Wie sicher ist der TAN Generator der Sparkasse wirklich?

Seit mehreren Monaten bietet die Sparkasse ihren Kunden nur noch die Möglichkeit entweder mittels eines TAN Generators oder mittels eines teuren HBCI Interfaces Homebanking durchführen zu können. Die alten seit vielen Jahren sehr zuverlässig funktionierenden TAN Listen werden nicht mehr versendet.
Nach Aussagen der Sparkasse sei dieser TAN Generator sehr sicher. Beschäftigt man sich etwas mit der Materie, dann stellt man sehr schnell fest, dass man diese Aussage der Sparkasse nicht einfach so stehen lassen kann.
Die Erklärung ist so simpel wie nahe liegend. Ein schon in der Armeen Cäsars und Hannibals übliches Verfahren zur Erreichung notwendiger Datensicherheit bestand darin, dass man wichtige Meldungen verschlüsselt über zwei verschiedene Übertragungskanäle transportierte und sie erst am Empfangsort zusammensetzte. Dies konnte man recht einfach erreichen, indem man einfach zwei Boten auf zwei verschiedenen Wegen zum Empfänger in Bewegung setzte. Dabei ist sekundär, ob der Bote wie in Marathon rennt, sich auf dem Pferd befindet oder sonst wie die Information von A nach B gelangt.
Dieser uralte Grundsatz der Datensicherheit wird mit dem TAN Generator der Sparkasse ausgehebelt. Warum ist das so?
  • Der User meldet sich via HTTPS am Server der Sparkasse an, um seine Kontofunktionen nutzen zu können.
  • Tätigt er eine Buchung, muss er den TAN Generator vor den Bildschirm halten. Dieser liest mittels einer optischen Leseeinheit die dann über den Bildschirm flimmernden, für das menschliche Auge nicht erkennbare Transaktionsnummer, kurz TAN.
  • D.h. die TAN wird über die gleiche Verbindung vom Server zum Client übertragen wie die Kontodaten, denn es ist nur eine HTTPS Sitzung geöffnet.
  • D.h. zwangsläufig, Kontodaten UND TAN werden auf ein und demselben Kanal übertragen, was uns auch heute telefonisch die Hotline der Mittelbrandenburgischen Sparkasse bestätigte.
Nach Aussagen besagter Hotline sei dies so sicher, dass niemand es knacken kann. Die Datendiebstähle der letzten Monate und Wochen sprechen da aber eine andere Sprache. Ein Welt bekannter sehr guter Musikkonzern dachte bis vor kurzem auch, dass niemand in seine Systeme einbrechen kann. Dessen Budget für Datensicherheit wird sehr wahrscheinlich über dem der Sparkasse liegen.
Denn genau hier liegt der Hase in seinem berühmten Pfeffer!!! Denn wenn es einem Hacker gelingt, die HTTPS Sitzung zu tracken, dann kann er die übertragene TAN natürlich auch mit tracken, was fatale Folgen haben kann. Die beste Verschlüsselung hilft nichts, wenn die Daten in die falschen Hände gelangen. Dort ist es dann nur eine Frage der Zeit, bis sie entschlüsselt sind. Bekanntlich dachten die Deutschen im zweiten Weltkrieg auch bis zum Schluß, dass niemand die ENIGMA entschlüsseln kann.
So bleibt nur eine Alternative. Diese heißt Back to the Roots. Andere Banken zeigen mit dem bekannten TAN - SMS Verfahren wie es besser und vor allem einfacher geht.
Denn die Vermutung liegt nahe, dass maßgebliche Entscheider der Sparkasse sich wohl nie der Mühe unterzogen, hintereinander mehrere Buchungen mit dem TAN Generator vorgenommen zu haben. Da wäre ihnen sehr wahrscheinlich aufgefallen, dass die Bedienung des TAN Generators alles andere als ergonomisch ist. Denn es ist schon eine Nerv aufreibende Prozedur, bis man den TAN Generator jedesmal so vor dem Bildschirm plaziert hat, bis er auch den Flimmerstreifen richtig liest. Das kann nämlich zum Geduldspiel werden. Dumm wenn man pro Tag mehrere Transaktionen vornehmen möchte.

wallpaper-1019588
Fortnite Season OG Finale: Eminem rockt die Bühne und das Spielfeld!
wallpaper-1019588
Dungeons & Dragons 5th Edition: Heilzauber erfahren durch Playtest 8 eine grundlegende Überarbeitung
wallpaper-1019588
Overwatch 2 Season 8: Kontroverse um Mythic Grand Beast Orisa-Skin
wallpaper-1019588
Silent Hill: Ascension KI-Kontroverse: Wahrheit trennt sich vom Mythos