Grau ist alle Theorie. SMS ist ein zweiter, aber schlecht geschützter Kanal.
Bei den SMS gibg es gleich mehrere Angriffswege und es sind schon gut gefüllte Konten leergeräumt worden:
- Betrüger konnten schon Nummern portieren durch lasche Kontrollen der Netzbetreiber.
- Betrüger haben sich schon erfolgreich Zweit-/Ersatz SIM Karten angefordert durch lasche Kontrollen bei den Netzbetreibern.
- Apps auf dem Smartphone können SMS auslesen. Ja, der Benutzer muss die Berechtigung abnicken. Aber da gängige Apps wie WhatsApp oder Facebook Messenger nach dieser Berechtigung fragen, dürfte das kein so grosses Hinderniss mehr sein.
- Insbesondere die GSM Netze sind in ihrer Verschlüsseldung sehr schwach. Ein Abhören der SMS "in der Luft" ist heute realistisch. Im Ausland soll es nochimmer GSM Netze sogar ganz ohne Verschlüsselung geben. Nur sehr alte Geräte zeigen dann einen Warnhinweis. Dank an die Mobilfunkanbieter, dass sie das bei den Geräteherstellern durchgesetzt haben.
- Solange es eingeschaltet ist, wäre auch der Diebstahl des Handies denkbar. Es ist relativ einfach, die SIM Karte so aus dem Gerät zu extrahieren, dass die Stromversorgung nicht unterbrochen wird. Dann wird die PIN nicht benötigt. Eine Bildschirmsperre auf dem Gerät nützt dagegen nichts.
Die Sicherheit der PushTAN hängt vor allem davon ab, ob der Benutzer für Banking und TAN das gleiche Smartphone benutzt. Ein PC übers heimische Internet und ein Smartphone über das Mobilfunknetz wären gut getrennte Systeme und andere Apps können nicht die PushTAN auslesen, wenn das Gerät nicht gerootet o.Ä. ist. Beim Diebstahl des Gerätes wäre noch ein Passwort der PushTAN App "davor" und eine Ersatz SIM nützt nichts.
Aus Bequemlichkeit beides über das gleiche Gerät machen ist natürlich Mist. Das sollten die Banken (so weit wie möglich) auch ausschliessen. Man könnte den Zugang mit mobilen Browsern oder Smartphone Apps ja nur Kunden erlauben, die einen separaten TAN Generator verwenden. Leider ist die Wirklichkeit anders.
Die Sicherheit der SMS oder Chip-TAN rührt daher dass die Daten 2 unterschiedliche Wege gehen, die beide vom Hacker übernommen werden müssen. (...)
ja je nach Bank gibt ist trotz verschiedenster Sicherheitsmaßnahmen kaum die Sicherheit von SMS und ChipTAN erreichbar.