Zum Wochenende: 2FA beim eBanking

Wer es besonders sicher haben möchte, zahlt dafür. Lesezeit: 7 Minuten

Fr, 31. März 2023, Ralf Hersel

Habt ihr ein Bankkonto? Benutzt ihr für euren E-Banking-Zugang eine Zwei-Faktor-Authentisierung (2FA)? Die meisten werden mit Ja und Ja antworten. Der springende Punkt ist, wie ihr den zweiten Faktor bei eurer Bank abliefert. Falls ihr dafür einen Token-Generator (als eigenes Gerät) verwendet, seid ihr auf der sicheren Seite. Doch viele Banken bieten ein dediziertes Gerät für den zweiten Faktor nicht, oder nicht mehr an.

Wie war das noch einmal mit dem zweiten Faktor? Die Wikipedia definiert 2FA so:

Die Zwei-Faktor-Authentisierung (2FA), häufig auch Zwei-Faktor-Authentifizierung genannt, bezeichnet den Identitätsnachweis eines Nutzers mittels einer Kombination zweier unterschiedlicher und insbesondere unabhängiger Komponenten (Faktoren). Typische Beispiele sind Bankkarte und PIN beim Geldautomaten, Fingerabdruck und Zugangscode in Gebäuden, oder Passphrase und Transaktionsnummer (TAN) beim Online-Banking.

Dass es sich um zwei unterschiedliche Komponenten handeln muss, liegt auf der Hand, da man ansonsten nicht von einem zweiten Faktor sprechen kann. Wichtiger ist die Tatsache, dass es sich um unabhängige Komponenten handeln muss. Genau dort liegt der Hase im Pfeffer. Dabei geht es um Besitz, Wissen und Inhärenz (biometrische Charakteristika):

Besitz: ich habe den Faktor physisch in meiner Hand, z. B. einen Token-Generator oder Haustürschlüssel
Wissen: ich kenne ein Geheimnis, z. B. ein Passwort, eine PIN
Inhärenz: von lateinisch inhaerere ‚in etwas hängen‘, ‚an etwas haften‘, z. B. ein biometrisches Merkmal

Diese Faktoren sollen beim zweiten Faktor unabhängig vom ersten Faktor sein. Angenommen der erste Faktor ist kompromittiert (Haustürschlüssel verloren, Passwort geleakt, Fingerabdruck mit Klebestreifen gestohlen), dann sollten die Elemente des zweiten Faktors nicht dieselben, wie beim ersten Faktor sein. Idealerweise sollten auch die Übertragungskanäle unterschiedlich sein. Wenn beide Geräte (Notebook und Smartphone) am selben (kompromittierten) WLAN-Router hängen, ist das nicht ideal.

Da ich von diesem Thema wenig Ahnung, sondern nur Menschenverstand habe, überlasse ich die Information zu 2FA beim eBanking lieber einem Fachmann:

Der Sicherheitsforscher Mike Kuketz schreibt dazu:

Erfolgt die Überweisung sowie die Freigabe auf demselben Gerät, wird das Prinzip der Zwei-Faktor-Authentifizierung (2FA) unterlaufen bzw. gefährlich abgeschwächt. Der Sicherheitsgewinn beim Online-Banking wird ja gerade dadurch erreicht, dass man zwei voneinander getrennte Geräte (Faktoren) benutzt, weil einer der beiden Faktoren grundsätzlich als kompromittiert angesehen werden kann. Es ist also immer sicherer, zwei Geräte zu nutzen, um eine Überweisung zu legitimieren.

und:

Zu den sicheren TAN-Verfahren zählt bspw. chipTAN, bei dem die Bankkarte in einen externen TAN-Generator gesteckt wird, der anschliessend eine TAN generiert, die nur wenige Minuten für den aktuellen Auftrag gültig ist. Der Überweisungsvorgang wird dabei auf dem mobilen Endgerät eingeleitet – die Legitimierung erfolgt im Anschluss allerdings nicht direkt auf dem Gerät selbst, sondern über den externen TAN-Generator. Obwohl der Sicherheitsvorteil dieser Variante unbestreitbar ist, bewerben Banken weiterhin (App-)Lösungen, bei denen sowohl die Überweisung als auch die Legitimierung über dasselbe Gerät erfolgt.

Einen Überblick über die unterschiedlichen 2FA-Verfahren habe ich hier gefunden.

Das eigentliche Thema dieses Artikels ist jedoch nicht 2FA, sondern welche Möglichkeiten einem das Bankinstitut einräumt, bzw. wegnimmt. Wie ihr wisst, haben wir neulich das Konto von GNU/Linux.ch gewechselt. Bei dieser Bank (und vielen anderen) ist das Standardverfahren für den zweiten Faktor die Smartphone-App Airlock 2FA, die von einem Drittanbieter stammt. Andere Banken verwenden ihre eigenen 2FA-Apps, wie z. B. die UBS Access App.

In den meisten Fällen bieten die Banken alternative 2FA-Verfahren an. So schreibt die GNU/Linux.ch-Bank:

Sie besitzen kein Smartphone oder Tablet? Dann können Sie bei uns via Kundendienst E-Banking ein Hardware-Token bestellen. Die Kosten dafür betragen CHF 78.- (inkl. MWST).

Abgesehen von den unverschämten 78 Franken für einen "Plastiktaschenrechner", gibt es wenigstens eine Alternative, die sogar sicherer ist (siehe oben) als die Smartphone-App. Wer aus Bequemlichkeitsgründen dennoch die App verwenden möchte, kann sich über zwei Punkte ärgern:

Wer weder Android noch iOS verwendet, bzw. ein entgoogeltes Smartphone hat, muss draussen bleiben, weil es (zumindest) die oben genannten Apps nicht in alternativen Software-Stores (F-Droid) gibt. Sucht man dort nach dem Stichwort 2FA, findet man lediglich eine Handvoll allgemeiner Apps für TOTP (Time-based One-time Passwords).
Das bedeutet auch, dass man für jede Bank eine zusätzliche App installieren muss, obwohl im Grunde alle dasselbe machen. Aus Kundensicht wäre es angenehmer, nur eine generische 2FA-App verwenden zu können.

Aus Sicht der Banken liegen die Gründe auf der Hand, warum bevorzugt auf die 2FA-Apps gesetzt wird. Alternative 2FA-Verfahren bedeuten einen zusätzlichen Aufwand und damit Kosten. Zudem bieten eigene 2FA-Apps die Möglichkeit des Brandings und erhöhen die Kundenbindung. Es gibt sogar Banken, wie N26 oder Yuh, die die 2FA-Funktionalität in ihre eBanking-Apps integrieren, was ich dann nicht mehr 2FA nennen würde.

Es ist wünschenswert, wenn sich 2FA als Standard etablierte und sich dafür von den Banken unabhängige und generische Apps durchsetzen würden.

Quellen:

https://de.wikipedia.org/wiki/Zwei-Faktor-Authentisierung
https://www.kuketz-blog.de/android-ios-sicheres-mobile-banking-am-smartphone/
https://www.kuketz-blog.de/wie-banken-online-banking-durch-apps-unsicher-machen/
https://www.kuketz-blog.de/wenn-euch-eure-bank-mal-wieder-erzaehlt-mobiletan-sei-sicher/
https://www.airlock.com/secure-access-hub/komponenten/2-faktor-authentifizierung-2fa/vergleich-von-2fa-methoden