Online-Banking und chipTAN

Die HASPA stellt iTAN Ende März ein. Man ist ab dann auf chipTAN und smsTAN verwiesen, wenn man Online-Banking betreiben will. Einer TAN, die (wie im smsTAN-Verfahren) via Handy übermittelt wird, traue ich keine Sekunde – es gibt viel zu viele Wege, um Telefonverkehr abzuhören; ich muß keine Verschwörungstheorien bemühen, um mich zu weigern, sensible Daten auf diesem Weg zu übermitteln bzw. entgegen zu nehmen.

Der Weg über chipTAN sieht auf den ersten Blick besser aus, ist es aber auch nur dann, nämlich auf den ersten Blick:

Bei chipTAN comfort erzeugt ein spezielles Gerät die TAN für eine Transaktion.[…]

Zumindest bei der Sparkasse lässt sich das Verfahren in Zusammenhang mit Sammelüberweisungen per Man-in-the-Middle-Attacke aushebeln. In einer Sammelüberweisung kann der Kunde einzelne Überweisungen zusammenfassen und mit einer einzigen TAN legitimieren. […] Ein Trojaner könnte beispielsweise die vom Kunden abgeschickten Daten im Browser abfangen und durch eigene Austauschen, sodass zwar die Summe und die Zahl der Überweisungen gleich, die Zielkonten aber andere sind.

Aber auch Einzelüberweisungen ließen sich auf diesem Wege manipulieren, wenn der Kunde nicht aufpasst. Dazu fängt ein Trojaner die Einzelüberweisung einfach ab und wandelt sie in eine Sammelüberweisung mit nur einer Überweisung um und schickt sie an die Bank. […]

(Heise Security)

Die einzige Alternative ist dann, Überweisungen in den Briefkasten der HASPA zu werfen – und darauf zu hoffen, daß niemand spät nachts in die Filiale einbricht, und die Formulare händisch, mit einem Kugelschreiber, manipuliert.

Mit anderen Worten (und das ist nur ein halber Scherz): vielleicht sollte man sein Geld in Gold tauschen, und das dann unter dem Kopfkissen verstecken. Noch schlechter als mit diesem Klotz unter dem Kopf kann man schwerlich schlafen.