• Dieses Forum dient dem Erfahrungsaustausch und nicht dem (kommerziellen) Anbieten von Incentives zum Abschluss einer neuen Kreditkarte.

    Wer sich werben lassen möchte, kann gerne ein entsprechendes Thema im Bereich "Marketplace" starten.
    Wer neue Karteninhaber werben möchte, ist hier fehl am Platz. Das Forum braucht keinen Spam zur Anwerbung neuer Kreditkarteninhaber.

    Beiträge, bei denen neue Kreditkarteninhaber geworben werden sollen, werden ohne gesonderte Nachricht in beiden Foren entfernt.

    User, die sich zum Werben neuer Kreditkarteninhaber neu anmelden, werden wegen Spam direkt dauerhaft gesperrt. User, die an anderer Stelle im Forum mitdiskutieren, sich aber nicht an diese Regeln halten, müssen mit mindestens 7 Tagen Forenurlaub rechnen.

DKB Sammelthread

ANZEIGE

mattes77

Erfahrenes Mitglied
14.06.2016
2.214
561
ANZEIGE
Das zentrale Problem von App Tan ist und bleibt nun einmal, dass es einfach keine
"echte 2 Faktor" Authentifierung ist. Es wird immer die Sicherheit für die Bequem-
lichkeit geopfert!

Hier noch einmal was dazu.

https://www.sueddeutsche.de/digital...ing-apps-sind-anfaellig-fuer-hacker-1.3762624

https://media.ccc.de/v/34c3-8805-die_fabelhafte_welt_des_mobilebankings#t=1510

Im Übrigen habe ich wie eigentlich immer auch von mir betont, absolut keine Probleme
mit Digitalisierung oder auch mobilem Banking. In einem "freien Land" soll jeder die
freie Entscheidung haben, was er wählen möchte.

Aber es ist absolut nicht einzusehen, dass die Banken ihren Kunden eine bestimmte
Lösung "aufzwingen" und Sie mit "sanftem Druck" dazu "drängen" dürfen, nur weil
es für die Banken billiger und bequmer ist.
Und wenn dann doch Probleme mit Cyberkriminalität auftreten, wird die Schuld und
der Ärger von der Bank immer beim Kunden abgeladen. Und diese haben nur dann
eine Chance, wenn Sie es schaffen, das öffentlich-rechtliche Fersehen oder andere
große Medien auf ihrer Seite zu haben. :idea:
 

schweinebank

Aktives Mitglied
23.08.2020
245
150
Right back at you. Eine sichere Bestätigung einer Transaktion kann nur auf einem weiteren Gerät stattfinden. Behauptungen, dass du auf dem gleichen Gerät sicher eine Transaktion auslösen und die Korrektheit verifizieren kannst ist Schlangenöl. 2. Faktor jetzt als “Wissen und Haben” umzudeuten um AppTan zu legitimieren ist so falsch wie lächerlich.

wenn dein Handy kompromittiert ist, dann ist es - egal mit wieviel Apps und enclaven - nicht mehr vertrauenswürdig. Ein ChipTan Gerät ist viel schwerer zu manipulieren- vor allem aus der Ferne.
Der Link des BSI von @Captain Picard sollte wohl als schwerwiegendes Argument reichen.
Es sei den irgendwer hat eine Quelle, die ebenfalls auf dem Gebiet tätig ist, dafür ein Budget von knapp 200 Mio/a hat und über 1000 Experten beschäftigt,
 
  • Like
Reaktionen: knusper und mattes77

mattes77

Erfahrenes Mitglied
14.06.2016
2.214
561
So, ich steige hier jetzt aus der Diskussion zum Thema "chip Tan" aus.. Vielen Dank
an netzfaul und Captain Picard für ihre sachlichen Beiträge.
Für Alle, die mich kritisieren und das Chip Tan Verfahren "entsorgen" wollen (und
"manche" Nutzer hier mich anscheinend auch gleich mit) habe ich nur einen Wunsch.
Ich hoffe, eure Smartphones werden niemals, wenn ihr dann im Netz unterwegs seit
und mobiles Banking betreibt, angebgriffen. Und die Bank erklärt euch dann.
"Ja, sie haben wohl Daten an Dritte herausgegeben. die Transaktion war rechtlich
gesehen autorisiert"!:idea:
 
  • Haha
  • Like
Reaktionen: de1 und Meckie

Meckie

Erfahrenes Mitglied
19.10.2018
1.314
1.000
Bei der Freigabe via App gibt es doch zwei Faktoren?
ich muss das Gerät haben (Besitz) und ich muss mich via Gesicht, Fingerabdruck oder pin anmelden (biometrie oder wissen)
Kapieren die Oberschlauen hier mit Chip-Tan und Girocard nicht. Lohnt sich auch keine weitere Diskussion mehr.
Beitrag automatisch zusammengeführt:

Und du machst dich mal ....
Du weißt ja nicht mal um was es geht. So Leute wie Du wollen es auch nicht kapieren.... Du verstehst das einfach nicht....
 

selaf

Erfahrenes Mitglied
24.08.2018
1.119
663
Bei der Freigabe via App gibt es doch zwei Faktoren?
ich muss das Gerät haben (Besitz) und ich muss mich via Gesicht, Fingerabdruck oder pin anmelden (biometrie oder wissen)
Das ist schon richtig - das Problem ist, dass man mit der Kompromittierung nur eines Gerätes beide Faktoren aushebeln kann. Keine App prüft selbst den Fingerabdruck, sondern sie fragt letztenlich nur "Hat der Nutzer einen gültigen Finger aufgelegt" und das System meldet halt ja oder nein. Ich kann z.B. per XPosed ein Android-Handy so modifizieren dass es immer "ja" sagt. Das ist eben nicht so einfach möglich, wenn einer der beiden Faktoren von einer externen Quelle kommt (ChipTAN, 2. Handy, Yubikey, whatever) - dann muss ich zwei Stellen kompromittieren um erfolgreich zu sein.
Gerade bei Android ist das gruselig, weil die Leute mit uralten Handys und Patchständen unterwegs sind. In den GooglePlay Bewertungen zur ING-App hatte vor einem Jahr mal jemand geheult, weil die App plätzlich Android 7 forderte und mit älteren Releases nicht mehr installierbar war - dabei erhält schon Android 7 seit über zwei Jahren keine Sicherheitsupdates mehr (bei Googles eigenen Geräten, bei andeten Herstellern sind die Patchstände noch älter).
 

RollinCHK

Erfahrenes Mitglied
16.04.2018
996
421
Leute, Theorie und Praxis... Die Diskussion ist doch albern...

Natürlich können theoretisch Geräte kompromittiert werden, aber nicht aus der Luft heraus, sondern dafür muss schon etwas mehr passieren. Man muss vielleicht auf einer bestimmten Seite unterwegs sein, sich irgendwelche Apps installieren usw. Ich formuliere es bewusst einfach und so, wie es im Leben tatsächlich zu solchen Dingen kommen kann. Häufig sind kompromittierte Smartphones auch nicht mit aktuellen Software-Updates versehen, was nicht immer nur an den Herstellern liegt. Es gibt ja Nutzer, die sich zunächst einmal nicht trauen, gewisse Updates zu installieren, es könnten ja irgendwelche "Bugs" mit installiert werden.

Die Leute, die auf das PC Banking mit Chip TAN setzen haben hoffentlich ihr Windows immer auf dem neuesten Stand, ihre Treiber usw.. Das aktuelle BIOS sollte installiert sein und bezahlter Anti Viren Schutz wäre auch elementar wichtig. Sicher wäre hier eigentlich, ein einzelner Computer, der NUR für das Banking benutzt wird.

Chip TAN mag THEORETISCH mehr Sicherheit bringen. Man stelle sich aber mal vor, Jemand greift die persönlichen Daten ab und kommt an den Benutzernamen und das Kennwort? Was dann? Dann braucht man der Person nur noch hinter her laufen und ihr im richtigen Moment die Geldbörse samt Girocard stehlen ... Dann mal viel Spaß dabei, dass der Bank zu erklären... Also beim nächsten Spaziergang ruhig mal ab und zu umdrehen und schauen, ob man verfolgt wird...

Ernsthaft, lasst die Finger vom Onlinebanking, wenn ihr so verunsichert seit. Es läuft in Zukunft scheinbar alles verstärkt auf App Freigaben hinaus. Es wird dauern, aber irgendwann läuft das auch bei den Volksbanken und Sparkassen so.
 

AJ44

Erfahrenes Mitglied
24.03.2019
4.056
2.507
Jedes System/Verfahren ist potenziell angreifbar. Dann darf man gar nichts nutzen und muss sich selbst wegsperren. Diese Verfahren werden dem Kunden so angeboten (damit haben sie gewisse Voraussetzungen und Sicherheitskriterien erfüllt), von daher spricht nichts dagegen diese Möglichkeiten zu benutzen. Wenn so gravierende Dinge akut gefährlich wären, würde es schlichtweg nicht erlaubt sein. Ganz einfach.
Gerade da es um einen der sensibelsten Bereiche (für Privatpersonen) überhaupt geht.
Wer so gegen die 1 App Lösungen wettert hat in meinen Augen reine Paranoia und schürt anderen ggü. unbegründete Ängste.
Geht doch einfach an den Schalter…
 
  • Like
Reaktionen: CDCVM

ArmDoors

Erfahrenes Mitglied
16.01.2017
1.579
236
ZRH & DUS
Natürlich können theoretisch Geräte kompromittiert werden, aber nicht aus der Luft heraus, sondern dafür muss schon etwas mehr passieren. Man muss vielleicht auf einer bestimmten Seite unterwegs sein, sich irgendwelche Apps installieren usw.
Ja, total exotisch, man muss auf "einer bestimmten Seite unterwegs sein". Absolut unrealistisches Szenario, wer macht das schon.
Ich formuliere es bewusst einfach und so, wie es im Leben tatsächlich zu solchen Dingen kommen kann. Häufig sind kompromittierte Smartphones auch nicht mit aktuellen Software-Updates versehen, was nicht immer nur an den Herstellern liegt.
Die Update-Politik vieler Hersteller ist leider haarsträubend. Ein Grund mehr, den zweiten Faktor auf ein Gerät mit wesentlich weniger Angriffsfläche zu schieben.
 
  • Haha
Reaktionen: Meckie

DennyK

Erfahrenes Mitglied
09.09.2019
2.104
1.099
Ein zweites Gerät welches quasi immer nur im Schrank liegt und auch Jahre lange nicht geupdatet wird? ;-)
 

Meckie

Erfahrenes Mitglied
19.10.2018
1.314
1.000
Was für ne Paranoia-Show hier 🍿

Da wollen Leute mit Chip-Tan, Girocard und Windows 7 einen die (technische) Welt erklären. Leute, an einigen hier ist die Zeit echt vorbei gelaufen. Total. Kommen hier mit Halbwahrheiten und mit kompletter technischer Unkenntnis. Reißen aber die Klappe auf, als ob sie in Silicon Valley arbeiten würden.

Aber lustig ist es irgendwie ja auch :cool:
 

RollinCHK

Erfahrenes Mitglied
16.04.2018
996
421
Das Ding ist, es geht ja nicht darum, irgendwie User hier zu belächeln, oder sie herabzuwürdigen. Das muss ja klar gesagt sein. Mir ist ein Mensch, der extrem auf "Sicherheit" achtet 100 x lieber, als irgend eine "komm ich heute nicht, komm ich morgen"-Haltung...

Man muss aber dennoch den Unterschied machen zwischen Theorie und Praxis... Ja, auf einer "bestimmten Seite" surfen ist ein exotisches Szenario, denn es geht dabei sicher nicht um www.tagesschau.de ... Wir verstehen uns da schon... Ferner gibt es in der EU inzwischen eine Update-Garantie. Welche Politik welcher Hersteller im Bezug auf Updates fährt, kann man selbst beeinflussen, in dem man seine Produkte kauft, oder eben nicht...

Es geht nicht einmal darum, dass App Banking besonders sicher ist, sondern es geht darum, dass die Leute genau das auf Dauer wollen... warum? Weil die Menschen immer mehr mit ihren Smartphones oder Tablets machen. Online-Banking muss auch von der 60 jährigen Hausfrau gemacht werden können, die von Computern keine Ahnung hat.
 
  • Like
Reaktionen: Arnuntar und berlin79

StefanBraun

Erfahrenes Mitglied
08.01.2020
3.360
1.314
21
Stulln
Zumindest bei Sparkassen und VR-Banken kann man das Sm@rt TAN bzw. QR-TAN Verfahren mit einer PIN absichern. Bevor dir der TAN Generator dann eine TAN ausspuckt, will er diese (selbstgewählte, separate) PIN haben. Sonst ist es Essig mit der TAN. Allerdings ist das ein optionales Verfahren, was kaum einer kennt.
 
  • Like
Reaktionen: JoeBang

Amic

Erfahrenes Mitglied
05.04.2016
6.955
568
Es entbehrt nicht einer gewissen Ironie, dass gerade die aktiven "Warner" - unter kurzem Beiseitewischen von Datenschutzbedenken - als Zahlungsempfänger die IBAN des Zahlers sehen wollen - welch auch oft auch den Benutzernamen fürs Onlinebanking enthält (so beispielsweise standardmässig bei der DKB) oder Kundennummer zur Identifikation via Telefon ist. Oder die Zugangsdaten für ihr Onlinebanking auf den Servern Dritter hinterlegen.
Oh, ich bin mir sicher, dass die Sparkassen eine der letzten sein werden, die chipTAN abschaffen. Da kann man ja hinwechseln - zu Banken, die offensichtlich kein funktionierendes Transaktionsmonitoring haben.

Vierzig (!) mal 1000€ in kurzer Folge an einen ausländischen Zahlungsempfänger, der auch "Coin" im Namen trägt? Wenn da nicht die Alarmglocken angehen, gibt es offenbar keine solchen Glocken.

Die DKB hat schon wegen wesentlich geringerem Kontakt mit mir aufgenommen.
 
  • Like
Reaktionen: Zerschmetterling

Frank N. Stein

Erfahrenes Mitglied
04.04.2020
4.006
3.340
der Ewigkeit
Ein zweites Gerät welches quasi immer nur im Schrank liegt und auch Jahre lange nicht geupdatet wird? ;-)
Ja, aber es wurde doch bezahlt!
Sparbrötchen haben Geld in die Hand genommen, so ein Teil muss sich deshalb doch erstmal amortisieren.
Deshalb ist es a.) gut b.) state of the art und c.) ist alles andere an Technik Teufelswerk!
 

ive

Reguläres Mitglied
24.09.2022
39
14
Jedes System/Verfahren ist potenziell angreifbar. Dann darf man gar nichts nutzen und muss sich selbst wegsperren.

Beim Photo-Tan Verfahren, was nicht von der DKB angeboten wird, hast du ein externes QR-Lesegerät.
Es muss keine Software installiert und keine Verbindung in einem Netzwerk hergestellt werden. Ebenso ist keine Verbindung vom PhotoTAN-Gerät zum PC notwendig.

Zum einmaligen Initialisieren des QR-Lesegerätes bekommst du ein initiales Passwort von der Bank.
Solange der Hacker keinen Zugriff auf das initiale Passwort von der Bank erhält, kann er absolut nichts machen.

Bei einer Überweisung, scannst das Lesegerät den QR-Code und zeigt dir die IBAN und den Betrag auf deinem Lesegerät an.
Selbst wenn dein PC oder Smartphone gehackt ist, kann der böse Man in the Middle nichts machen außer zuschauen.

Sollte er dir eine modifizierten QR-Code am Bildschrim anzeigen, so stimmt die IBAN auf dem Lesegerät nicht und du kannst den Vorgang abbrechen.

Es handelt sich hierbei um eine echte 2FA weil:
Sollte der Hacker Zugriff auf deinen PC haben kann er nichts anfangen, solange er das initale Passwort (=Aktivierungs-Code des Photo-TAN Lesegerätes) nicht kennt.
Sollte der Hacker das initale Passwort (Aktivierungscode) kennen, weil er den Brief von der Bank abgefangen hat, kann er nichts anfangen, solange er nicht dein Benutzernamen und Passwort zum Login bei der Bank kennt.


Inwieweit eine Banking-App auf einem Smartphone als Komplettlösung eine echte 2FA ist mag kann ich nicht sicher beurteilen.
Ich persönlich hätte aber große Bedenken alles auf einem Smartphone zu haben.

 

RollinCHK

Erfahrenes Mitglied
16.04.2018
996
421
Ich sags noch mal, Theorie und Praxis... Wie viele Leute werden denn in der Praxis wirklich GEHACKT? Das will ich gar nicht bagatellisieren. Die praktischen Angriffsszenarien sind aber nicht irgendwelche Hacks, wo ein gewisser Aufwand betrieben wird, sondern eher Anrufe und Whatsapp Nachrichten, wo es dann heißt: "Ihr Kind hatte einen schweren Unfall. Überweisen Sie bitte sofort die Summe X, sonst können wir nicht operieren." Traurig, real und man sollte meinen, die Leute sind inzwischen aufgeklärt...
 
  • Like
Reaktionen: Arnuntar

creasot

Erfahrenes Mitglied
14.04.2019
384
181
Also diese Frage hat mich immer schon interessiert, allerdings in Bezug auf Deutsche Bank und Commerzbank. Beide bieten Photo - TAN Verfahren an, wie oben beschrieben, nur mit Farb-Grafik statt Aktivierungscode bzw. Initialpasswort. Beide stellen aber sowohl Lesegerät, als auch separate Apps zur Verfügung, die Vorgänge freigegeben können. Diese Apps scannen zwar die QRs auch, können aber Aufträge freigeben, die auf demselben Smartphone erfasst worden sind. Auftrag in Banking-App erstellen und abschicken, in andere App wechseln, freigeben, fertig.

Mir wurde in einem anderen Thread erklärt, dass auch hier 2FA Anforderung erfüllt ist. Denn die Freigabe-App ist Gerätgebunden (es sind bis zu 5 Installationen gleichzeitig erlaubt) und man muss beide Passwörter (für beide Apps) wissen. Damit sind Faktoren Wissen und Besitzen erforderlich.
Beitrag automatisch zusammengeführt:

Wie viele Leute werden denn in der Praxis wirklich GEHACKT?
Eigentlich war deren Anzahl auch in der Zeit von iTAN Verfahren sehr überschaubar.
 

RollinCHK

Erfahrenes Mitglied
16.04.2018
996
421
Beim ersten TAN Verfahren, also noch vor dem iTAN Verfahren, wo man wirklich die Liste hatte und sich ne x beliebige Nummer aussuchen konnte, da hab ich Jemanden im ganz entfernten Bekanntenkreis, der auf einen "Trick" hereingefallen ist. Das war der Klassiker, Internetseite, die nach Sparkasse aussah, Login, der natürlich nicht möglich war und dann zur Sicherheit bitte noch eine TAN eingeben.. Fehler, bitte noch eine TAN... Tja, das Ergebnis ist klar... Das Geld gabs aber am Ende über die Bank zurück. Das ist aber schon über 15 Jahre her...
 

AJ44

Erfahrenes Mitglied
24.03.2019
4.056
2.507
Die Frage ist doch auch, wieso und von wem sollte man solchen künstlich konstruierten Szenarien ausgesetzt sein?!
Das ist doch alles reine Theorie und keine wirkliche Gefahr. Wenn natürlich irgendwelche Leute auf Fake Mails reinfallen etc., Pech gehabt.
Ansonsten besteht kein Grund zur Sorge. Das Smartphone ansich ist gesperrt, die App ist zusätzlich gesperrt und die Freigabe muss auch nochmal bestätigt werden. Alles kein Grund zur Panik.
 
  • Like
Reaktionen: Arnuntar

RollinCHK

Erfahrenes Mitglied
16.04.2018
996
421
Eben, wenn man natürlich irgend n gerootetes Android Handy benutzt, oder n alternatives OS verwendet, siehts wieder anders aus...
 

amonra

Reguläres Mitglied
02.08.2021
67
53
ANZEIGE
Nun haut euch doch nicht die Köpfe ein. :D Da es bei IT-Sicherheit keine 100% gibt, kann man von diesen natürlich mehr oder weniger weit entfernt sein.
Beispiele zunehmender Sicherheit: altes ungepatchtes Smartphone < gepatchtes Smartphone < mehrere unabhängige Geräte ohne bekannte Lücken < zusätzlich mehrere Personen bei jeder Transaktion anwesend, von denen mindestens eine IT-Sicherheitsexperte sein muss usw.
Klar wird eine einzelne App nicht sicherer sein, als zwei Geräte, einfach weil das OS der App kompromittiert sein kann. Liegt das Problem auf einer „tieferen Schicht“, dann hat die App selbst keinen großen Einfluss mehr (diesen Punkt bekommen also die Appgegner).
Allerdings stellt sich auch die Frage, ob der Unterschied an Sicherheit wirklich relevant ist. Es ist zwar besser, wenn ich mir zu Hause ein Sicherheitsschloss einbaue; wenn ich aber immer das Fenster offen lasse, dann bringt mir das im Zweifelsfall gar nichts. Kommen Angriffe also eher über social engineering, dann hilft auch kein separates Gerät (Punkt für die Fraktion „die App reicht“). Das kann am Ende aber nur jeder für sich einschätzen, weil wir die 100% ja eh nicht erreichen.
Also alle wieder lieb haben, ja? :)
 
  • Like
Reaktionen: Arnuntar und mattes77