1822direkt, ein Unternehmen der Frankfurter Sparkassen, hat ein neues TAN-Verfahren für ihr Online-Banking eingeführt, bei dem ein iOS- oder Android-Gerät mit Kamera als TAN-Generator genutzt wird. Bei diesem QR-TAN genannten System liest eine App nach Eingabe aller Daten am PC einen QR-Code aus dem Browserfenster. Dabei soll ein Challenge-Response-Verfahren (OCRA) verhindern, dass die Daten manipuliert werden.
Das Handy erzeugt eine transaktionsgebundene TAN, die nur für den am Browser eingegebenen Vorgang gilt. Das Handy zeigt dem Nutzer die Daten (z. B. Empfängerkonto und Betrag einer Überweisung) an, bevor dieser die Transaktion in der App autorisiert. Falls die App eine verschlüsselte Verbindung zum Bankserver aufbauen kann, signalisiert sie dann darüber die Freigabe. Andernfalls wird die TAN angezeigt und muss im Browser eingegeben werden. In jedem Fall muss der Nutzer die Transaktion auch im Browser freigeben.
Um das Verfahren zu nutzen, bestellt der Kunde im 1822direkt-Portal einen Aktivierungsbrief. Dieser enthält einen QR-Code und eine Einmal-TAN, mit denen man das Handy registriert, auf dem die App installiert ist. Diese muss durch ein Passwort geschützt werden. Die App soll sich nicht auf andere Handys übertragen lassen und nach 10 falschen Passworteingaben alle Daten löschen. Danach, wie auch nach einem Handy-Wechsel, muss der Kunde den gesamten Registrierungsvorgang neu durchlaufen.
Das Verfahren entspricht also in etwa der Chip-TAN mit Flicker-Code, wobei der Komfort etwas höher ist und man keinen speziellen TAN-Generator benötigt. Allerdings lässt sich eine Smartphone-App sehr viel einfacher manipulieren als ein TAN-Generator. Die 1822direkt versichert zwar, dass die App gut gegen Angriffe geschützt sei. Ob ein Angreifer, der sowohl PC als auch Handy unter seine Kontrolle gebracht hat, das System nicht doch überlisten kann, ist aber fraglich. Letztlich kann jedoch kein Verfahren absolute Sicherheit garantieren. So sind Trojaner bekannt, die es auf SMS-TANs abgesehen haben, ebenso wie Angriffe auf Online-Banking-Nutzer, die Chip-TANs verwenden. Die Verantwortung, seine System vor Schadsoftware zu schützen und gesunde Vorsicht walten zu lassen, nimmt einem keines der Verfahren ab.
(ad)
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
Die Mozilla-Entwickler haben zahlreiche Sicherheitslöcher in Firefox und Thunderbird gestopft. Durch eine kann ein Angreifer, der bereits einen Fuß in der Tür hat, an Systemrechte gelangen. 
