Probleme mit Tan-Verfahren am Handy

    Hallo in die Runde,


    ich versuche es mal hier, ggf. gibt es da den einen oder anderen technik-affinen.


    Ich hab seit längerem Probleme mit meiner DKB-Banking-App, wenn ich Überweisungen vornehmen möchte.


    Und zwar wechsle ich in die Tan-App und dort sollte eigentlich die Auswahl da stehen, das die "Tan übernommen wird"....das fehlt aber gefühlt bei 9 von 10 Versuchen.


    Ich kann die dann auch nicht "händisch" übernehmen, da ich bei einem manuellen Wechsel aus der Banking-App geworfen, mich neu anmelden und die Überweisung dann weg ist.


    Seit einer Woche ist das jetzt auch bei meiner Sparkassen-App, so dass ich davon ausgehe, dass das irgendwie ein allg. Fehler sein muss.


    Kennt das jemand bzw. eine Lösung dafür?

    Die glücklichen Zeiten der Menschheit sind die leeren Blätter im Buch der Geschichte.

    Das ist ein komischer Fehler:


    Die TAN2go-App funktioniert bei mir (eben sicherheitshalber noch einmal versucht) völlig unabhängig von der DKB Banking-App - ich will damit sagen, dass ich beliebig zwischen den beiden Apps (und anderen) wechseln kann, ohne dass sich eine schließt. Hierfür tickt ja im Hintergrund der Timer.


    Ich würde folgendes versuchen:

    - alle Antivirus-Programme schließen (sofern vorhanden)

    - Tan2go manuell öffnen

    - Anmeldung bei der Banking-App

    - Überweisungsversuch


    Ich bin mir nicht sicher, ob das wirklich eine hilfreiche Lösung ist. Man kann natürlich auch beide Apps löschen und neu installieren. Ob die Hotline helfen kann, da bin ich überfragt. Man trifft da durchaus auf nette Menschen, die einfach Ahnung auch von solchen Sachen haben.


    Viel Erfolg


    Gerrit


    PS

    Die App funktioniert nicht mit einem Nokia 6210 - ich habe es probiert, das Handy ist zu anspruchsvoll...

    Mit Gewaltlosigkeit hat noch nie jemand etwas erreicht. (Montgomery Burns)

    Ich habe zwar keine Lösung, aber ich bewundere das Problem. Präsident der EZB. (Das Känguru)


    Zum Spieleblog


    hmmm. Irgendwann (als ich das Konto dort eröffnet habe) gab es den Hinweis, dass ich die TAN-App auf einem anderen Gerät nutzen muss als die Banking-App. Und so habe ich das auch immer gemacht. Daher muss ich die TAN auch immer manuell eingeben.


    Ihr macht das also am gleichen Gerät? Ich habe schon immer Probleme, die Überweisungsdaten vom gleichen Gerät in die Banking App zu kopieren, da kommt immer eine Zwischensequenz als ob die App kurz ausgehen würde und manchmal kommt das Kopierte gar nicht erst an.

    Was man ernst meint, sagt man am Besten im Spaß (Wilhelm Busch)

    Also die funktionieren schon unabhängig und laufen parallel auf einem Handy.


    ich kriegt dann bei ner Überweisung die Nachricht, dass ich die TAN-APp öffnen soll und dann läuft im Hintergrund die Bankin-App weiter


    Dann wechsle ich und "normal" taucht in der Tan_App dann die Option "Tan-übertragen" auf. Drücke ich da drauf wechselt der automatisch in die Banking-App und trägt dort die Tan ein...sowohl bei SPK als auch DKB...


    ...wenn alles funktioniert...


    ...leider fehlt wie gesagt immer öfter in der TAN-App die "Übertragungsfunktion"...wäre ggf. so schlimm, wenn ich die TAN abschreiben und dann manuell eingeben könnte. Aber wenn ich dann eben manuel auf die Banking-APP gehe, bin ich aus dieser draußen.


    Das ist aber bei mir generell so mit Apps. Z.B auch beim Mail-Account im Webbroweser.


    Bin ich eingeloggt und wechsle so in eine andere App, bleibe ich drin.


    Aber wenn ich bspw. einen Anhäng, z.B. PDF, aus dem Account raus öffne, dann wechselt der in das PDF und schmeißt mich aus dem Mail.Account

    Die glücklichen Zeiten der Menschheit sind die leeren Blätter im Buch der Geschichte.

    Alfgard das klingt am ehesten danach, dass dein Smartphone zu wenig freien Speicher (RAM) hat. Wenn das der Fall ist beendet das Betriebssystem auch schon mal Apps die gerade nicht sichtbar sind.


    Grundsätzlich ist es aber grundsätzlich unsicher Banking App und TAN App auf dem selben Gerät zu nutzen, dann ist der Vorteil des zweiten Unabhängigen Faktors verloren.

    Zitat von Klaus_Knechtskern
    Zitat von theSealion

    Grundsätzlich ist es aber grundsätzlich unsicher Banking App und TAN App auf dem selben Gerät zu nutzen,

    dies ist ein äußerst wichtiger Hinweis

    ...aber ein falscher ;)


    Sinn und Zweck der getrennten Banking- und PushTan-Apps ist ja das Ermöglichen von vollumfänglichen Banking auf einem Endgerät; die Zwei-Faktor-Authentifizierung bleibt dabei erhalten (idealerweise durch zwei unterschiedliche Passwörter für die beiden Apps).

    Zitat von Beezle
    Zitat von Klaus_Knechtskern

    dies ist ein äußerst wichtiger Hinweis

    ...aber ein falscher ;)


    Sinn und Zweck der getrennten Banking- und PushTan-Apps ist ja das Ermöglichen von vollumfänglichen Banking auf einem Endgerät; die Zwei-Faktor-Authentifizierung bleibt dabei erhalten (idealerweise durch zwei unterschiedliche Passwörter für die beiden Apps).

    Das dachte ich auch, dass das ja die "Innovation" sei.


    Vorher hatte ich das Banking am PC und die TAN-App am Handy....dann kam beides am Handy, gerade weil das doch die tolle Lösung sein soll, dass man keine zwei "Endgeräte" mehr braucht.

    Die glücklichen Zeiten der Menschheit sind die leeren Blätter im Buch der Geschichte.

    ...und das ist es ja auch. Nach dem aktuellen Stand der Dinge sind PushTan und ChipTan die sichersten Möglichkeiten zum Erhalt einer TAN; die PushTan-App ermöglicht eben Banking auf dem Smartphone. Das alte SMS-Tan-Verfahren ist nicht mehr zu empfehlen (und diebalten Listen gibt es ja hoffentlich nirgendwo mehr) :)

    Zitat von Beezle

    Nach dem aktuellen Stand der Dinge sind PushTan und ChipTan die sichersten Möglichkeiten zum Erhalt einer TAN

    Ich bin immer noch überzeugt, dass die alte Tan-Liste immer noch die sicherste Möglichgkeit wäre. Aber die kostet die Bankinstitute natürlich mehr Geld

    Ich gebe hier, auch wenn ich es im Text nicht explizit erwähne, immer meine persönliche Meinung wieder.

    Zitat von Klaus_Knechtskern
    Zitat von Beezle

    Nach dem aktuellen Stand der Dinge sind PushTan und ChipTan die sichersten Möglichkeiten zum Erhalt einer TAN

    Ich bin immer noch überzeugt, dass die alte Tan-Liste immer noch die sicherste Möglichgkeit wäre. Aber die kostet die Bankinstitute natürlich mehr Geld

    Ob das so viel teurer wäre glaube ich gar nicht; was sicherlich teurer weil aufwändiger gewesen ist, war das ständige "ich weiß nicht mehr, welche Tan ich schon benutz habe, ich brauche eine neue Liste" oder (noch schlimmer) "ich weiß nicht mehr, wo ich meine Liste gelassen habe, ich brauche eine neue" (womit dann auch die Sicherheit der Liste komplett für den Eimer war).


    Aber wenn du noch die Liste hast und das alles klappt, ist es ja gut. :)

    Der Hinweis auf Sicherheit und nicht beides am selben Gerät zu nutzen ist in jedem Fall angebracht.


    [Externes Medium: https://www.youtube.com/watch?v=MYAwe-etEU0]

    CCC Talk - Vincent Haupert: (Un)Sicherheit von App-basierten TAN-Verfahren im Onlinebanking


    In dem Showteil haben sie nachträglich noch die Summe verändert, nachdem die TAN generiert wurde, das hätte aber auch mit der Kontonummer geklappt

    Alle großen Banken nutzen die selbe hardening Software als Framework, die hat Bugs .. uiuiui


    Selbst wenn das inzwischen (ja wohl hoffentlich) gefixed wurde .. 2FA funktioniert per se nur mit 2 Geräten sicher.

    Einmal editiert, zuletzt von messy ()

    Zitat von Beezle

    Ob das so viel teurer wäre glaube ich gar nicht; was sicherlich teurer weil aufwändiger gewesen ist, war das ständige "ich weiß nicht mehr, welche Tan ich schon benutz habe, ich brauche eine neue Liste" oder (noch schlimmer) "ich weiß nicht mehr, wo ich meine Liste gelassen habe, ich brauche eine neue" (womit dann auch die Sicherheit der Liste komplett für den Eimer war).


    Aber wenn du noch die Liste hast und das alles klappt, ist es ja gut. :)

    Die Listen - iTAN oder TAN - wurden überwiegend im Zuge der Umstellung PSD2 abgeschafft. Anscheinend gibt es aber noch Altbestände und genug Lücken in der Richtlinie.


    Ich habe früher immer meine Liste abfotografiert und damit das System ad absurdum geführt. Ich habe es ja auch nicht so mit Zahlen - bin deshalb ja auch Banker geworden... :D


    Ist das Ursprungsproblem schon etwas weiter? Das mit dem Arbeitsspeicher ist ein guter Hinweis gewesen!

    Mit Gewaltlosigkeit hat noch nie jemand etwas erreicht. (Montgomery Burns)

    Ich habe zwar keine Lösung, aber ich bewundere das Problem. Präsident der EZB. (Das Känguru)


    Zum Spieleblog


    Zitat von messy

    Der Hinweis auf Sicherheit und nicht beides am selben Gerät zu nutzen ist in jedem Fall angebracht.


    Selbst wenn das inzwischen (ja wohl hoffentlich) gefixed wurde .. 2FA funktioniert per se nur mit 2 Geräten sicher.

    Es ist aus Sicherheitsgründen zwingend NOTWENDIG, zwei verschiedene Geräte zu verwenden. Das hat damit zu tun, dass, falls ein Gerät kompromittiert ist, das andere noch die Sicherheit aufrecht erhält. Das gilt natürlich nicht mehr, wenn BEIDE Geräte kompromittiert sind.


    Aber selbst das Verfahren hat theoretisch Lücken, falls per "Man in the Middle"-Angriff eine zuvor angeforderte TAN abgefangen wird.

    Firkin Das sehen Banken aber anders; hier z.B. DKB: "

    Was ist TAN2go?

    Beim TAN2go-Verfahren erzeugen Sie TANs in der passwortgeschützten DKB-TAN2go-App auf Ihrem Smartphone oder Tablet. Ein weiteres Gerät ist nicht nötig. Wenn Sie einen TAN-pflichtigen Auftrag auslösen (z.B. eine Überweisung), wird in der DKB-TAN2go-App automatisch eine TAN generiert. Öffnen Sie die App und übertragen Sie die angezeigte TAN in Ihr Internet-Banking. Dies geschieht sogar automatisch, wenn Sie für Ihre TAN-pflichtigen Aufträge die DKB-Banking-App nutzen. Schneller geht es nicht." DKB-Homepage, Hervorhebung von mir.


    Ich gebe Dir aus technischer Sicht aber recht. Ich nutze die App meist zusammen mit dem PC.

    Mit Gewaltlosigkeit hat noch nie jemand etwas erreicht. (Montgomery Burns)

    Ich habe zwar keine Lösung, aber ich bewundere das Problem. Präsident der EZB. (Das Känguru)


    Zum Spieleblog


    Die Banken wissen, dass der Quatsch mit beiden Faktoren auf einem Endgerät unsicher ist. Ihnen ist die Bequemlichkeit der Kunden bloß wichtiger als Sicherheit. Wenn man es sicher will, kommt man zum ein zweites Medium nicht herum.

    Ich nutze Apps auf dem Smartphone nur für die Zustellung der Push-TAN, aber das Banking selbst mache ich nicht mobil, sondern nur auf dem Computer.

    Zitat von Gerrit

    Das sehen Banken aber anders; hier z.B. DKB:

    1) Ist doch klar, dass eine Bank das anders kommuniziert.

    2) Ich sehe im von dir zitierten Text keine Aussage über die den Grad der Sicherheit, alles auf einem Gerät zu machen. Insofern sieht die Bank das also offenbar nicht mal anders. Die schreiben nur, dass es auf einem Gerät möglich und schnell ist, aber eben nichts zur Sicherheit - aus gutem Grund.

    André Zottmann / Thygra Spiele - u. a. viel für Pegasus Spiele tätig
    Ich gebe hier generell immer meine eigene, ganz persönliche Meinung von mir.

    Einmal editiert, zuletzt von Thygra ()

    Da werde ich wohl wieder auf das alte System umsteigen "Banking am PC und Tan über Smartphone"...ging vorher ja auch.


    Hab sogar eine Kollegin die macht Überweisungen nur mittels Papier-Überweisungsträger...hat selbst Jahre in der Bank gearbeitet...wenn man fragt warum, sagt sie aber nichts..

    Die glücklichen Zeiten der Menschheit sind die leeren Blätter im Buch der Geschichte.

    Hihi 1

    Gerrit

    Hier aber auch mal aus der FAQ der DKB:

    "Dennoch besteht bei Verwendung der DKB-Banking-App und der DKB-TAN2go-App auf einem Endgerät ein Restrisiko, wenn das Endgerät durch Schadsoftware kompromittiert ist. In diesem Fall kann die Vertraulichkeit der Zugänge zur DKB-Banking-App und zur DKB-TAN2go-App gefährdet sein."


    Es wäre mal interessant zu sehen, wie das dann in einem Schadensfall gehandhabt würde, also wer für den Schaden aufkommen muss. Ist ja noch alles Theorie, da mir kein Präzedenzfall einfällt, aber das ist alles wohl eine Frage der Zeit, bis irgend jemand mal versucht, das auszunutzen. Im Zweifelsfall, wenn dir Fahrlässigkeit vorgeworfen werden kann (wenn du z.B. Software aus unseriösen Quellen installiert hast), bist du wahrscheinlich zumindest anteilig mit dran.

    Auch wenn ich mich wiederhole, guckt doch bitte zumindest weiter oben mal kurz in das von mir verlinkte Video rein (Showteil ab Minute 18), oder lest meinen Beitrag von weiter oben.


    Das ist nicht nur theoretisch ein Angriffsvektor, das wurde auch schon mal gezeigt, wie leicht das funktioniert und wie gut durchdacht die hardening Frameworks sind, die den Banken angedreht werden im Glauben das wäre total sicher..


    Klar, das war jetzt ein Einzelfall - aber alleine schon die Tatsache, daß fast alle großen deutschen Geldinstitute die (vermeintliche) Sicherheit bei der gleichen Firma einkaufen, hat mich stutzig gemacht. Es muss halt auch kosteneffizient sein, dazu gehört im Zweifel auch ein paar missbräuchliche Buchungen in Kauf zu nehmen.


    EDIT: Stelle gerade fest, ich habe auch das veraltete Video vom Talk zwei Jahre vorher verlinkt, es geht viel mehr auch um:

    [Externes Medium: https://www.youtube.com/watch?v=FByqA0Qry84]


    Erklärung der Technogie (Promon Shield) ab Minute ~6:00, die ganzen Banken sieht man gut bei Minute 8:18, Demo ab Minute ~21:30

    5 Mal editiert, zuletzt von messy ()

    Gefällt mir 1
    Zitat von Thygra

    ...

    2) Ich sehe im von dir zitierten Text keine Aussage über die den Grad der Sicherheit, alles auf einem Gerät zu machen. Insofern sieht die Bank das also offenbar nicht mal anders.

    Zur Sicherheit kann ich ja auch nichts sagen.


    Die Mitteilung, dass es auf einem Gerät grundsätzlich geht, spricht bereits Bände. Ansonsten wären hier bereits mehr Warnhinweise, als auf einer Zigarettenpackung.

    Firkin hat dankenswerterweise die Stelle zitiert, die ich zwar im Kopf hatte, aber nicht verlinkte. Es ist aber so, dass die Technik tatsächlich große Stücke auf die Verschlüssung hält. Wie gesagt, ich kann das nicht beurteilen.

    Mit Gewaltlosigkeit hat noch nie jemand etwas erreicht. (Montgomery Burns)

    Ich habe zwar keine Lösung, aber ich bewundere das Problem. Präsident der EZB. (Das Känguru)


    Zum Spieleblog


    Zitat von Beezle

    Ah, ok, das hatte ich falsch verstanden (ich hatte mich schon gefragt, welche Bank noch Listen ausgibt).

    Ich habe für die Ing-Diba noch eine TAN-Liste auf Papier im Einsatz. Das auch schon seit 10+ Jahren, was zeigt, wie häufig ich dort Aktionen durchführe. :)

    Letting your mind play is the best way to solve problems. (Bill Watterson)

    Bin auch immer mal in der FAIRPLAY zu lesen.

    naja die Firma heisst immer noch so nur der Markenauftritt ist ING ;)

    Crowdfunding (22): AT:O (2. Wave), HEL, Return to PA, USS Freedom, Darkest Dungeon, Primal, Green Hell, CoD: Apocalypse, Legend Academy, Ancient Blood, Agemonia, Bad Karmas, Nanolith, Tidal Blades 2