ANZEIGE
Die DirectCard ist eine (verkrüppelte) Credit Card mit Abbuchung innerhalb 2 Tagen (statt am Monatsende). Die neue Karte ist sowohl für den Girocard- als auch den MasterCard-Teil eine Debitkarte, daher auch kein separates Limit.
Meine Bank - Eine Marke der Raiffeisenbank im Hochtaunus eG
- Starter*in netzfaul
- Datum Start
ANZEIGE
Sicherheitserwägungen - wenn ich schon die Banking-App auf dem Smartphone habe, möchte ich nicht auch noch den TAN-Generator auf dem selben Gerät benutzen. Und zu Hause am Rechner ist ChipTAN (in Verbindung mit einem USB-fähigen ReinerSCT) echt bequem, Girocard einstecken "OK" drücken und die TANs werden an die Bankingsoftware (z.B. Hibiscus) übertragen.
Surprise, Surprise: Es gibt keinen TAN-Generator auf dem Smartphone. Du gibst lediglich die gewünschte Transaktion (gesichert) frei. Und das sehr bequem ohne zusätzliche Hardware oder stecken von Karten.
Oh oh. Mit dieser Frage hast Du hier das Tor zur Hölle ganz weit aufgerissen…
Nun, ChipTAN hat gewisse Vorteile:
- da es ein separates, dediziertes Gerät verwendet, hat es praktisch keinerlei Kompatibilitätsanforderungen. Das äußerste, das schief gehen kann, sind leere Batterien und Hardwaredefekte (und da kann man vorsorgen)
- es ist hinsichtlich Sicherheitsniveau und Datenschutzniveau die beste Lösung, die angeboten wird (*):
- keinerlei Schnittstellen nach außen und extrem funktionsarmes Gerät, d.h. extrem geringe Angriffsfläche
- keine Nutzung von Diensten Dritter (z.B. Benachrichtigungsdiensten), daher auch kein Potenzial, dass Dritte dies aufzeichnen/auswerten usw.
(*) Disclaimer: es gibt ähnliche Verfahren, die dedizierte TAN-Hardware statt den Chip der Girocard verwenden - ich glaube z.B. bei der ING - die diesbezüglich dieselben Eigenschaften aufweisen. Nachteil ist hier, dass man pro Bank dann typischerweise ein separates Gerät benötigt; aber bzgl. Sicherheit und Datenschutz ist dieser Punkt erstmal unerheblich.
Ich erwähn's hier nur, weil Du explizit gefragt hast; die Frage ist auch nicht spezifisch für die RBHT.
Danke für den Hinweis (auch wenn ich nichts gewischt habe
). Etwas missverständlich ist es schon, wenn SMS nur unter "Ohne Onlinebanking" erwähnt wird.Danke für die ausführliche Erläuterung, macht Sinn. Und freut mich, dass ich helfen konnte.Nun, ChipTAN hat gewisse Vorteile:
- da es ein separates, dediziertes Gerät verwendet, hat es praktisch keinerlei Kompatibilitätsanforderungen. Das äußerste, das schief gehen kann, sind leere Batterien und Hardwaredefekte (und da kann man vorsorgen)
- es ist hinsichtlich Sicherheitsniveau und Datenschutzniveau die beste Lösung, die angeboten wird (*):
- keinerlei Schnittstellen nach außen und extrem funktionsarmes Gerät, d.h. extrem geringe Angriffsfläche
- keine Nutzung von Diensten Dritter (z.B. Benachrichtigungsdiensten), daher auch kein Potenzial, dass Dritte dies aufzeichnen/auswerten usw.
(*) Disclaimer: es gibt ähnliche Verfahren, die dedizierte TAN-Hardware statt den Chip der Girocard verwenden - ich glaube z.B. bei der ING - die diesbezüglich dieselben Eigenschaften aufweisen. Nachteil ist hier, dass man pro Bank dann typischerweise ein separates Gerät benötigt; aber bzgl. Sicherheit und Datenschutz ist dieser Punkt erstmal unerheblich.
Ich erwähn's hier nur, weil Du explizit gefragt hast; die Frage ist auch nicht spezifisch für die RBHT.
Danke für den Hinweis (auch wenn ich nichts gewischt habe
Ingrid kann es mittlerweile auch bestaetigen: nach 23h, Echtzeit von extern zum Giro und dann weiter per Echtzeit zum TG
Buchung am Folgetag, Wertstellung sofort.Klasse, wieder etwas Erleichterung, da kann man auch noch deutlich nach 'normalem' Buchungsschluss einen Ausgleich vornehmen
- hoffentlich bleibt das so, und es ist nicht nur ein temporaerer Fehler.Der Infotext bei Echtzeit beschreibt, dass es intern nicht noetig sei, da zu Geschaeftszeiten (genau da liegt ja das 'Problem'!) sofort gebucht werde. Jetzt geht's also rund um die Uhr *freu*!
Eingehend Echtzeit von extern aufs TG, und zwar ohne Zwischenschritt übers Giro, geht schon immer. Für mich stellt sich nur nie die Erfordernis, das TG nach Buchungsschluss "auszugleichen", Geld draufzuschieben schon.
Neu ist, dass man offensichtlich per SCT inst aufs RBHT-Giro überweisen kann, auf externe echtzeitfähige Referenzkonten geht das auch schon immer.
Neu ist, dass man offensichtlich per SCT inst aufs RBHT-Giro überweisen kann, auf externe echtzeitfähige Referenzkonten geht das auch schon immer.
Mittlerweile kannst du die Freischaltung auch selber machen, ohne den Kundenservice zu blockieren:
Rechts oben auf eigenen Namen klicken ->
Datenschutz und Sicherheit ->
Tanverwaltung
Zuletzt bearbeitet:
"Bequem" ist leider das einzige zutreffende Attribut von TAN-Generatoren oder meinetwegen auch Freigabe-Apps auf (demselben) Smartphone. Besonders wenn solche Apps in der Bezeichnung "secure" tragen, sollte man misstrauisch sein. Im Falle von Atruvia und deren "VR SecureGo Plus" hatte ich mal detailiert nachgefragt, was denn bei der "Freigabe" einer Transaktion gespeichert wird: Angeblich nur eine Geräte-ID, aber keine IP-Adresse, Smartphonebezeichnung oder Standort. Wenn also diese tolle App unbemerkt geklont wird (oder per Gerätewechsel auf ein anderes Gerät übertragen wird), dann hat man als Kunde keine Chance nachzuweisen, dass man eine bestimmte Transaktion nicht freigegeben hat.
Die VR-SecureGo Plus App hat übrigens zwei Betriebsarten: In der ersten gibt man eine mit der VR-Banking (auf demselben) Gerät initiierte Transaktion frei und im zweiten (weniger bekannten) Modus wird eine via API (z.B. von einer Bankingsoftware auf dem PC) angeforderte TAN angezeigt, die man dann natürlich abtippen muss. Damit hat man dann aber wenigstens zwei unabhängige Übertragungswege.
Geklont, Gerätewechsel usw.... Ich wette die Geldbörse und der TAN-Generator liegen lose auf dem Schreibtisch... Merkste was....
Ja, passiert mir nahezu wöchentlich
Jemand entwendet mein iPhone, errät den 6stelligen Sperr-Pin, selbstverständlich auch meine Zugangsdaten zum Online-Banking, wie natürlich auch den App-PIN. Dann klont er das alles auf einem fremden Gerät und legt mein iPhone unbemerkt wieder zurück. Natürlich nachdem er meine SIM-Karte kopiert hat, diese in das neue Gerät schiebt und sich auf meine Telefonnummer den Sicherheits-Code senden lässt.
Die Missbrauchs-Gefahr ist hier wirklich nicht zu unterschätzen!
Ja, passiert mir nahezu wöchentlich
Jemand entwendet mein iPhone, errät den 6stelligen Sperr-Pin, selbstverständlich auch meine Zugangsdaten zum Online-Banking, wie natürlich auch den App-PIN. Dann klont er das alles auf einem fremden Gerät und legt mein iPhone unbemerkt wieder zurück. Natürlich nachdem er meine SIM-Karte kopiert hat, diese in das neue Gerät schiebt und sich auf meine Telefonnummer den Sicherheits-Code senden lässt.
Die Missbrauchs-Gefahr ist hier wirklich nicht zu unterschätzen!
Nutzt du überhaupt SecureGo+? Der Gerätewechsel geht ohne SMS. Aber Hauptsache wieder deinen unqualifizierten Senf dazugegeben.
Dafür aber entweder mit einem QR-Code auf dem alten Gerät oder nur per Post (siehe hier). Was daran ist sicherheitstechnisch bedenklich?
Beitrag automatisch zusammengeführt:
Ja, genau, mit maximaler krimineller Energie lässt sich viel erreichen. Oder wenn man Android nutzt.
Niemand reißt euch das Telefon aus der Hand, um die Secure-App auf ein anderes Gerät umzulagern. Das ist aus Angreifersicht nicht skalierbar - man müsste erstmal wissen, wer überhaupt bei der entsprechenden Bank ist, dem dann jemanden hinterherschicken und möglichst noch entsperrten Handy "erwischen". Ein logistischer Albtraum. Wie bereits angemerkt, kann man so natürlich auch an eine Girocard kommen und die geklaute GC für ChipTAN nutzen. Netterweise kommen alle Karten ohne PIN auf der ChipTAN-App, also "offen" - wer hat alles eine PIN für ChipTAN gesetzt?
Kosteneffektiv für Diebe ist nur der ungerichtete Massenangriff aus der Ferne über Sicherheitslücken, ohne physischen Zugriff auf das Gerät zu brauchen. Also seht zu, dass ihr die Secure-Apps auf einem Gerät habt, das zeitnah Sicherheitspaches bekommt..
"Schön" ist es dann immer wieder, wenn bei Modern-Banking Leute rumheulen, dass die ING-App nun mindestens Android 8 verlangt und sie sich nun ein neues Handy kaufen müssen - Android 8 ist seit Januar'21 aus der Wartung und bekommt keine Sicherheitsupdates mehr. Konsequenterweise müsste heute jede Banking-App mindestens Android 11 verlangen, das ist das älteste Release, das noch Patches bekommt. Die Leute, die sich China-Handys kaufen, die schon beim Öffnen der Packung für immer veraltet sind, sind dann eben raus.
Bei iOS wird das Patching vorbildlich gelöst, bei Android empfiehlt sich der Griff zu Google Pixel oder diversen Samsung-Geräten, um für mehrere Jahre Updates zu bekommen.
Kosteneffektiv für Diebe ist nur der ungerichtete Massenangriff aus der Ferne über Sicherheitslücken, ohne physischen Zugriff auf das Gerät zu brauchen. Also seht zu, dass ihr die Secure-Apps auf einem Gerät habt, das zeitnah Sicherheitspaches bekommt..
"Schön" ist es dann immer wieder, wenn bei Modern-Banking Leute rumheulen, dass die ING-App nun mindestens Android 8 verlangt und sie sich nun ein neues Handy kaufen müssen - Android 8 ist seit Januar'21 aus der Wartung und bekommt keine Sicherheitsupdates mehr. Konsequenterweise müsste heute jede Banking-App mindestens Android 11 verlangen, das ist das älteste Release, das noch Patches bekommt. Die Leute, die sich China-Handys kaufen, die schon beim Öffnen der Packung für immer veraltet sind, sind dann eben raus.
Bei iOS wird das Patching vorbildlich gelöst, bei Android empfiehlt sich der Griff zu Google Pixel oder diversen Samsung-Geräten, um für mehrere Jahre Updates zu bekommen.
Um Gottes willen,
dann ist die Gefahr ja nochmal größer, wenn sich jemand auf das Iphone setzt!
Könnt ihr für das Thema einen neuen Thread aufmachen? Gefühlt geht es in allen Threads zu den jeweiligen Banken nur noch um Chiptan und warum die TAN/Freigabeapps unsicher sind.
R
Rocyano
Guest
Kostet hier jetzt tatsächlich jede Einrichtung und Änderung eines Dauerauftrags 1,50 €?
ANZEIGE
![]()
Ich wurde soeben von der Raiba HT angerufen und auf einen telefonischen Beratungstermin eingeladen. Man möchte mir gerne eine Festgeldanlage für 6-12 Monate zu 4,25% p.a. anbieten. Das Produkt gäbe es nicht über die Homepage.
Aus meiner natürlichen Neugierde heraus habe ich dem ganzen mal zugestimmt, finde die Herangehensweise aber doch etwas merkwürdig. Hat hier schonmal jemand ähnliches erlebt?
Aus meiner natürlichen Neugierde heraus habe ich dem ganzen mal zugestimmt, finde die Herangehensweise aber doch etwas merkwürdig. Hat hier schonmal jemand ähnliches erlebt?