So mal einige Erläuterungen aus meinere Sicht:
Arbeite bei einer Volksbank im Support für Elektronische Dienstleistungen:
Die ganzen Umstellungen der TAN-begründen sich anfangs auf die Phishing-Problematik, dann kamen die netten Trojaner dazu. Es ist das übliche Katz- und Mausspiel zwischen schwarz und weiß, zwischen Gut und Böse.
Grund für die Abschaffung des guten alten TAN-Bogens war die Unsicherheit. Alle TANs waren parallel gültig. Wenn also ein Trojaner die EIngabe einer falschen TAN vorgegaukelt hat hat der Kunde mit dem Gedanken (hab mich wohl vertippt= die nächste genommen und der böse Bube hatte eine gültige TAN, mit der er frei überweisen konnte (Kontonummer und PIN hatte er ja bereits)
Das von Postbank und Sparkassen eingeführte iTAN-Verfahren galt schon nach ein paar Monaten als unsicher:
http://www.heise.de/security/meldung/iTAN-Verfahren-unsicherer-als-von-Banken-behauptet-125776.html
Die Volksbanken begannen mit dem einfachen Smart-TAN-Generator. AUf dem Chip der Karte sind ca. 65.000 TAN-Rohlinge gespeichert. Der Bankrechner wusste die Reihenfolge. In dem Moment, in dem beispeilsweise TAN Nr 63 verbraucht wurde, waren alle vorhergehenden TANs automatisch ungültig.
Dann kam der Sm@rt tAN Generator Plus: Bei diesem Verfahren wird zusätzlich die Empfängerkontonummer mit in die TAN-Berechnung einbezogen. Wenn der Anwender diese Daten mit vergleicht, ist dieses System ziemlich sicher. Leider haben viele Kunden diese Kontrolle nicht vorgenommen. Wir haben zum Beispiel die Funktion des Sammlers im Browserbanking aus Sicherheitsgründen abgeschaltet, da vom Rechenzentrum blöderweise als DATA-Wert die Summe der Empfängerkontonummer angegeben wird. Keiner der Kunden, der mit Sammlern gearbeitet hat, hat je die Summe der Kontonummern errechnet.
Vom Rechenzentrum gibt es jetzt die Vorlage, dass ab Herbst nur noch das Sm@rt TAN optic Verfahren unterstützt wird. Wunderbar, damit müssen in unserem Fall noch ca. 23.000 Kunden umgestellt werden. Die Gebührenregelung ist noch offen. Und wir geben seit ca. 1,5 Jahren bei Neukunden nur noch den optic heraus. Die TAN-Berechnung wird noch um die Vorgangsart und den Betrag der Transaktion erweitert.
Probleme in der Praxis:
Smart TAN-Generatoren des Herstellers VASCO waren nicht für einen Batteriewechsel vorgesehen - selbst nach dem Aufbrechen des Gehäuses kam man nicht an die festgelöteten CR2032 Batterien. Also seitdem nur noch Generatoren von Reiner SCT, da ist ein Batteriewechsel ohne Probleme möglich. Verschärft wurde das VASCO-Problem durch neue Chips auf den Scheckkarten, die einen höheren Stromverbrauch produzierten, von den prognostizierten Lebenszeiten von 4 Jahren blieben meist nur zwei über - aber wurden alle auf Garantie umgetauscht.
Smart TAN optic Probleme wie im Thread beschrieben : keine Datenübertragung: bleibt bei "Warte auf Übertragung" stehen. Standardprobleme waren starkes Streiflicht (Sonne oder Schreibtischlampe), falsche Einstellung der Leserbreite und / oder der Geschwindigkeit. Manch einer hat den Leser um 90 Grad zum Bildschirm gedreht. In einer Konstellation hatten wir das Problem, dass von 5 identischen Bildschirmen drei funktionierten und zwei nicht, da half ein Update der Java-Machine und des Bildschirmtreibers. Unterm Strich aber wenig Probleme.
SMS-TAN: Schöne Sache, nutze ich selbst, je nach Rechenzentrum werden aber auch der Bank / Sparkasse Gebühren in Rechnung gestellt, die dann meist weitergegeben werden.
Eine Warnung noch an alle Nutzer der SMS-TAN: Es gibt mittlerweile einen Trojaner, der nach Infektion des PC eine SMS ans Handy sendet und versucht, auch das Handy mit einem Trojaner (getarnt als Sicherheitsupdate oder Zertifikatsupdate) zu infizieren . in diesem Fall können solange das Handy eingeschaltet ist, gültige TANs produziert werden, die vom manipulierten Handy sofort an die Drahtzieher weitergeleitet werden können. Das Problem für die Hacker ist aber die verschiedenen Betriebssysteme der Handys und das sie nicht wissen, welches Handy der Kunde hat. Es sei denn, er teilt es selbst mit.
http://www.heise.de/security/meldun...t-Smartphones-mit-Windows-Mobile-1195455.html
Und eine einfache Sache: Alle bisherigen Trojanerfälle ereigneten sich im Browserbanking, es gibt noch keinen Fall, wo es beim Einsatz eines Zahlungsverkehrsprogramm (Beispiel Starmoney) zu Geldverlusten kam. Und bei vielen Überweisungen kann die Empfehlung nur HBCI-Chipkarte oder HBCI-Datei sein.
Aber auch hier wieder "Geiz ist geil" Wenn die Mehrheit auf ein kostenloses Konto aus ist, wo soll das Geld für Technik und Sicherheit herkommen?