Artikel mit Tag sms

Warum ich schliesslich doch WhatsApp nutze

WhatsApp-Logo

Lange Zeit habe ich mich gesträubt und dagegen gewehrt, WhatsApp zu nutzen. Jetzt habe ich den Widerstand aufgegeben und auf meinem Smartphone WhatsApp installiert. Und hier sind die Gründe dafür:

Warum wollte ich WhatsApp nicht nutzen?

Als BlackBerry-Nutzer nutze ich schon immer den BlackBerry-Messenger, und versuche immer, andere zur Nutzung dieser App zu bewegen, zumal sie auch für alle gängigen Plattformen (BlackBerry, iPhone, Android, Windowsphone) zur Verfügung steht. WhatsApp ist schon immer verschriehen, nicht besonders sicher zu sein. Die Verschlüsselung und der Datenschutz sind fragwürdig und die ein oder andere Sicherheitslücke wurde bereits gefunden.

Jeder, der meine Handynummer hat, kann mich automatisch über WhatsApp anschreiben. Bei anderen Messengern - wie auch beim BBM - muss man sich erst über eine wie auch immer geartete ID verknüpfen. Ich kann mir also meine Chatpartner gewissermaßen aussuchen.

Und überhaupt hat der BBM viel bessere Funktionen bei den Gruppenchats und andere Vorzüge, die ich nicht missen möchte.

Das ganze hat nur einen Haken: Es gibt zu wenige, die BBM nutzen und fast alle nutzen WhatsApp.

Warum ich WA jetzt doch installiert habe

Selbst bei kleinen Gruppen, mit denen ich kommunizieren möchte, hat es nicht funktioniert, alle zur Installation von BBM zu bewegen. Und es ist dann immer ziemlich umständlich, alle zu kontaktieren oder auch mal innerhalb einer Gruppe etwas abzusprechen. Natürlich funktioniert SMS noch immer, aber das ist nicht wirklich komfortabel und nicht jeder hat eine SMS Flatrate und somit entstehen beim Senden von SMS unter Umständen Kosten.

Wenn ich Facebook nutze, habe ich nicht wirklich einen Vorteil gegenüber WhatsApp. Und dann kommt es natürlich immer wieder vor, dass es in Klassen oder anderen Gruppen unserer Kinder eine WhatsApp-Gruppe gibt. Wenn man da mitmischen möchte und nichts verpassen dann hat man also fast keine andere Wahl, als den Messenger mit dem grünen Logo zu nutzen.

Wie gehe ich mit den Datenschutz und Sicherheitsbedenken um?

Ich nutze soziale Netzwerke wie Twitter und Facebook, gebe also ohnehin Daten von mir in die Hände von Diensten, die von eben diesen Daten leben müssen. Da WhatsApp ja von Facebook gekauft wurde, wäre es nich logisch, Facebook zu nutzen aber gleichzeitig WhatsApp aus Datenschutzgründen nicht zu nutzen. Bei der Verschlüsselung ist WhatsApp auf gar keinem so schlechten Weg, indem es schrittweise die Ende-zu-Ende Verschlüsselung einführt. Man muss sich eben bei der Nutzung im Klaren sein, dass momentan die Daten auf dem Server des Anbieters durchaus mitgelesen oder anderweitig gespeichert oder weitergegeben werden können. Aber das ist selbst beim BBM der Fall, sofern man nicht die Variante für Geschäftskunden mit eigenem BlackBerry-Server nutzt.

Fazit

Der WhatsApp Messenger ist genial einfach und unkompliziert zu bedienen. Der Kniff, den Kontakt über die Handynummer herzustellen, so dass ich alle Bekannten, von denen ich diese Nummer ohnehin im Adressbuch habe, sofort erreichen kann, wenn diese WhatsApp auch nutzen, sind ein unschlagbarer Vorteil für viele Nutzer, war für mich als BBM Nutzer aber immer eher abschreckend (siehe oben).

Ich nutze WhatsApp also jetzt auch, präferiere aber weiterhin den BBM, da ich viele seiner Funktionen sehr zu schätzen weiss. Wer es etwas genauer wissen will, kann sich meine kleine Artikelserie dazu auf dem Blog der BlackBerry-User-Group Kassel anschauen. Welche und wieviel private Daten und Informationen in einem Messenger preisgibt (egal welchem), sollte jeder für sich entscheiden und dabei immer im Hinterkopf haben, wer was mit diesen Daten anfangen könnte.

Ich werde mal beobachten, wie sich der Messenger so nutzen lässt und bei Neuigkeiten oder anderen Erkenntnissen natürlich hier im Blog berichten.

Ein sicheres Gefühl

Ein Werbespot der Berliner Sparkasse. OK, so kann man das mit der SMS-TAN natürlich auch erklären. Das ist zwar ganz lustig, aber ob das bei einem sensiblen Thema (ups, ist jetzt auch doppeldeutig) das richtige Stilmittel ist, wage ich mal zu bezweifeln.

Gute Kommunikation oder eher ein Tritt ins Fettnäpfchen?

(via)

Onlinebanking Sicherungsverfahren: SMS-TAN

Nachdem ich mich ja Anfang diesen Jahres vom iTAN-Bogen verabschiedet habe, möchte ich in dieser kleinen Artikelserie mal die verschiedenen Alternativern bei den Sicherungsverfahren beim Onlinebanking vorstellen und Beleuchten. Hierbei werde ich auf die Funktion, die Vor- und Nachteile und auf die Einsatzmöglichkeiten eingehen. Beginnen werde ich mit dem SMS-TAN-Verfahren. Also los.

Funktionsweise

Beim SMS-TAN-Verfahren registriert der Bankkunde zunächst eine Handynummer für seine Onlinebanking-Kennung. Der grundsätzliche Zugang zum Banking erfolgt über eine PIN-Nummer. Führt der Kunde eine Transaktion aus - zum Beispiel eine Überweisung - sendet die Banking-Anwendung die Daten der Transaktion an das Bankrechenzentrum. Dort wird aus den Eckdaten der Transaktion eine TAN errechnet, die nur für diese Transaktionsdaten und nur für eine kurze Zeitspanne gültig ist. Das Bank-RZ sendet nun eine SMS mit den Eckdaten (Empfängerkontonummer und Betrag) und der TAN an die vom Kunden registrierte Handynummer, der Kunde prüft die Richtigkeit der Eckdaten und führt die Transaktion mit der erhaltenen TAN aus.

Sicherheit

Dadurch, dass das Verfahren zwei unabhängige Kommunikationswege nutzt, sind bei richtiger Anwendung (Prüfen der Eckdaten in der SMS) manipulierende Angriffe - etwa durch Man-In-The-Middle-Attacken - nahezu unmöglich. Auch Phishing macht bei diesem Verfahren keinen Sinn, da eine abgefischte TAN für den Phisher nicht nutzbar ist.

Eine Angriffsmöglichkeit zeigte im Oktober der Banking-Trojaner ZeusS auf. Voraussetzung für einen erfolgreichen Angriff ist neben dem Knacken des Onlinebanking-Zugangs auch die Installation der Trojanersoftware auf dem zugehörigen Handy. Der Aufwand hierfür ist momentan noch nicht lohnend, so dass ein solcher Trojaner "in the wild" noch nicht gesichtet wurde. Insofern bietet das  Verfahren einen hohen Sicherheitsgrad.

Kosten

Während einige Banken die SMS-TAN ohne Zusatzkosten anbieten, berechnen andere entweder geringe Monatspauschalen oder auch geringe Beträge pro SMS. Hier muss man sich bei seinem Kreditinstitut über die jeweiligen Preise informieren.

Einsatzmöglichkeiten

Die SMS-TAN ist ein sehr flexibles Verfahren. Ein Mobiltelefon und einen Standort mit Netzversorgung vorausgesetzt, kann man von überall Onlinebanking-Transaktionen vornehmen. Das Mitführen von Zusatzhardware oder TAN-Listen ist nicht notwendig.

Nicht nutzbar ist das Verfahren mit Smartphone-Anwendungen, da aufgrund des nicht vorhandenen zweiten Kommunikationsweges (Anwendung und SMS auf dem gleichen Gerät) die Sicherheit nicht gewährleistet ist.

Fazit

Das SMS-TAN-Verfahren ist flexibel und kostengünstig und bei korrekter Anwendung sehr sicher. Ich denke, dass dieses Verfahren der Standard für die meisten Benutzer in den nächsten Monaten werden wird.

Gern könnt ihr noch Ergänzungen oder eigene Erfahrungen (vielleicht auch Preise bei eurem Kreditinstitut) in den Kommentaren beisteuern. 

Im nächsten Teil der Serie nehme ich mir dann das ChipTAN-Verfahren mit TAN-Generator vor. 

Tschüss, TAN-Bogen

In diesem Jahr werden sich viele von uns wohl von einem jahrelangen Begleiter beim Onlinebanking mit ihrem Kreditinstitut verabschieden müssen. Seit Beginn des "Homebankings" hat er Millionen Benutzern zur Autorisierung ihrer Zahlungen gedient. Die Rede ist vom guten alten (i)Tan-Bogen. Nach dem langen Wettrüsten zwischen Finanzdienstleistern und Online-Betrügern hat er nun den Krieg verloren. 

In 2011 werden wohl so ziemlich alle Kreditinstitute den Tan-Bogen als Sicherheitsmedium beim Onlinebanking abschaffen und auf Sicherheitsmedien mit zwei Kommunikationswegen umsteigen. Ein Grund, einen kurzen Rückblick auf seine Geschichte zu halten.

Am Anfang war die TAN

In den Anfangszeiten des Onlinebanking waren eine PIN, die den Zugang sicherte und eine Transaktionsnummer (TAN), die die einzelnen Transaktionen sicherte und nur einmal verwendbar war, ein ausreichender Sicherheitsmechanismus. Der Kunde bekam einen Bogen mit einer größeren Anzahl von 6-stelligen Nummern, die er in beliebiger Reihenfolge benutzen konnte.

Ein guter Fang

Nach einiger Zeit kamen merkwürdige Mails massenweise bei den Kunden an. In schlechtem Deutsch und mit massenhaft Rechtschreibfehlern schrieb "die Bank", dass der Kunde sich doch bitte aus Sicherheitsgründen neu autorisieren müsse und auf der im Link angegebenen Adresse doch PIN und eine oder mehrere TANs eingeben möge. Die sogenannte Phishing-Mails hatten das Licht der Welt erblickt. Anfangs mit hohen Erfolgsraten, denn unverständlicherweise fielen mehr Kunden auf die offensichtlichen Fälschungen herein, als man denken würde. Nach einiger Zeit konnte die Kunden soweit sensibilisiert werden, dass Phishing per Mail heutzutage kaum noch eine Rolle spielt.

Trojaner und ihre Pferde

Da die Phishing-Mails nicht mehr richtig funktionierten, setzten die Betrüger zunehmend auf Schadsoftware, die die Webseiten der Banken im Browser manipulierte und so Masken mit Abfragen von einer oder mehreren TAN-Nummern generierten. Das Konzept, das eine TAN für jede beliebige Transaktion verwendet werden konnte, hatte ausgedient.

Auf den Index

Abhilfe schafften die sogenannten indizierten TAN-Bögen. Die TANs auf den Bögen wurden numeriert und bei einer Transaktion wurde jeweils eine bestimmte TAN angefordert. Somit können abgephishte TANs nicht mehr ohne weiteres für eine beliebige Transaktion genutzt werden. Zusätzliche Sicherheit liefern bei einigen Instituten noch grafische Kontrollbilder, die die Transaktionsdaten und das Geburtsdatum des Kunden grafisch bei der Abfrage der TAN im Hintergrund darstellen. Es hat einige Zeit gedauert, bis die ersten Trojaner diese Klippen umschifft hatten. Die heutigen Schadprogramme sind allerdings in der Lage, den Datenstrom zum Kreditinstitut zu manipulieren und im Hintergrund andere Daten zur Bank zu senden, als dem Kunden im Browser dargestellt werden. Da der Kunde fast keine Möglichkeit hat, einen im Hintergrund werkelnden Trojaner zu erkennen, mussten neue Verfahren entwickelt werden, die sich nicht allein auf einen Kommunikationsweg für die Autorisierung einer Transaktion verlassen.

Nimm Zwei

Zwei Verfahren haben sich inzwischen etabliert. Zum einen die SMS-TAN oder MobileTAN. Hierbei wird aus den Transaktionsdaten eine Einmal-TAN errechnet, die dann zusammen mit den Eckdaten der Überweisung (Kontonummer, Bankleitzahl, Betrag) an eine vom Kunden festgelegte Mobiltelefonnummer per SMS gesendet wird. Somit sind Manipulationen am Datenstrom vom Kunden sofort zu erkennen und Phishing macht auch keinen Sinn, da eine TAN nur für die bestimmte Transaktion und für einen sehr kurzen Zeitraum gültig ist.

Das zweite Verfahren ist ein optischer TAN-Generator, der in Verbindung mit der Chipkarte des Kunden und den Eckdaten der Transaktion eine TAN errechnet. Die Daten könne entweder über die Tastatur des Generators eingegeben werden oder über einen sogenannten "Flickercode" vom Leser direkt vom Bildschirm abgelesen werden. Auch bei diesem Verfahren ist durch den zweiten Kommunikationsweg (Eintippen oder physisches Ablesen des Codes vom Bildschirm) eine Manipulation praktisch ausgeschlossen.

Und sie lebten sicher bis...?

Dieser kurze Rückblick zeigt seht gut den ständigen Wettlauf zwischen getroffenen Sicherheitsmaßnahmen und den Versuchen, diese auszuhebeln und zu umgehen. Die ersten Trojaner, die mit einigem Aufwand das Handy manipulieren, welches die TAN-SMS des Kunden empfängt, sind bereits entwickelt. So wird es auch in Zukunft kein Verfahren geben, das für immer zu 100 Prozent sicher sein wird. Es bleibt, als Nutzer von Onlinebanking-Diensten aktuell informiert zu bleiben, Entwicklungsschritte zu neuen sicheren Verfahren schnell mitzumachen und vor allem ein gesundes Mißtrauen zu bewahren, wenn man sich auf dem sensiblen Gebiet der Finanzwelt online bewegt.

In diesem Sinne: Tschüss TAN-Bogen