Das Online-Banking befindet sich im Wandel. Im ersten Teil dieser Serie haben wir uns bereits mit den Veränderungen bei der Postbank beschäftigt. Nun werfen wir einen Blick auf die Entscheidung der Volks- und Raiffeisenbanken, das unsichere SMS-TAN-Verfahren am 30. September 2022 einzustellen. Anstelle dessen sollen Kunden die TAN-App VR Secure Go nutzen. In diesem Artikel beleuchten wir diese Entwicklung genauer.
Ein Ende für die SMS-TAN bei den Volksbanken
Die Kunden der Volks- und Raiffeisenbanken sollten bereits informiert worden sein: Ab dem 30. September 2022 wird die SMS-TAN als Legitimationsverfahren für das Online-Banking nicht mehr zur Verfügung stehen. Ursprünglich sollte dieser Termin bereits früher stattfinden, wurde jedoch aufgrund von Problemen bei der Umstellung verschoben.
Sicherere Transaktionen mit VR Securego plus
Um Transaktionen wie Überweisungen abzusichern, setzen die Volks- und Raiffeisenbanken zukünftig auf das VR Securego plus-Verfahren der Atruvia AG, dem IT-Dienstleister der Banken. Kunden benötigen dafür die kostenlose VR-SecureGo-App, die im Google Play Store erhältlich ist.
Die App wurde bereits über eine Million Mal heruntergeladen. Allerdings fiel mir auf, dass sie im Google Play Store nur eine Sternbewertung hat. Offenbar gibt es Kompatibilitätsprobleme, wie einige Kommentare vermuten lassen.
Vom unsicheren SMS-TAN zum unsicheren VR-SecureGo?
Die Entscheidung, das SMS-TAN-Verfahren einzustellen, halte ich persönlich für sinnvoll. Denn schon lange gilt dieses Verfahren als unsicher, da SMS leicht auf andere Handys umgeleitet werden können. Bereits 2015 habe ich in einem Artikel konkrete Fälle von Betrug mit mTANs (mobile TANs) erwähnt, bei denen Konten geplündert wurden.
Nun versucht man den betroffenen Kunden das VR Securego plus-Verfahren schmackhaft zu machen. Auf der entsprechenden Internetseite werden die Vorteile der VR SecureGo plus-App aufgelistet. Klingt alles super für den unbedarften Kunden: Sichere und bequeme Authentifizierung per Smartphone, eine App für Online-Banking-Transaktionen und Kreditkartenzahlungen, einfache Aktivierung per QR-Code und die Nutzung auf bis zu drei Geräten. Klingt nach einem Paradies, oder?
Mein persönliches Problem ist jedoch die Sicherheit dieses Ansatzes. Schließlich handelt es sich dabei um eine App auf einem potenziell unsicheren Android-Smartphone, die sowohl Zahlungsaufträge als auch die Authentifizierung für diese Transaktionen erledigen soll. Wenn das Smartphone in fremde Hände gerät und Dritte Zugang zu den Daten haben, können beliebige Transaktionen durchgeführt werden. Eine EC- oder Debit-Karte zur Nachweis der Berechtigung ist nicht erforderlich und nicht möglich.
Natürlich habe ich nicht alle Details zur Sicherheit dieses Ansatzes durchdacht und weiß auch nicht, wie die App den Aktivierungscode speichert. Aber mein Bauchgefühl lässt mich zweifeln, ob die App möglicherweise auf einem infizierten Gerät ausgespäht werden könnte. Mir gibt dieser Ansatz jedenfalls kein gutes Gefühl.
Was sagt die Plattform Exodus?
Ich habe die App kurz bei der Plattform Exodus überprüfen lassen. Dort wurden keine Google-Analytics-Tracker gefunden, was positiv zu bewerten ist. Es wurden jedoch zwei Tracker von VR-SecureGo gemeldet, die vermutlich von der Atruvia AG stammen. Über ihre genaue Funktion ist mir nichts bekannt.
Abschließende Gedanken
Alles in allem würde ich als Kunde der Volks- und Raiffeisenbanken nicht gerade begeistert sein, wenn man mir die VR-SecureGo plus-App aufdrückt. Es mag zwar “modern und bequem” klingen, aber mein Bauchgefühl sagt mir “Digitalisierung geht vor, Bedenken kommen danach”. Wenn beide Faktoren einer Transaktion und Authentifizierung (durch eine auf dem Smartphone gespeicherte ID) auf einem Gerät abgewickelt werden, erhöht das die Risiken. Ob dies am Ende des Tages relevant wird, kann ich nicht beurteilen. Als Kunde fühle ich mich in einem solchen Fall gegenüber der Bank zunächst benachteiligt und müsste beweisen, dass mich keine Schuld trifft.
Persönlich arbeite ich seit vielen Jahren mit dem chipTAN-Verfahren, bei dem Transaktionsnummern mit einem eigenen Leser generiert werden, der nur funktioniert, wenn die EC- oder Debit-Karte eingesteckt ist. Ohne meine Karte kann niemand TANs erzeugen.
Meiner Meinung nach sollte geprüft werden, ob nicht eine Authentifizierung der Transaktionen beim Online-Banking per chipTAN QR oder photoTAN (mit separatem Leser) erfolgen kann. Hier wird ein separates Lesegerät samt EC-, Bank- oder Debit-Karte zur Authentifizierung benötigt, was die Sicherheit deutlich erhöht.
Ein Ausblick auf kommende Änderungen
Damit möchte ich diesen Sachverhalt abschließen und einen Blick auf die nächste Änderung beim Online-Banking für Bankkunden werfen. Sowohl die Volksbanken als auch die Sparkassen werden das chipTAN-Verfahren (mit Flicker-Code) einstellen. Bei den Volks- und Raiffeisenbanken wird dies voraussichtlich bereits am 1. September 2022 geschehen, bei den Sparkassen hängt es vom Kartenwechsel ab.
Meine Sparkasse ersetzt das chipTAN-Verfahren durch chipTAN QR oder photoTAN. Für beide Verfahren gibt es separate Lesegeräte, die eine Bankkarte (EC- oder Debit-Karte) lesen können. Die Banken bieten jedoch auch eine App an, die alle Funktionen übernimmt. Im nächsten Teil dieser Serie werden wir uns mit dieser Thematik genauer auseinandersetzen.
Artikelreihe
- Postbank: App und/oder SealOne statt chipTAN – Teil 1
- Volks- und Raiffeisenbanken stellen SMS-TAN-Verfahren zum 30.9.2022 ein – Teil 2
- Sparkassen und Volksbanken: Ende des [alten] chipTAN-Verfahrens – Teil 3
- Online-Banking und Apps: Was die Kunden wünschen – Teil 4
- Online-Banking und die Sicherheit von Banking-Apps – Teil 5
- Online-Banking und Absicherung per chipTAN USB – Teil 6
Ähnliche Artikel
- Gehärteter Online-Banking-Browser S-Protect, ein Totalausfall?
- Nachlese: Gehärteter Online-Banking-Browser S-Protect, neue Version, neue Erkenntnisse
- Der Edge Effizienzmodus verursacht Probleme beim Flicker-Code beim Onlinebanking mit TAN-Generator
- Festes SA SQL-Passwort bei windata 9-Banking-Software
- DKB: Online-Banking im Firefox und Opera blockiert?
- Banking Startup Dave gehackt, Daten in Hackerforen
- Nächste Runde: FluBot-Banking-Malware (Mai 2022)
- Online-Banking: mTAN und Banking-Apps unsicher
