Zwei Faktor Authentifizierung

MalteHe
Autor ★
Beiträge: 7
Mitglied seit: 25.11.2018

@Goliath74

Wie bereits mehrfach erwähnt, auch unabhängig von der Möglichkeit Transkationen zu tätigen sind die Kontobewegungen sehr sensible Daten, die großes Potenzial bieten ausgenutzt zu werden.

Falls der Eindruck richtig ist und seitens der comdirect bank kein Intesse besteht die Sicherheit durch 2FA zu erhöhen, dann sollte sie m.E. ihr "Sicherheitsversprechen" erweitern und auch eine nicht zu knappe Entschädigung zahlen, wenn lediglich Zugriff auf den Account nachgewiesen ist.
Denn das Argument "Überweisungen sind eh nicht möglich, also regt euch ab" zieht nur genau da, bei Überweisungen... Ein Schaden entsteht aus meiner Sicht aber schon, wenn unbefugte Einblick in die sensiblen Daten erhalten. 

Experte ★★
Beiträge: 460
Mitglied seit: 11.10.2017

@MalteHe

Wie sollte so eine Entschädigung denn bemessen werden? Das wäre ja objektiv überhaupt nicht zu beziffern, wie hoch der Schaden nun konkret wäre, wenn jemand "nur" Einblick in deine Transaktionen erhalten würde.

 

Viele Grüße

Weinlese

MalteHe
Autor ★
Beiträge: 7
Mitglied seit: 25.11.2018

@Weinlese

Das trifft auf so ziemlich jeden Datenschutzeingriff zu, da ist bei den wenigsten Datenschutzeingriffen ein objektiver Schaden quantifizierbar ist (nebenbei bemerkt auch bei vielen anderen Schäden, wie bemisst man objektiv wie viel ein gebrochenes Bein an Schmerzensgeld wert ist?).

Fakt ist, dass auch ein Zugriff auf "nur" die Kontobewegungen ein schwerer Eingriff in die Privatsphäre ist und nur weil dieser nicht objektiv bezifferbar ist, sollte man diesen nicht bagatellisieren.

 

Eine Schadensersatzpauschale seitens comdirect würde wenigstens zeigen, dass sie anerkennen, dass auch der Einblick in Kontobewegungen bereits ein Schaden ist und nicht den Eindruck bestärken, dass sie sich nur für monetäre Schäden interessieren... In Zeiten wo jede noch so unwichtige App einen mit 2FA nervt kann es doch nicht sein, dass in den sensibelsten Bereichen unseres digitalen Alltags (Banking & E-Mails) kaum etwas für den Schutz der Daten nach technisch aktuellem Standard getan wird. Die Einstellung "nur wenn ein monetärer Schaden entstanden ist, ist auch ein Schaden entstanden" ist einfach falsch.

Viele Grüße

Malte 

Nikoneer
Autor ★★★
Beiträge: 63
Mitglied seit: 19.08.2016

@MalteHe  schrieb:

@Weinlese

Das trifft auf so ziemlich jeden Datenschutzeingriff zu, da ist bei den wenigsten Datenschutzeingriffen ein objektiver Schaden quantifizierbar ist (nebenbei bemerkt auch bei vielen anderen Schäden, wie bemisst man objektiv wie viel ein gebrochenes Bein an Schmerzensgeld wert ist?).

Fakt ist, dass auch ein Zugriff auf "nur" die Kontobewegungen ein schwerer Eingriff in die Privatsphäre ist und nur weil dieser nicht objektiv bezifferbar ist, sollte man diesen nicht bagatellisieren.

 

Eine Schadensersatzpauschale seitens comdirect würde wenigstens zeigen, dass sie anerkennen, dass auch der Einblick in Kontobewegungen bereits ein Schaden ist und nicht den Eindruck bestärken, dass sie sich nur für monetäre Schäden interessieren... In Zeiten wo jede noch so unwichtige App einen mit 2FA nervt kann es doch nicht sein, dass in den sensibelsten Bereichen unseres digitalen Alltags (Banking & E-Mails) kaum etwas für den Schutz der Daten nach technisch aktuellem Standard getan wird. Die Einstellung "nur wenn ein monetärer Schaden entstanden ist, ist auch ein Schaden entstanden" ist einfach falsch.

Viele Grüße

Malte 


Der Gedanke ist tatsächlich sehr interessant. Aber wenn man den Gedanken weiterspinnt: Verklagst Du auch den Hersteller Deiner Haustür, wenn durch die jemand bei Dir zuhause einbrichst?

 

Letztlich bin ich als Kunde ja erstmal selbst für die Sicherheit meiner Daten verantwortlich. 2FA hin oder her, wenn jemand unbefugt auf mein Konto zugreift, muss er ja meine Zugangsdaten irgendwo her haben. Vermutlich durch einen Trojaner auf meinem Rechner (unschön) oder über eine Phishing-Mail (noch unschöner).

Die Bank kann ich nicht für die Sicherheit meines Rechners oder für mein eigenes schussliges Verhalten verantwortlich machen. Dann aber mit dem Finger auf die Bank zeigen und noch ein Schmerzensgeld einfordern, wenn's schief geht? Ich weiß nicht.

 

MalteHe
Autor ★
Beiträge: 7
Mitglied seit: 25.11.2018

Der Vergleich erscheint mir deshalb schwer, weil ich bei meiner Haustür nicht erwarte, dass sie technisch auf dem Stand der Zeit gehalten wird vom Hersteller, bei meinem Bankaccount erwarte ich schon, dass die Bank sich an die immer besser werdenden Sicherheitsmechnismen anpasst. 

Beide der von dir (bin neu im Forum hier, falls duzen unüblich ist gerne ansprechen! :-)) aufgezeigten Szenarien lassen sich mit 2FA fast vollständig ausschließen, wohingegen ich behaupten würde, dass sich die Infektion durch Trojaner auch als vorsichtiger Internetnutzer nicht zu 100% ausschließen lässt.

Nicht falsch verstehen, es geht mir gar nicht darum, dass comdirect für jeglichen Angriff Schadensersatz zahlen soll, vielmehr ist mein Gedankengang:
Entweder du fügst dich als Unternehmen, welches sensible Daten verwaltet, den aktuellen Sicherheitsstandards ODER du erachtest die bisherigen Sicherheitsstandards für ausreichend, aber dann solltest du auch diejenigen entschädigen, die dadurch einen Eingriff in ihre Privatsphäre spüren mussten.

 

M.E. wäre schon ein Kennwort ein nennenswerter Sicherheitsgewinn gegenüber der bisherigen PIN Loginmöglichkeit.

Viele Grüße

Malte

mammuth
Autor ★
Beiträge: 11
Mitglied seit: 26.05.2017

@MalteHe  schrieb:

[...]

M.E. wäre schon ein Kennwort ein nennenswerter Sicherheitsgewinn gegenüber der bisherigen PIN Loginmöglichkeit.


Ich streue mal noch Salz in die Wunde: Wenn man den Support telefonisch kontaktiert, wird man - zum Zweck der Authentifizierung - nach seiner PIN gefragt; man solle aber die mittlerste Stelle auslassen beim Vorlesen.

 

Im Umkehrschluss bedeutet das:

1. Support-Mitarbeiter haben theoretisch die Möglichkeit sich im Namen eines Kunden anzumelden (indem sie die 10 verbleibenden Möglichkeiten ausprobieren).

2. Damit ein solcher Abgleich funktioniert, muss die PIN (bzw. zumindest alle Zeichen bis auf das mittlerste) im Klartext gespeichert sein. Das sollte aus mehreren Gründen nicht geschehen, ist in meinen Augen grob fahrlässig und es gibt auch keinen Grund dafür.

 

Für 1. benötigt der Mitarbeiter natürlich kriminelle Motivation; als Kunde eines Unternehmens mit solch sensiblen Daten wie einer Bank erwartet man allerdings, dass solche Eingriffe durch Mitarbeiter eimfach technisch ausgeschlossen sind.

Bei Banken wird das scheinbar noch eher hingenommen; ginge es um sein E-Mail-Postfach wären die Beschwerden womöglich lauter?

Für 2. Fällt mir keine Entschuldigung/Rechtfertigung ein. 

 

 

Edit: Mit einem Kennwort würde ihre Authentifizierung dann auch lustig: "Bitte lesen Sie mir ihr 32-stelliges Passwort mit Zahlen, Groß-, Kleinbuchstaben und Sonderzeichen vor. Lassen Sie dabei die Stelle 7 und 23 weg." 

Experte ★★★
Beiträge: 736
Mitglied seit: 16.08.2016

 

Für 1. benötigt der Mitarbeiter natürlich kriminelle Motivation; als Kunde eines Unternehmens mit solch sensiblen Daten wie einer Bank erwartet man allerdings, dass solche Eingriffe durch Mitarbeiter eimfach technisch ausgeschlossen sind.


Wie sollen denn Mitarbeiter der Bank einen Auftrag des Kunden bearbeiten der per Post kommt wenn sie keinen Zugriff auf des Konto haben?

MalteHe
Autor ★
Beiträge: 7
Mitglied seit: 25.11.2018

Naja, Nutzerrechte sind heutzutage ja keineswegs binär, sondern es sind auch komplexere anlassbezogene Zugriffsrechte durchaus möglich (z.B. mittels temporärer Telefon PIN die im Kundenkonto angezeigt wird und nach "Gebrauch" verfällt (auch für postalische Anliegen denkbar, wobei ich nicht davon ausgehe, dass ein signifikanter Teil der Kunden einer "online"-bank viel postalisch regeln)). Dass jeder Service-Mitarbeiter Zugriff auf alle Unternehmens-/Kundendaten hat ist jedenfalls nicht zeitgemäß.

Aber das war meinem Verständnis nach gar nicht sein Hauptkritikpunkt, sondern dass es nicht nachvollziehbar ist, wieso überhaupt jmd. (außer man selbst) die eigene PIN kennt bzw. auslesen kann. Der Regelfall ist eher, dass Passwörter/PINs nicht explizit unverschlüsselt gespeichert sind.

Experte ★★
Beiträge: 460
Mitglied seit: 11.10.2017

@MalteHe
Ich finde den Vergleich mit der Haustür nicht so unpassend. Von der Bank erwarte ich, dass sie den Zugang soweit sichert, dass es Angreifer schwer haben, auf mein Konto zuzugreifen. Das ist mit den bisherigen Sicherheitsmaßnahmen meines Erachtens realisiert. Völlig verhindern wird sie Angriffe nie können. Genauso erwarte ich von meiner Haustür, dass diese nicht leicht geöffnet werden kann, sofern das Schloss abgeschlossen ist. Ein Aufbrechen mit schwerem Gerät wird dadurch trotzdem nicht verhindert.

In beiden Fällen sehe ich aber nicht die Bank bzw. den Türhersteller in der Pflicht, außer sie werben explizit damit, besonders sichere Zugangsmechanismen installiert zu haben. Meines Wissens tut die comdirect das nicht. Insofern müsste man hinterfragen, ob deine Erwartungen hier eventuell zu hoch sind. Unabhängig davon, wie man den Schaden nun bemessen würde, wäre in jedem Fall aber der Angreifer derjenige, der für den Schadensausgleich herangezogen werden müsste. Eine Ausnahme wäre, wenn die Bank grob fahrlässig gehandelt hat, was sie meines Erachtens in diesem Fall nicht tut.

Es geht letztlich immer um eine Abwägung zwischen Sicherheit und Komfort. Die comdirect hat sich hier offensichtlich für letzteres entschieden, was ich insbesondere beim Einloggen ins Konto begrüße. Da 2FA-Verfahren aber programmiertechnisch nicht so schwierig zusetzbar sind, wäre eine optionale Lösung hier wohl die beste Alternative. Wer es komfortabler mag, könnte dann das alte Verfahren nutzen, wer mehr Wert auf Sicherheit legt, das 2FA-Verfahren aktivieren.

 


@mammuth  schrieb:

2. Damit ein solcher Abgleich funktioniert, muss die PIN (bzw. zumindest alle Zeichen bis auf das mittlerste) im Klartext gespeichert sein. Das sollte aus mehreren Gründen nicht geschehen, ist in meinen Augen grob fahrlässig und es gibt auch keinen Grund dafür.


Das stimmt so nicht. Die PIN kann weiterhin verschlüsselt (mit Hash und Salt) gespeichert werden, weil beim Prüfen auf Korrektheit sehr schnell alle zehn möglichen Eingaben durchgeprüft werden können. Passt eine von ihnen, waren die fünf Ziffern korrekt, andernfalls würde keiner der zehn Hashes mit dem in der Datenbank gespeichert übereinstimmen. Es muss also nicht auf eine verschlüsselte Speicherung verzichtet werden. Ob die comdirect das auch tatsächlich so umsetzt, weiß ich natürlich nicht, technisch machbar wäre es aber. Smiley (fröhlich)

 

Viele Grüße

Weinlese

MalteHe
Autor ★
Beiträge: 7
Mitglied seit: 25.11.2018

Ich finde den Vergleich zur Haustür weiterhin unpassend, da ich es schwierig finde einen Einmalkauf mit einem ich nenne es mal Servicevertrag verglichen wird: Bei meiner Bank bin ich unter Umständen mehrere Jahrzehente Kunde und kann m.E. zurecht erwarten, dass diese die aktuellen Sicherheitsstandards umsetzt. Bei meiner Haustür kaufe ich ein Produkt, welches zum Zeitpunkt des Kaufs XYZ Eigenschaften erfüllt. Zumal ich meine Haustür selbst ersetzen kann und im Falle der Bank lediglich die Bank Einfluss auf die Sicherheitsmaßnahmen besitzt. 

 

Zudem sagst du ja selbst, dass die Umsetzung technisch nicht so unfassbar schwer ist, daher kann ich nicht verstehen, wie du dann ebenfalls sagen kannst, dass meine Erwartungen zu hoch sind. 2FA ist mittlerweile sehr verbreitet, ich verlange ja keine Mehrfaktorauth mit biometrischen Merkmalen oder so... Zustimmen würde ich aber, dass die 2FA auf jeden Fall lediglich als Option umgesetzt werden sollte. Niemand sollte gezwungen werden die höheren Sicherheitsstandard zu verwenden, ist aber eben auch selbst verantwortlich, wenn er/sie dies nicht tut.

 

Auch wenn die PINs tatsächlich wie von dir beschrieben gespeichert werden, dann bleibt dennoch, dass man den Großteil seiner PIN im Telefonservice preisgeben muss und der Mitarbeiter sie somit kennt. Es ist für mich nicht nachvollziehbar wieso das so sein muss!? Zumal sich der Zugriff dann nicht mehr durch Nutzerrechte im Unternehmen einschränken lässt, weil er sich ja regulär über die Comdirect Seite als vermeintlicher Kunde einloggen könnte.

 

Viele Grüße

Malte