Mobile Banking Sicherheit Gefahr durch SmartphoneTrojaner: Sicherheit sicher ChipTAN BestSign USB+Display Photo-TAN/auton. Gerät geringes Risiko Unabhörbarer 2. Faktor, aber Man-in-the-Middle Angriff ist möglich NFC-TAN SE-TAN mit Passwort Risiko App-TAN mit Passwort hohes Risiko unsicher Unabhörbarer 2. Faktor und sichere Visualisierung Display-TAN SE-TAN ohne Passwort App-TAN ohne Passwort Abhörbarer 2. Faktor 2. Faktor schwach und missbrauchbar (SMS-TAN) iTAN sehr unsicher Unabhörbarer 2. Faktor, aber heimlicher Missbrauch-Angriff ist möglich (nur PIN) Kein 2. Faktor Usability NFC-TAN: wie Display-TAN, aber ohne Display auf der Karte App-TAN: Bank-Credential liegt im Speicher des Smartphones, Beispiele: PushTAN, Photo-TAN/App, BestSignMobil SE-TAN: wie App-TAN, aber Bank-Credential wird auf Secure Element (SE) gespeichert und verarbeitet, z.B. SIM-Karte oder Hardware-Keychain. Wenn eine Bank-App die iPhone KeyChain nutzt, dann könnte man die iOS App als SE-TAN bezeichnen. ● ● ● ● ● Die Sicherheitsbewertungen beziehen sich in erster Linie auf die Gefahr von Smartphone-Trojanern. Zu den Smartphone-Trojanern werden auch „fake apps“ gezählt, d.h., betrügerische Smartphone Apps, die so aussehen wie die Bank-App und die dem Bankkunden untergejubelt werden – vielleicht die größte Gefahr, weil es technisch einfach ist. Alle genannten Verfahren verwenden einen zusätzlichen, aber durch Smartphone-Trojaner abhörbaren Faktor Wissen. Die in Klammern (...) gesetzten Verfahren werden in Deutschland aus Sicherheitsgründen nicht für Mobile Banking eingesetzt. Auch auf die oben als sicher eingeschätzen Verfahren gibt es Angriffe („Social Engineering“, Man-in-the-Middle mit erwarteter Unaufmerksamkeit des Benutzers). Aber bei diesen Verfahren - und nur bei diesen - kann die Bank bei einem Betrugsfall sicher sein, dass der Kunde einen grob fahrlässigen Fehler gemacht hat, und kann deshalb Schadensersatz verweigern. B. Borchert, 2.6.2015, www.display-tan.com