Thema "Betreff: Das Ende des mobilen Bankings?" in Konto, Depot & Karte

Das Ende des mobilen Bankings?

CurtisNewton — Fri, 20 Oct 2023 16:25:20 GMT

Reisserischer Titel, worum geht es?

Es gab mal wieder einen Prozess wegen Telefonphishing, der klassische Fall jemand wird am Telefon zur Herausgabe von TANs genötigt und danach ist ein Haufen Geld weg. Die Bank wird auf Schadenersatz verklagt, Klage abgewiesen da das Verhalten des Kunden grob fahrlässig.

Wo ist nun das Problem?

Das Gericht weist in einem Nebensatz darauf hin dass die notwendigen Vorraussetzungen für 2FA nicht erfüllt sind wenn die Banking App und die App zum TAN generieren sich auf dem gleichen mobilen Endgerät befinden, was wohl heute bei 99% der mobilen Bankkunden der Fall.

Jetzt bin ich mal gespannt was passiert...

Klick

Abgesehen davon gilt nach Auffassung des Gerichts, dass nicht nur das klassische PIN/TAN-Verfahren, bei dem die jeweils zu verwendende TAN vom Zahlungsdienstnutzer selbst ausgewählt werden kann, die für einen Anscheinsbeweis erforderliche sehr hohe Wahrscheinlichkeit vermissen lässt [...,] sondern auch das vorliegend zur Anwendung kommende pushTAN-Verfahren, in dem die TAN auf dem Mobiltelefon in einem anderen Programm (App) angezeigt wird, als demjenigen, das den Bankzugang ebenfalls mittels auf demselben Smartphone installierter BankApp (SecureGo-App) vermittelt. Denn die für die Sicherheit des smsTAN-Verfahrens wesentliche Trennung der Kommunikationswege (Übermittlung des Zahlungsauftrages übers Internet am Computer und Mitteilung der TAN per SMS ans Mobiltelefon) wird damit aufgegeben, wobei der besondere Komfort dieses Verfahrens (gesamter Zahlungsvorgang ohne Zusatzgerät mit nur einem einzigen Mobilgerät) deren Verbreitung gefördert hat ([...] mit Verweisen auf wissenschaftliche Untersuchungen zum hohen Gefährdungspotential bei Verwendung nur noch zweier Apps auf einem Gerät statt Nutzung getrennter Kommunikationswege sowie Hinweisen des Bundesamts für Sicherheit in der Informationstechnik und der Schlussfolgerung, deshalb liege keine Authentifizierung aus wenigstens zwei voneinander unabhängigen Elementen i.S.v. § 1 Abs. 24 ZAG vor).

Betreff: Das Ende des mobilen Bankings?

Silver_Wolf — Sun, 22 Oct 2023 00:51:04 GMT

@CurtisNewton schrieb:

Wo ist nun das Problem?
Das Gericht weist in einem Nebensatz darauf hin dass die notwendigen Vorraussetzungen für 2FA nicht erfüllt sind wenn die Banking App und die App zum TAN generieren sich auf dem gleichen mobilen Endgerät befinden, was wohl heute bei 99% der mobilen Bankkunden der Fall.

Ich glaube nicht daß 99% der Kunden so dämlich sind Bankgeschäfte mit Kontozugriff auf dem Handy zu machen. 🙂

Gut, bei der ING wird man dazu gezwungen, bei der DKB demnächst wohl auch. 😞

Das werden diese Banken wohl nochmal überdenken müssen.

Ansonsten macht man Überweisungen aber doch zuhause am Computer.

Oder dem Tablet, und nur die Freigabe über das Handy.

Betreff: Das Ende des mobilen Bankings?

DirkHSK — Sun, 22 Oct 2023 05:54:59 GMT

Ich glaube du unterschätzt die Anzahl der Menschen, die nur noch ein Handy als Datenverarbeitungsgerät beaitzen, und das wird zunehmen.

Betreff: Das Ende des mobilen Bankings?

Antonia — Sun, 22 Oct 2023 07:24:45 GMT

@Silver_Wolf schrieb:
...
...

Ansonsten macht man Überweisungen aber doch zuhause am Computer.
Oder dem Tablet, und nur die Freigabe über das Handy.

Boomer, wa?

Was ist am Computer besser/sicherer als am Phone?

Immer mehr Bankkunden nutzen ausschließlich das Phone.

Davon mal abgesehen, es gibt keine Situation bzw keinen Geschäftsvorgang bei dem man eine TAN mündlich und schon gar nicht am Telefon rausgeben müsste.

Wer allerdings sein halbes oder ganzes Leben mit dem Phone organisiert, sollte auf seinen kleinen Schatz besonders gut 8 geben!

Da haben die Boomer aber einen erheblichen Vorteil, sie wissen noch, wie ein Leben ohne geht...

Betreff: Das Ende des mobilen Bankings?

CurtisNewton — Sun, 22 Oct 2023 08:26:34 GMT

@Silver_Wolf schrieb:
Ich glaube nicht daß 99% der Kunden so dämlich sind Bankgeschäfte mit Kontozugriff auf dem Handy zu machen. 🙂

Wenn ich auf dem Handy den Kontostand prüfe ist das ja schon ein Vorgang der eine TAN benötigt, wenn auch nur alle 90 Tage.

Oder Rechnung, warum soll ich die abtippen wenn ich auch einfach den Barcode scannen kann?

Betreff: Das Ende des mobilen Bankings?

Lars123 — Sun, 22 Oct 2023 09:00:55 GMT

Natürlich hat das Gericht Recht, wenn es sagt, dass eine 2FA alles auf einem Gerät, egal ob zwei getrennte Apps oder sogar alles in einer, keine richtige 2FA ist. Ist das Gerät kompromittiert, sind beide, PIN und Tan, potenziell kompromittiert, was ja genau verhindert werden soll....

Das lässt sich auch nicht heilen, das ist ein grundsätzliches Problem weil man das ursprüngliche Prinzip untergraben hat mit den Apps.

Ob das ein relevantes Risiko ist, hängt letztlich von der Sicherheit der Apps und Geräte ab. Demgegenüber ist ein Tan-Generator ohne Internetverbindung halt prinzipiell nicht kompromittierbar. Hat leider auch nichts mit Boomer zu tun, das gilt auch für GenZ und später.....

Betreff: Das Ende des mobilen Bankings?

ehemaliger Nutzer — Sun, 22 Oct 2023 10:41:59 GMT

Betriebssysteme für Smartphones sind tatsächlich sicherer als Betriebssysteme für klassische PCs. Sie sind neuer - und man konnte aus vergangenen Fehlern lernen. Beispielsweise war es unter Windows, macOS und Linux lange üblich, dass jedes Programm auf alle Daten des aktuellen Benutzers zugreifen und meist auch ändern kann, oder dass alle Tastatureingaben mitgelesen werden können oder der Bildschirm abgefilmt oder das Mikrofon eingeschaltet werden kann, ohne dass der Benutzer das merkt.

Die Smartphone-Betriebssysteme Android und iOS waren von Anfang an wesentlich abgeschotteter. Jede App ist von den anderen isoliert und kann Daten nur über vordefinierte Schnittstellen austauschen, wozu die jeweilige Berechtigung erst vom Benutzer angefordert werden muss. Zudem verfügen neuere Smartphones über spezielle Hardware, mit denen biometrische Merkmale sicher gespeichert werden können (man kann überprüfen lassen, ob z.B. ein gegebener Fingerabdruck zu dem gespeicherten passt, aber den gespeicherten nicht auslesen).

Beides, die softwareseitige Sicherheit und die bessere Hardware, hält inzwischen auch auf PCs Einzug, aber weil man kompatibel mit älteren Programmen bleiben will, kann man es nicht so rigoros umsetzen, wie bei den Smartphones. Darum sind Smartphones immer noch deutlich sicherer, aber natürlich gibt es hier auch Sicherheitslücken, die je nach Hersteller und Modell unterschiedlich schnell geschlossen werden. Manchmal auch gar nicht. Dann ist die theoretisch hohe Sicherheit wieder dahin.

Ich gehe dieses Risiko lieber nicht ein und benutze daher den TAN-Generator der comdirect. Das funktioniert auch sehr gut mit der mobilen App, dann scant man eben den QR-Code vom Handybildschirm ab. Man müsste also schon in meine Wohnung einbrechen und den TAN-Generator stehlen und durch einen manipulierten austauschen. Und wenn mein Smartphone gehackt wurde, würde ich am Displays des TAN-Generators sehen, dass die Überweisung ganz wo anders hingeht oder einen anderen Betrag hat als gewünscht.

Betreff: Das Ende des mobilen Bankings?

Floppy85 — Sun, 22 Oct 2023 15:25:02 GMT

Der größte Sicherheitsfaktor ist immernoch der Kunde ... der DAU. Es ist theoretisch möglich, aber eher selten, dass ein Hacker das Smartphone UND den PC eines Users hackt und so munter Transaktionen tätigt. Das Problem ist das Verhalten der Leute, die die simple Regel "wenn du per Mail oder Anruf aufgefordert wirst Login-Daten preiszugeben, dann niemals machen" einfach nicht in ihren Schädel bekommen. Auch diverse Geldabhebungen mit gestohlenen Karten ... wo man sich immer fragt "woher hatte der Dieb die PIN zu der Karte ?" zählen dazu. Ich wette, dass in der Generation Ü60 bestimmt mehr wie 50% der Leute ihre PIN auf die Karte schreiben oder nen Zettel in der Geldbörse haben, wo die PIN draufsteht. Fakt ist, es wird nie 100% ig sicher sein und wer jetzt mit den guten, alten Papierhaften Überweisungen kommt ... auch die wurden schon aus Briefkästen "gefisht" und Unterschriften lassen sich auch einfach fälschen ... oder der Briefkasten wurde zu Silvester angezündet und die Leute wundern sich plötzlich über Mahnungen ... weil Viele ohne Online Banking auch nur 1x im Monat ihre Auszüge holen, da sie gar nicht mit der Möglichkeit vertraut sind, ihre Umsätze online zu prüfen.

Betreff: Das Ende des mobilen Bankings?

Morgenmond — Sun, 22 Oct 2023 17:43:32 GMT

@Floppy85 schrieb:
... Auch diverse Geldabhebungen mit gestohlenen Karten ... wo man sich immer fragt "woher hatte der Dieb die PIN zu der Karte ?" zählen dazu. Ich wette, dass in der Generation Ü60 bestimmt mehr wie 50% der Leute ihre PIN auf die Karte schreiben oder nen Zettel in der Geldbörse haben, wo die PIN draufsteht. ...

Schon mal was von Skimming gehört?

Das ist der Hauptgrund wie Diebe an Automaten zu Bargeld kommen (weiß leider nicht mehr wo ich die Statistik gesehen habe).

Wobei dies nur ein kleiner Teil des Betruges ist, der große Teil des Diebstahls findet online statt.

Steht deine Wette noch?

Ich würde sofort dagegen wetten !

Zeig mal die Statistik die dies wiedergibt oder ist das nur dein Bauchgefühl?

Gruß Morgenmond

Betreff: Das Ende des mobilen Bankings?

ehemaliger Nutzer — Sun, 22 Oct 2023 18:31:12 GMT

Ist Skimming in Europa noch relevant? Wir haben doch schon sehr lange chipbasierte Authentifizierung auf unseren Karten. Anders als ein Magnetstreifen kann der Chip nicht kopiert werden, man erlangt also höchstens die PIN die ohne Karte aber nutzlos ist. Dann müsste man die Karte nach erfolgreichem Skimming auch noch unbemerkt stehlen.

Ok, man könnte die Daten vom Magnetstreifen ins Ausland schicken, dort überschreibt ein Komplize den Magnetstreifen einer anderen Karte und hebt bei einer dortigen Bank mit niedrigeren Sicherheitsstandards ab. Ich vermute, in diesem Fall bleibt dann aber die ausländische Bank auf dem Schaden sitzen, vor allem wenn der Kunde beweisen kann, dass er nicht in dem jeweiligen Land zum Tatzeitpunkt war. Weiß da jemand näheres?

Betreff: Das Ende des mobilen Bankings?

CurtisNewton — Sun, 22 Oct 2023 18:43:13 GMT

Ich vermute dass der Magnetstreifen noch als Backup aktiv ist. Mich hatte vor einiger Zeit (2-3 Jahre) die Bank angerufen ich solle mich nicht wundern wenn ich die nächsten Tage einen neue Karte bekäme, der Geldautomat hätte gemeldet dass der Chip defekt ist und meine Karte würde momentan nur noch über den Magnetstreifen funktionieren. Ich habe allerdings keine Ahnung ob der dann nur bei der eigenen Bank noch geht oder überall.

Betreff: Das Ende des mobilen Bankings?

HaPa — Sun, 22 Oct 2023 19:39:04 GMT

Ich hatte tatsächlich mal den Fall, dass man von mir erst einige Stellen der Pin-App (erst die ersten 3, dann die 2. 3 Stellen wollte - dachte ich bin im falschen Film) und dann als Ersatz weil ich mich weigerte eine Tan.

Ich hab mich schön veräppelt gefühlt und wäre maßlos enttäuscht, wenn Mama oder so da etwas rausgegeben hätten....es war aber WIRKLICH die Bank (Consors oder Codi nicht mehr sicher)

Betreff: Das Ende des mobilen Bankings?

CurtisNewton — Mon, 23 Oct 2023 04:52:52 GMT

Im Telefonservice bzw. Banking ist natürlich genauso eine 2FA notwendig, ansonsten könnte ja jeder der deine Kontodaten kennt einfach anrufen und beliebige Aufträge aufgeben. Der Unterschied ist dass du dann ja selbst die Bank anrufst und nicht angerufen wirst.

Betreff: Das Ende des mobilen Bankings?

Floppy85 — Mon, 23 Oct 2023 10:10:56 GMT

Skimming dürfte eigentlich kein Thema mehr sein. Aber im unterentwickelten Deutschland wird ja immernoch der analoge Enkeltrick angewendet - man kommt also bei älteren Leuten an soviel Geld (mehr wie man am Automaten abheben könnte), weil die Gauner wissen, dass Deutsche die Gewohnheit haben, Bargeld und Wertsachen zu Hause zu bunkern, weil "iST JA SiCHERer zU HaUSe ... diese pöööhsen Banken, die mein Geld wollen" 😉

Betreff: Das Ende des mobilen Bankings?

alba96 — Mon, 23 Oct 2023 12:38:25 GMT

@CurtisNewton schrieb:

Jetzt bin ich mal gespannt was passiert...

Was sollte passieren? Für die Erkenntnis dass Banking App und TAN-Generator auf demselben Gerät nicht wirklich dem Gedanken an Trennung der Kommunikationskanäle entspricht, ist nicht neu und wurde bereits oft genug thematisiert.

Die Randbemerkung eines unbedeutenden Richters an einem unbedeutendem Gericht, zumal sie nichts mit dem verhandelten Sachverhalt zu tun hat, wird da nichts ändern.

Die Banken haben sich entschlossen, diese Konstellation zuzulassen. Sie dürften am besten wissen, ob und welcher Schaden dadurch pro Jahr entsteht.

Zumal kein Kunde gezwungen wird, das so zu handhaben. Es ist jedem freigestellt, ein separates Gerät für die TAN App zu verwenden.

Mit ist kein Fall bekannt, bei dem diese Konstellation bösartig ausgenutzt wurde. Warum auch? Wie ein Vorposter bereits geschrieben hat, sind Smartphone Betriebssysteme so sicher, dass ein Angriff sehr aufwändig sein dürfte.

Die allermeiste Zahl der Betrugsfälle basiert doch darauf, dass jemand am Telefon dazu überredet wurde, die Überweisung freiwillig auszulösen.

Das viel einfacher und billiger als ein modernes Smartphone zu hacken.

Betreff: Das Ende des mobilen Bankings?

ehemaliger Nutzer — Mon, 23 Oct 2023 15:35:56 GMT

@alba96 schrieb:

Wie ein Vorposter bereits geschrieben hat, sind Smartphone Betriebssysteme so sicher, dass ein Angriff sehr aufwändig sein dürfte.

Allerdings unter der Einschränkung, dass der Hersteller gefundene Sicherheitslücken auch zeitnah schließt. Je nach Modell und Preisklasse ist der Supportzeitraum für Softwareupdates unterschiedlich lang, von "maximal ein Jahr bis gar nicht" zu "sieben oder mehr Jahre" ist da alles dabei. Eigentlich kann man nur ein iPhone, ein Pixel oder eines der teureren Galaxy-Modelle kaufen, wenn man sein Gerät für was sicherheitsrelevantes nutzen möchte. Vielleicht bessert sich das in Zukunft, die neue EU-Gesetzgebung soll ja mindestens 5 Jahre Sicherheitsupdates vorschreiben.

Die Frage ist, ob dem Kunden zugemutet werden kann, seine Geräte auf dem aktuellen Stand zu halten und ob er andernfalls dafür haftet, wenn er dies versäumt. Oder ob die Bank mitverantwortlich ist und z.B. alte Betriebssystemversionen softwareseitig ausschließt. Dann beschweren sich allerdings die Kunden, wenn ihre App plötzlich nicht mehr geht, und alternative Lösungen wie SMS-TAN haben noch mehr Probleme. Man könnte natürlich auch erzwingen, dass die Kunden zwei unterschiedliche Geräte nutzen müssen. Das würden viele aber wohl als Bevormundung empfinden.

Letzten Endes muss die Bank immer abwägen zwischen "Risiken durch Betrug minimieren" und "Kunden durch zu viel Sicherheitstheater vergraulen". Wenn die Betrugsfälle selten genug sind und die Summen niedrig, dann kann man den Schaden auch einfach ersetzen bzw. versichern lassen.

Betreff: Das Ende des mobilen Bankings?

alba96 — Tue, 24 Oct 2023 07:30:07 GMT

Die Frage ist, ob dem Kunden zugemutet werden kann, seine Geräte auf dem aktuellen Stand zu halten und ob er andernfalls dafür haftet, wenn er dies versäumt. Oder ob die Bank mitverantwortlich ist und z.B. alte Betriebssystemversionen softwareseitig ausschließt. Dann beschweren sich allerdings die Kunden, wenn ihre App plötzlich nicht mehr geht, und alternative Lösungen wie SMS-TAN haben noch mehr Probleme. Man könnte natürlich auch erzwingen, dass die Kunden zwei unterschiedliche Geräte nutzen müssen. Das würden viele aber wohl als Bevormundung empfinden.

Ja, wenn man seine Geräte nicht ohnehin alle 4-5 Jahre erneuert, ist die Anschaffung eines neuen Geräts nach Ablauf des Supportzeitraums durch die Bankapp der Preis, den wir für unsere "kostenlosen" Konten bezahlen müssen.

Betreff: Das Ende des mobilen Bankings?

Floppy85 — Tue, 24 Oct 2023 15:32:29 GMT

Da die Bank den Kunden nicht anweisen kann (sondern nur Empfehlungen ausspricht), sorgfältig zu agieren, sollte sich die Bank haftungstechnisch aus der Sache rausnehmen. Wenn ein Kunde so wenig technischen Verstand besitzt, dass er quasi auf Teufel komm raus alles falsch macht, was man nur falsch machen kann, dann sehe ich nicht ein wieso die Bank (und damit auch die Kunden der Bank) für Schäden oder fahrlässige Handlungen aufkommen sollte. Wenn sich Kunden überfordert fühlen von Technik und Digitalisierung, dann müssen sie eben personalintensive Steinzeit-Methoden nutzen, aber dürfen dann nicht den Anspruch haben, dass sie es für lau bekommen, bzw. müssen mit den zeitlichen Einschränkungen klarkommen.