Zum Jahreswechsel haben einige Banken ältere TAN-Verfahren eingestellt, wie etwa die ausgedruckte TAN-Liste und glücklicherweise die unsichere Übermittlung per SMS.
Bereitgestellt werden nun einzelne Apps, in denen die Bankgeschäfte angeblich sicher über das Smartphone getätigt werden soll. Hierbei kann die gesamte Kontoverwaltung in einer einzigen App getätigt werden, andere sehen die Erzeugung der benötigten TAN in einer separaten App auf demselben Gerät vor.
Es muß davor gewarnt werden TAN auf demselben Gerät zu erzeugen, von dem aus die Bankgeschäfte getätigt werden. Dadurch wird der Sinn eines zweiten Faktors bei der Authentifizierung völlig ausgehebelt. Durch die Manipulation eines Smartphones könnten einem Angreifer so alle Mittel in die Hände fallen, um erfolgreich Überweisungen ohne Wissen des Kontoinhabers durchzuführen.
Zuletzt wurden auf dem Kongress des CCC im Jahr 2015 darauf hingewiesen, daß TAN-Verfahren auf dem Smartphone als inhärent unsicher angesehen werden.
- Auch der Bezug über die offiziellen App-Stores von Google und Apple schützen nicht vor Schadsoftware auf dem Smartphone.
- Die Manipulierbarkeit der bestehenden TAN-Apps wurde in einem Proof-of-Concept nachgewiesen.
Wir empfehlen daher einen chipTAN-Generator einzusetzen, der unabhängig von Ihrem Smartphone funktioniert. Die meisten Banken werden dies unterstützen, fragen Sie im Zweifelsfall dort nach!