ComputerBase Menü
Aktuelles

News Photo-Tan: Sicherheitsprobleme bei Apps verschiedener Banken

Fliz schrieb:
Online-Banking und Handy passen nicht zusammen.
Zum Vergrößern anklicken....
Also ist ein (Linux-)Rechner zu Hause auch nicht für Online-Banking geeignet, oder wie kann man das verstehen? Wie ich bereits zuvor schrieb, ist solch eine undifferenzierte Aussage in meinen Augen ziemlich unsinnig.
 
Wundert mich, dass die betroffenen Banken überhaupt erlauben, dass für Tan-Generierung und Überweisung das gleiche Gerät genutzt werden kann.
 
Reglohln schrieb:
Also ist ein (Linux-)Rechner zu Hause auch nicht für Online-Banking geeignet, oder wie kann man das verstehen? Wie ich bereits zuvor schrieb, ist solch eine undifferenzierte Aussage in meinen Augen ziemlich unsinnig.
Zum Vergrößern anklicken....

Ich übersetze es mal: Onlinebanking macht man nicht auf dem Handy.
 
Die gute alte Papierliste ist mir noch das Liebste. Leider schafft meine Bank das demnächst ab und bietet dann nur noch 2 Verfahren:

SMS-TAN (will ich eigentlich nicht)
oder
APP-TAN (will ich auch nicht und kann ich auch nicht nutzen, da nur für Android oder iOS verfügbar, was ich beides nicht nutze und zweitens natürlich auch sicherheitstechnischer Vollschmarrn)

Wer bei Banken solche Entscheidungen trifft ist mir völlig schleierhaft. Aber es ist wohl das Papier mit dem Kuvert zu teuer um weiterhin die Listen zu verschicken.
 
Fliz schrieb:
Ich übersetze es mal: Onlinebanking macht man nicht auf dem Handy.
Zum Vergrößern anklicken....
Das ist die gleiche Aussage, welche ich zuvor schon zitierte, nur anders formuliert.

Was unterscheidet das Handy denn nun von einem PC, sodass es nicht für Onlinebanking taugen soll?
 
kai84 schrieb:
Wundert mich, dass die betroffenen Banken überhaupt erlauben, dass für Tan-Generierung und Überweisung das gleiche Gerät genutzt werden kann.
Zum Vergrößern anklicken....

guck dir mal wie die aktien von deutsche bank und commerzbank stehen und hör mal die nachrichten, wie es den beiden banken geht, da ist jeder kunde offenbar sehr wichtig und man versucht es maximal einfach zu machen und wenn doch mal was schief geht, wird halt bezahlt.
 
OldboyX schrieb:
Wer bei Banken solche Entscheidungen trifft ist mir völlig schleierhaft. Aber es ist wohl das Papier mit dem Kuvert zu teuer um weiterhin die Listen zu verschicken.
Zum Vergrößern anklicken....

Wohl eher, dass die Schäden durch (I-) Tan zu hoch wurden.

hroessler schrieb:
Online Banking? Ich weiß schon, warum ich die Finger davon lasse!

greetz
​hroessler
Zum Vergrößern anklicken....

Es gibt auch Betrug beim Offlinebanking. 100% Sicherheit hast Du auch dort nicht.
 
Fliz schrieb:
Ich übersetze es mal: Onlinebanking macht man nicht auf dem Handy.
Zum Vergrößern anklicken....

Wenn man die mTAN auf einem anderen Gerät empfängt überhaupt kein Problem. Das größte Sicherheitsrisiko ist so gut wie immer die Aushebelung der 2-Faktor-Auth durch Nutzung nur eines Gerätes.

Ich nutze seit 20 jahren Onlinebanking und davon seit gut über 10 jahren per smsTAN oder nun mTAN und mir kam noch kein Geld abhanden.
 
OldboyX schrieb:
Die gute alte Papierliste ist mir noch das Liebste. Leider schafft meine Bank das demnächst ab und bietet dann nur noch 2 Verfahren:

SMS-TAN (will ich eigentlich nicht)
oder
APP-TAN (will ich auch nicht und kann ich auch nicht nutzen, da nur für Android oder iOS verfügbar, was ich beides nicht nutze und zweitens natürlich auch sicherheitstechnischer Vollschmarrn)

Wer bei Banken solche Entscheidungen trifft ist mir völlig schleierhaft. Aber es ist wohl das Papier mit dem Kuvert zu teuer um weiterhin die Listen zu verschicken.
Zum Vergrößern anklicken....

Das kann ich Dir sagen. Leute, die Ahnung haben, entscheiden das. Da geht es nicht um's Papier oder um das Kuvert.

Tan-Listen und iTAN sind unsicherer als SMSTan oder pushTan (bzw. "AppTan"), da der Kunde nämlich nicht kontrollieren kann, welche Transaktion er ausführt. Es gab viele Fälle, bei denen Trojaner auf den PC des Kunden geschleusst wurde, der die Überweisungsdaten abändern kann, bevor sie zur Bank übermittelt werden. Für den Kunden ist das aber nicht ersichtlich, da er nämlich trotzdem die von ihm eingegeben Bankdaten sieht auf der angezeigten Überweisung und dann einfach per TAN aus der Liste bestätigt.
 
Bloodie24 schrieb:
Wohl eher, dass die Schäden durch (I-) Tan zu hoch wurden.
Zum Vergrößern anklicken....
Wobei ich mir sogar vorstellen könnte, dass iTAN-Listen durchaus sicherer sind in Anbetracht, dass sich viele mTAN-User wohl schlicht keine Gedanken darum machen, dass beide Authentifizierungsschritte auf einem Gerät laufen. Das ist bei iTAN ja gar nicht möglich und scheiterte ja lediglich daran, dass die User ihre Logindaten + TANs durch Fishing-Mails irgendwo eingaben. Wobei es da ja mit iTAN (also der durchnummerierten TANs, wovon immer ein ganz spezieller TAN abgefragt wird) eigentlich auch nicht sofort zum Geldverlust kommen sollte, wobei ich jetzt nicht weiß, ob jedes Mal eine andere TAN abgebracht wird, wenn man eine Überweisung mehrfach abbricht un neu startet.

Man könnte also davon ausgehen, dass die Nutzer, welche auf Fishing hereingefallen sind (was auf Unwissenheit im Umgang mit dem Internet hinweist) wohl auch fast alle bei mTAN alles auf einem Gerät nutzen. Die Wahrscheinlichkeit, dass sich Schadsoftware auf dem Smartphone befindet ist mMn wohl etwas niedriger, aber ich denke, dass beide TAN-Verfahren im Zusammenspiel mit unbedarften Nutzern gleich (un)sicher sind. Da ist das SmartTAN-Verfahren (also mit dem Kartenleser) einfach ungeschlagen.
 
Reglohln schrieb:
Wobei es da ja mit iTAN (also der durchnummerierten TANs, wovon immer ein ganz spezieller TAN abgefragt wird) eigentlich auch nicht sofort zum Geldverlust kommen sollte, wobei ich jetzt nicht weiß, ob jedes Mal eine andere TAN abgebracht wird, wenn man eine Überweisung mehrfach abbricht un neu startet.
Zum Vergrößern anklicken....

Doch, durch Prefilltrojaner wird sofort per ITan überwiesen. Der Geschädigte hat einen Trojaner auf dem PC, der registiert, wenn sich der Nutzer im Onlinebanking anmeldet und schaltet ein Overlay, bei dem z.B. angegeben ist, dass ein neues Sicherheitszertifikat installiert wird. Im Hintergrund füllt der Trojaner die Überweisung aus und der Nutzer wird dann gebeten eine bestimmte ITan einzugeben, um das Sicherheitszertifikat zu aktivieren und schwups ist das Geld weg. Ist es die Premiumversion des Trojaners, wird auch noch Kontostand und Umsatz manipuliert, so dass der Nutzer nicht mal sieht, dass Geld überwiesen wurde. Wenn ers erst nach 2 Tagen merkt, ist das Geld nicht mehr zurückzuholen im Normalfall.
In diesen Fällen ist es egal, ob ITan oder Tan ohne bestimmte Nummer.
MTan und Phototan bieten in dem Fall eine höhere Sicherheit, weil dort der betrag angezeigt wird, der überwiesen werden soll....wenns gelesen wird....
 
hrafnagaldr schrieb:
Wenn man die mTAN auf einem anderen Gerät empfängt überhaupt kein Problem. Das größte Sicherheitsrisiko ist so gut wie immer die Aushebelung der 2-Faktor-Auth durch Nutzung nur eines Gerätes.

Ich nutze seit 20 jahren Onlinebanking und davon seit gut über 10 jahren per smsTAN oder nun mTAN und mir kam noch kein Geld abhanden.
Zum Vergrößern anklicken....

hier auch so, aber das setzt voraus, das das hirn vom nutzer eingeschaltet und genutzt wird.

Bloodie24 schrieb:
MTan und Phototan bieten in dem Fall eine höhere Sicherheit, weil dort der betrag angezeigt wird, der überwiesen werden soll....wenns gelesen wird....
Zum Vergrößern anklicken....

und iban dazu auch noch, die man zusätzlich nochmal vergleichen sollte
 
Bloodie24 schrieb:
Doch, durch Prefilltrojaner wird sofort per ITan überwiesen.[...]
Zum Vergrößern anklicken....
Ja ok, da hast du natürlich recht. Klar, denn deswegen ging die Entwicklung der Banken ja weiter.
Bei uns gibt es aber eben nur iTAN oder mTAN, aber da wir nur ein Konto haben und wir auch beide unabhängig von einander etwas überweisen, ist mTAN dann halt hinderlich. Und auch, wenn ich natürlich nie zu 100% sicher sein kann, so schätze ich meine Kenntnisse so hoch ein, dass ich mit iTAN recht sicher unterwegs bin.
 
Merkuras schrieb:
Apps können nur root-Rechte erlangen, wenn man es ihnen explizit erlaubt.
Zum Vergrößern anklicken....

Ja, aber leider gehen die Nutzer damit sehr unvorsichtig um. Ich wuerde zum Beispiel nicht jedem Xposed Module Root Rechte geben. Nichtmal dass ich dem Entwickler etwas vorwerfen moechte, aber die Gefahr, dass dort Luecken zu finden sind ist sicher nicht zu vernachlaessigen.
Merkuras schrieb:
root ist auf den meisten Geräten überhaupt erst die Voraussetzung um das Gerät sicher zu machen, z.B. durch die Installation von AdAway, XPrivacy und neueren ROMs, in denen bekannte Sicherheitslücken wie ShellShock und Stagefright gefixt sind. Viele Hersteller schließen solche Lücken nicht. Insofern ist der Mangel von root-Rechten ein Sicherheitsdefizit, und dabei rede ich nur von den Möglichkeiten zur Malware-Prävention.
Zum Vergrößern anklicken....

Ja, das ist ein durchaus valides Argument (leider). Und wohl auch die groesste Schwachstelle vom Android Oekosystems. Trotzdem ist nicht der Mangel an Rootrechten ein Sicherheitsdefizit sondern das Vorhandensein von Roots ist nur ein Workaround zur Behebung des eigentlichen Mangels: fehlende Updates. Fuer mich ein konzeptioneller Unterschied. Genauso sollte der Benutzer gar nicht aus Sicherheitsgruenden ein neues Rom (welches nicht vom Hersteller freigegeben ist) aufspielen muessen. Der Fehler ist, dass die schlechte Updatepolitik dem bedachten Nutzer einfach keine Wahl laesst.

Merkuras schrieb:
Verstehe mich nicht Falsch, ich bin nicht gegen eine Integritätsüberpfüfung des Systems, aber:
1. Es darf den Nutzer nicht einschränken (z.B. Rechte beschneiden)
2. Es darf nicht verhindern, dass Sicherheitslücken geschlossen werden können(z.B. durch Installation von ROMs mit geschlossenen Lücken)
3. Es darf nur dann greifen, wenn sich keine bekannten Sicherheitslücken auf dem System befinden.

All das tut SafetyNet leider nicht.
Zum Vergrößern anklicken....
Sehe ich nicht so. Ein normaler Nutzer eines Consumergeraets sollte keine Rootrechte auf seinem Smartphone besitzen, weil es dadurch einfach sicherer wird. Wenn es per Design ausgeschlossen wird, dass Apps an diese Berechtigungen kommen dann verhindert das eine ganze Menge Schadsoftware.
Versteh nun mich nicht falsch, ich sehe deine Begruendung fuer Rootrechte. Ich moechte nur sagen, dass bei ausreichend Updates und genuegend Funktionaltaet des Betriebssystem eigentlich keine Notwendigkeit fuer solche Rechte herrschen sollte.
Und natuerlich schliesse ich hier Android Bastler, Programmierer etc aus. Aber mir geht es hier um den 0815 Benutzer und dessen Sicherheit...und dieser ist eben besser aufgehoben OHNE rootrechte und das ganze macht eben nur Sinn wenn es nicht moeglich ist an diese zu gelangen.
Es ist ja nicht so, dass man nicht Dev/Bastler Geraete zur Verfuegung stellen koennte...
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

P
nachhaltiges Girokonto - Erfahrungen?
Antworten
14
Aufrufe
2.695
_killy_
K
kim88
Leserartikel Gnome-Projekt: Ein Quantensprung in der digitalen Infrastruktur durch die Finanzierung des Sovereign Tech Fund?
Antworten
14
Aufrufe
1.103
netzgestaltung
netzgestaltung
J_mo
Photo-TAN Lesegerät für die comdirect
2
Antworten
20
Aufrufe
8.276
J_mo
J_mo
Acrylium
Account-Diebstahl einfach durch PIN möglich
Antworten
12
Aufrufe
2.350
Seven2758
Seven2758
Baal Netbeck
Leserartikel Dual ranked vs. single ranked Ram bei Ryzen
8 9 10
Antworten
187
Aufrufe
119.528
0ssi
0ssi
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz