Samstag, 24. Januar 2015

DKB modernisiert mit pushTAN, chipTAN und VISA payWave

http://goo.gl/PlVNe
Die DKB hat auf die Wünsche ihrer Kunden gehört und 3 aktuelle Bezahlverfahren nachgerüstet:

1. pushTAN
2. chipTAN
3. VISA payWave

Ich habe alle drei Verfahren ausprobiert.

Das lange Warten auf die DKB


Die Deutsche Kreditbank (DKB) bietet ein kostenfreies Girokonto, das vor allem das kostenfreie Abheben von Bargeld weltweit allen Geldautomaten erlaubt. Das ist schon in Deutschland praktisch und erst Recht im Urlaub.

Mir fehlten aber seit einiger Zeit aktuelle, papierlose TAN-Verfahren für das Internetbanking. Während ich bei anderen Banken dank mTAN per SMS auf das Mitführen oder Hervorkramen von Listen mit Transaktionsnummern (TAN) verzichten konnte, setzte die DKB noch lange auf die "klassische" iTAN-Liste auf Papier. Gähn.

Im Juni 2013 startete ich daher  die Umfrage, was den Leuten die mTAN wert wäre. Es haben über 1.750 Leute daran teilgenommen und so deutlich ihr Interesse an diesem Bezahlverfahren ausgedrückt. Davon waren auch noch über 70% der Meinung, dass man für dieses moderne Sicherheitsverfahren keine extra Gebühren akzeptieren würde.



Mittlerweile hat die DKB auf die Kunden gehört und sogar gleich 2 aktuelle TAN-Verfahren für das Internetbanking nachgerüstet. Die mTAN per SMS ist es nicht geworden. Nachdem jedoch im Dezember 2014 gezeigt wurde, wie unsicher die SMS-Verfahren in den Mobilfunknetzen implementiert sind, stört es mich auch gar nicht mehr so.

1. pushTAN - Sicherheit per Smartphone


TAN-Screen in der iOS-App.
Foto: Warumduscher
Bei diesem Verfahren erhält man die TAN per App auf sein Smartphone. Man kann sich im Kundenportal unter Service / Status TAN-Verfahren dafür freischalten lassen. Die Apps gibt es kostenfrei in den App-Stores für Android (Google PlayStore) oder Apples iPhones (AppStore für iOS).

Wer sich für das Verfahren entscheidet, erhält wenige Tage danach einen Brief mit einem QR-Code mit Freischaltedaten für die App sowie einen weiteren Brief mit einer neuen Online-PIN. Da dieser aus Sicherheitsgründen nicht am gleichen Tag kommt, darf man sich gleich an zwei Tagen besonders auf den Briefträger freuen.

Die zweite Online-PIN wird benötigt, da auch noch eine neue Benutzerkennung eingerichtet wird, mit der man sich für das Internetbanking bei der DKB anmeldet. An der Kennung macht die DKB das TAN-Verfahren (push, chip oder iTAN) fest.

Das ist etwas weniger komfortabel als bei anderen Banken, wo man das TAN-Verfahren direkt bei jeder Überweisung neu wählen kann. Aber da man sich in der Regel ohnehin auf ein Verfahren konzentriert, spielt das später im Alltag wohl keine so große Rolle.

Nachdem man die Kryptomodule in der App und bei der Bank per Freischaltcode synchronisiert hat (Scan des QR-Codes oder manuelle Eingabe der Daten), kann man ab diesem Zeitpunkt bequem die TAN daheim, auf der Arbeit oder unterwegs auf dem Smartphone-Display ablesen. Das ist sehr bequem, da wir diese Geräte ja eh immer bei uns haben, nicht wahr?

Allerdings sind Smartphones letztlich kleine Computer und damit für Trojaner anfällig oder funken immer wieder in unsicheren WLANs. Wenn man dann auch noch so doof  risikofreudig ist, das Internetbanking vom gleichen Gerät aus zu betreiben an das man sich die TAN schicken lässt, kann jemand mit Keylogger und umgeleitetem Datenverkehr per Man-in-the-middle-Angriff theoretisch das Konto leer räumen.

Das benötigte KnowHow hierfür stammt zwar sicher aus der Oberliga des Phishings/Hackens, aber ist eben theoretisch möglich. Daher ist es gut, dass die DKB mit dem nächsten Verfahren eine noch sicherere Variante im Angebot hat.

2. chipTAN


Lesegerät mit DKB-Karte. Foto: Warumduscher
Beim chipTAN-Verfahren kommen die eigene Girokarte und ein TAN-Generator zum Einsatz. Die Karte wird in den Generator gesteckt und der darin eingebaute Chip wird verwendet, um die TAN zu generieren. Da hier keine physische Verbindung zu einem Netzwerk besteht, kann auch kein Trojaner diese Infos abfangen.

Als TAN-Generator habe ich mir den ReinertSCT TANjack SR optic für 15 Euro bestellt. Teilweise werden andere Generatoren gebraucht schon für 5 Euro verkauft. Wichtig ist nur, dass der Generator zum Verfahren "HHD V1.4" kompatibel ist.

Der TANjack SR hat den Vorteil, dass man die Transaktion im Normalfall bequem per optischem Verfahren durchführen lassen kann. Hierbei wird der TAN-Generator an den Bildschirm gehalten und per Blink-Grafik erhält er Informationen zur Transaktion. Aus denen generiert er dann eine TAN, mit der man dann den Auftrag an die Bank autorisieren kann.
Sollte das erkennen der Blink-Grafik mal nicht klappen (z.B. bei zu großer Spiegelung des Displays im Freien), kann man die Daten auch manuell über die Tastatur erfassen.

Gut. 100% sicher ist das Verfahren auch nicht. Ist der Computer erst einmal mit einem Trojaner infiziert und lässt man sich dann noch auf eine manipulierte Seite locken, ist auch Phishing trotz TAN-Generator möglich. Das ARD-Mittagsmagazin zeigt so einen Fall und dabei auch gleich, wie das chipTAN-Verfahren funktioniert und warum man auf die Anzeige der IBAN auf dem Display dringend achten sollte:




Meine Einschätzung:

Noch sicherer wäre HBCI mit passendem Klasse 3 Terminal. Das bietet die DKB vor allem auch im Geschäftskundenbereich an. Aber das ist ja wiederum nicht besonders mobil und geräteunabhängig.

Das Verfahren chipTAN ist vom Design her etwas sicherer als die pushTAN. In der Praxis werde ich jedoch hauptsächlich die pushTAN verwenden, da ich einfach mein iPhone immer dabei habe. Falls ich aber mal keinen Netzempfang haben sollte oder mein Handyakku leer ist, kann ich immer noch auf die chipTAN ausweichen.

Meinen Hauptwunsch hat die DKB zu Weihnachten 2014 erfüllt:
Meine alte iTAN-Liste aus Papier kann jetzt sicher daheim im Safe liegen bleiben. Dann kann sie nicht auch mal eben kurz aus der Brieftasche genommen, fotografiert und wieder zurückgelegt werden. Dieser Angriff ist nämlich viel leichter als der auf pushTAN oder chipTAN.

Danke, liebe DKB. So bin ich noch viel lieber Kunde bei Euch.

3. VISA payWave

Meine neue VISA-Karte von der DKB hat nun auch die payWave Funktion. Sie erlaubt das kontaktlose Bezahlen mit der Karte. Ganz beliebig frei ist man natürlich nicht. Der eingesetzte Chip für die Near-Field-Communication (NFC) funkt zur Sicherheit nur auf ca. 4 cm Entfernung.

Bei Beträgen unter 25 € ist noch nicht einmal die Eingabe einer PIN oder eine Unterschrift notwendig. Das funktioniert dann also wirklich so schnell wie das Zahlen mit Bargeld. Natürlich hinterlässt man so wiederum mehr Datenspuren als beim Bezahlen per Bargeld oder Geldkarte. Irgendwas ist ja immer.

Ich habe die neue Funktion in einem Kaiser's-Supermarkt ausprobiert und da funktionierte sie wirklich problemlos. Nur die Kassiererin war etwas überrascht. Es war nämlich für uns beide "das erste Mal". So wunderte sie sich, dass der Bezahlvorgang durch das Vorbeiziehen meiner Brieftasche an dem Kartenlese-Terminal erledigt war. Sie wusste gar nicht, dass "ihre" Kasse sowas kann.

Bei zwei verschiedenen Aral-Tankstellen und einem Betrag von über 25 € funktionierte es leider nicht so reibungslos. Da wurde die PIN zwar abgefragt, aber danach wurde die Transaktion mit einer Fehlermedung abgebrochen. Mit der gleichen Karte und bei Nutzung des normalen Verfahrens mit Kontakt zum Lesegerät funktionierte das Bezahlen mit der Karte dann. Hier scheinen also noch Nachbesserungen nötig zu sein. Es kann z.B. sein, dass hier noch Verträge zwischen VISA und dem Tankstellenpächter geschlossen werden müssen.

Das zeigt im Prinzip aber auch die Sicherheit des Verfahrens. Man kann nämlich eben nicht einfach so ein Lesegerät in der Fußgängerzone mit sich führen und lustig die Kreditkarten belasten. Handelspartner und das Lesegerät mit seiner speziellen ID müssen dafür entsprechend registriert sein.  Ein entsprechender Missbrauch fiele daher schnell auf. Entweder den Passanten, denen man immerhin mit weniger als 4cm Nähe auf die Pelle rücken müsste oder dem Fraud-Team von VISA (hoffentlich).

http://www.amazon.de/gp/product/B00IZI4HBW/ref=as_li_tl?ie=UTF8&camp=1638&creative=19454&creativeASIN=B00IZI4HBW&linkCode=as2&tag=warumduscher-21&linkId=LGR2JRJUD56CN7ZZ
NFC-Abschirmhüllen
Klar - während ich das hier schreibe, tüfteln findige Kriminelle sicher an einem Angriffsweg oder nutzen ihn schon fröhlich. Irgendeinen Fehler hat ja jede Implementierung. Wo es um große Summen geht, wird ggf. durch Bestechung oder Erpressung von Insidern aus dem Finanzsystem sogar einer aktiv in den Code eingeschleust.

Wer dem ganzen kontaktlosen Verfahren per NFC-Chip dennoch nicht traut, kann diesen Karten immerhin leicht per NFC-Abschirmhülle (6 € für 5 Stück auf Amazon) eine elektronische Tarnkappe verpassen.

Das ist dann quasi der Aluhut für die Kreditkarte.

Ganz so absurd ist dieser Schutz am Ende vielleicht ja gar nicht. Oder warum sonst sollten die Anwälte des Industriekonsortiums rund um die NFC/RFID-Bezahlkarten dafür sorgen, dass eine Folge der Mythbusters zu den Sicherheitsproblemen von ihrem Sender Discovery Channel nie gesendet wurde (Videolink)?

Wie immer müssen Nutzen und Risiken abgewogen werden. Sowohl beim Autofahren wie auch beim Bezahlverfahren. Ich glaube, dass für eine lange Zeit die Wahrscheinlichkeit eines "Geld her oder Leben" Raubüberfalls am Geldautomaten weiter deutlich höher ist als Opfer eines Hightech-Taschendiebstahls zu werden. Da ich dennoch weiter Geldautomaten auch außerhalb der Öffnungszeiten der Bank nutze, werde ich das mit Internetbanking und kontaktlosen Bezahlverfahren erst recht tun.







2 Kommentare:

Anonym hat gesagt…

paywave:
Der Fehler in der Implementierung ist, dass Bezahlen ohne irgendeine Identitaetspruefung ueberhaupt moeglich ist. Sobald man die Karte verliert, kann der Finder einmal quer durch die Stadt mit 25E Betraegen das Konto pluendern. Sicherlich gibt es risikofreudige Naturen, die das nicht anficht.
Ich persoenlich haette mir gewuenscht, dass paywave per opt-in eingefuehrt wird.
Ich nutze die Smartphonesoftware der DKB nicht, sondern betreibe Onlinebanking, ich habe keinerlei Moeglichkeit, auf die NFC-Einstellungen einfluss zu nehmen, das geht nur per Smartphone. Somit muss ich ein Feature der Bank nutzen, das ich eigentlich nicht brauche, um ein anderes Feature, das ich grundweg ablehne, zu entschaerfen.

Attila Radnai hat gesagt…

Ja, das mit dem Verlust der Karte ist theoretisch ein Risiko. Aber ich halte das für akzeptabel. Immerhin hinterlässt ein möglicher Kartenmissbrauch auch Datenspuren an klaren Orten, die ggf. mit Videokameras ausgestattet sind. Darüber kann dann die Straftat einfacher aufgeklärt werden als beim Diebstahl von Bargeld, das einfach irgendwo verschwindet. Datenspuren nutzen halt in bestimmten Fällen auch.

Aber letztlich ist man gerade als Aktivkunde der DKB über das Kartenkasko-Programm ohne Selbstbeteiligung abgesichert. Werden vor der Sperrung ungewollte Umsätze getätigt, werden diese ersetzt.

Dass die DKB Card Control nur über die Banking App anbietet, war mir gar nicht so bewusst. Finde nämlich die App sehr praktisch und nutze diese deutlich öfter als das "klassische" Onlinebanking. Aber auch beim "normalen" Onlinebanking finde ich es sehr praktisch, dass einem die App die TAN-Eingabe erspart, die von vielen Instituten nach PSD2-Einführung verlangt haben. 2-Faktor-Authentifizierung finde ich auch sehr wichtig, um klassisches Phishing zu bekämpfen, aber das Abtippen sechsstelliger Nummern ist deutlich nerviger als die biometrisch gesicherte Freigabe über ein gesichertes Gerät.

Kommentar veröffentlichen