Sicherheitsaspeke bei Kreditkarten und Banking

[fzang]

ANZEIGE

der Hacker müsste dann ja quasi warten, bis ich irgendeinen Vorgang am PC auslöse (z.B. Überweisung, oder Umsatz -Abruf), um genau dann einen manipulierten Auftrag darüber zu schieben ?

Entschuldige, ich glaube, da gab es ein Missverständnis.

• Der Hacker muss nicht warten, bis du selbst etwas machst, sondern kann die Aktionen direkt selbst auslösen, weil er die Kontrolle über das Gerät hat.
• Merke beim kompromittierten Gerät gilt: Alles, was du kannst, kann der Angreifer ebenfalls – und oft sogar unbemerkt.
• Genau hier liegt der Vorteil, wenn man für die Zwei-Faktor-Authentifizierung zwei unabhängige Geräte verwendet:
Es ist deutlich unwahrscheinlicher, dass beide gleichzeitig kompromittiert werden.

 

[knauserix]

Und klar siehst Du im Fall von Betrug Dein Geld dann wieder, wenn Du dieses Verfahren mit immer geupdateter Hardware genutzt hast.

Da steckt aber auch eine gewisse Hoffnung drin, weil wenn die Bank dann die Ansprüche-Abwehr-Strategie aus der Schublade zieht ...

Beitrag automatisch zusammengeführt: Gestern um 16:29

Die Bank juckt das überhaupt nicht, weil ein absolut sicheres Verfahren noch viel teurer wäre.
Es ist also in der Gesamtkalkulation nicht immer das sicherste Verfahren auch das beste für die Bank. Genau das kapiert mancher von uns Nerds leider nicht.

Das sehe ich auch so.

Zumal offenbar immer mehr Institute diese Apps als kostenlose Litfaßsäule zu betrachten scheinen und den Kunden nach dem Einloggen erst einmal mit Werbung überschütten.

 

[knauserix]

• Der Hacker muss nicht warten, bis du selbst etwas machst, sondern kann die Aktionen direkt selbst auslösen, weil er die Kontrolle über das Gerät hat.
• Merke beim kompromittierten Gerät gilt: Alles, was du kannst, kann der Angreifer ebenfalls – und oft sogar unbemerkt.

naja, ob das ganz so einfach geht, da hätte ich dann doch Zweifel.
Denn dann wären ja bislang schon Abermillionen von Geräten potentiell anfällig dafür gewesen ... und so viele Betrugsfälle gab es dann wohl doch nicht.

 

[fzang]

Darüber wie einfach es ist wurde bereits mehrfach geschrieben und das ist ein anderes Thema.

 

[geos]

Ich verstehe die Urteilsbegründung nicht. Ich dachte, es reiche aus, wenn alle 90 Tage 2FA für den Zugang zum OLB verlangt werde. Hier wird jetzt plötzlich unterschieden nach Art der Einsichtnahme, d.h. ich soll ohne 2FA nicht einmal mehr das Menü zur Änderung des Überweisungslimits einsehen dürfen.

Es geht nicht um Anmeldung zum OLB, sondern um die Freigabe von Transaktionen o.ä., also das, wozu TANs klassisch gut sind. Wenn man aus der TAN nicht erkennen kann, wozu sie gut ist, was man also gerade freigibt, ist dies ein Sicherheitsrisiko. Darum geht es.

Wenn jetzt andere Banken das Urteil zum Anlass nehmen, nur noch die reine Kontostandsabfrage ohne ständige 2FA zu erlauben, na dann Prost Mahlzeit.

Das Urteil adressiert diesen Punkt wie gesagt nicht.

 

[geos]

Zumal offenbar immer mehr Institute diese Apps als kostenlose Litfaßsäule zu betrachten scheinen und den Kunden nach dem Einloggen erst einmal mit Werbung überschütten.

Die Apps, egal in welcher Branche, *sind* kostenlose (nicht ganz, aber fast) und personalisierte Litfaßsäulen und Verkaufsräume gleichzeitig sowie Datenlieferanten (also besser als jede Litfaßsäule, weil die Kundenreaktionen direkt verfolgt werden können und man sogar direkt darauf reagieren kann). Das ist doch der Grund, wieso fast jede Branche so scharf darauf ist, ihren Kunden ihre App aufzudrängen. Was glaubt Ihr, wieso es z.B. Supermarkt-Apps gibt?

 

[wizzard]

ANZEIGE

Das Urteil adressiert diesen Punkt wie gesagt nicht.

Aber durchgelesen hast du es dir schon, oder?

Er stellte dabei vor allem auf das Einloggen ins Online-Banking und die Anzeige von Zahlungsempfängern in der pushTAN-App ab. Der Kläger argumentierte, dass das Login lediglich mit Anmeldename und statischer PIN erfolgte und sensible Zahlungsdaten ohne weitere Authentifizierung einsehbar waren.

Die Sparkasse habe es versäumt, eine "starke Kundenauthentifizierung" im ZAG-Sinne beim Login in das Online-Banking zu verlangen, obwohl dort "sensible Zahlungsdaten" einsehbar waren. Das Gericht stellte fest: "Vor diesem Hintergrund war der Verstoß der Beklagten gegen aufsichtsrechtliche Vorschriften für das Gelingen des betrügerischen Angriffs jedenfalls mitursächlich, weil so ohne Zutun des Klägers die aus dem Online-Banking heraus zu veranlassenden Vorbereitungsmaßnahmen und Auftragserstellungen vorgenommen werden konnten."