Seit mehreren Monaten bietet die Sparkasse ihren Kunden nur noch die Möglichkeit entweder mittels eines TAN Generators oder mittels eines teuren HBCI Interfaces Homebanking durchführen zu können. Die alten seit vielen Jahren sehr zuverlässig funktionierenden TAN Listen werden nicht mehr versendet.
Nach Aussagen der Sparkasse sei dieser TAN Generator sehr sicher. Beschäftigt man sich etwas mit der Materie, dann stellt man sehr schnell fest, dass man diese Aussage der Sparkasse nicht einfach so stehen lassen kann.
Die Erklärung ist so simpel wie nahe liegend. Ein schon in der Armeen Cäsars und Hannibals übliches Verfahren zur Erreichung notwendiger Datensicherheit bestand darin, dass man wichtige Meldungen verschlüsselt über zwei verschiedene Übertragungskanäle transportierte und sie erst am Empfangsort zusammensetzte. Dies konnte man recht einfach erreichen, indem man einfach zwei Boten auf zwei verschiedenen Wegen zum Empfänger in Bewegung setzte. Dabei ist sekundär, ob der Bote wie in Marathon rennt, sich auf dem Pferd befindet oder sonst wie die Information von A nach B gelangt.
Dieser uralte Grundsatz der Datensicherheit wird mit dem TAN Generator der Sparkasse ausgehebelt. Warum ist das so?
Denn genau hier liegt der Hase in seinem berühmten Pfeffer!!! Denn wenn es einem Hacker gelingt, die HTTPS Sitzung zu tracken, dann kann er die übertragene TAN natürlich auch mit tracken, was fatale Folgen haben kann. Die beste Verschlüsselung hilft nichts, wenn die Daten in die falschen Hände gelangen. Dort ist es dann nur eine Frage der Zeit, bis sie entschlüsselt sind. Bekanntlich dachten die Deutschen im zweiten Weltkrieg auch bis zum Schluß, dass niemand die ENIGMA entschlüsseln kann.
So bleibt nur eine Alternative. Diese heißt Back to the Roots. Andere Banken zeigen mit dem bekannten TAN - SMS Verfahren wie es besser und vor allem einfacher geht.
Denn die Vermutung liegt nahe, dass maßgebliche Entscheider der Sparkasse sich wohl nie der Mühe unterzogen, hintereinander mehrere Buchungen mit dem TAN Generator vorgenommen zu haben. Da wäre ihnen sehr wahrscheinlich aufgefallen, dass die Bedienung des TAN Generators alles andere als ergonomisch ist. Denn es ist schon eine Nerv aufreibende Prozedur, bis man den TAN Generator jedesmal so vor dem Bildschirm plaziert hat, bis er auch den Flimmerstreifen richtig liest. Das kann nämlich zum Geduldspiel werden. Dumm wenn man pro Tag mehrere Transaktionen vornehmen möchte.
Nach Aussagen der Sparkasse sei dieser TAN Generator sehr sicher. Beschäftigt man sich etwas mit der Materie, dann stellt man sehr schnell fest, dass man diese Aussage der Sparkasse nicht einfach so stehen lassen kann.
Die Erklärung ist so simpel wie nahe liegend. Ein schon in der Armeen Cäsars und Hannibals übliches Verfahren zur Erreichung notwendiger Datensicherheit bestand darin, dass man wichtige Meldungen verschlüsselt über zwei verschiedene Übertragungskanäle transportierte und sie erst am Empfangsort zusammensetzte. Dies konnte man recht einfach erreichen, indem man einfach zwei Boten auf zwei verschiedenen Wegen zum Empfänger in Bewegung setzte. Dabei ist sekundär, ob der Bote wie in Marathon rennt, sich auf dem Pferd befindet oder sonst wie die Information von A nach B gelangt.
Dieser uralte Grundsatz der Datensicherheit wird mit dem TAN Generator der Sparkasse ausgehebelt. Warum ist das so?
- Der User meldet sich via HTTPS am Server der Sparkasse an, um seine Kontofunktionen nutzen zu können.
- Tätigt er eine Buchung, muss er den TAN Generator vor den Bildschirm halten. Dieser liest mittels einer optischen Leseeinheit die dann über den Bildschirm flimmernden, für das menschliche Auge nicht erkennbare Transaktionsnummer, kurz TAN.
- D.h. die TAN wird über die gleiche Verbindung vom Server zum Client übertragen wie die Kontodaten, denn es ist nur eine HTTPS Sitzung geöffnet.
- D.h. zwangsläufig, Kontodaten UND TAN werden auf ein und demselben Kanal übertragen, was uns auch heute telefonisch die Hotline der Mittelbrandenburgischen Sparkasse bestätigte.
Denn genau hier liegt der Hase in seinem berühmten Pfeffer!!! Denn wenn es einem Hacker gelingt, die HTTPS Sitzung zu tracken, dann kann er die übertragene TAN natürlich auch mit tracken, was fatale Folgen haben kann. Die beste Verschlüsselung hilft nichts, wenn die Daten in die falschen Hände gelangen. Dort ist es dann nur eine Frage der Zeit, bis sie entschlüsselt sind. Bekanntlich dachten die Deutschen im zweiten Weltkrieg auch bis zum Schluß, dass niemand die ENIGMA entschlüsseln kann.
So bleibt nur eine Alternative. Diese heißt Back to the Roots. Andere Banken zeigen mit dem bekannten TAN - SMS Verfahren wie es besser und vor allem einfacher geht.
Denn die Vermutung liegt nahe, dass maßgebliche Entscheider der Sparkasse sich wohl nie der Mühe unterzogen, hintereinander mehrere Buchungen mit dem TAN Generator vorgenommen zu haben. Da wäre ihnen sehr wahrscheinlich aufgefallen, dass die Bedienung des TAN Generators alles andere als ergonomisch ist. Denn es ist schon eine Nerv aufreibende Prozedur, bis man den TAN Generator jedesmal so vor dem Bildschirm plaziert hat, bis er auch den Flimmerstreifen richtig liest. Das kann nämlich zum Geduldspiel werden. Dumm wenn man pro Tag mehrere Transaktionen vornehmen möchte.
