comdirect

Ich habe keine Nachricht über die Änderung bekommen.

@SMT_Erik

Bekomme ich auch noch eine Information oder wurde diese wichtige Information als Werbenachricht in die Postbox eingestellt?

Ich wurde ebenfalls nicht informiert (habe gerade nochmal meine Postbox geprüft). Wie schon andere Nutzer in diesem Thread, war ich auch zunächst verunsichert, ob ich überhaupt auf der echten comdirect Website bin, als ich ohne Tan eine Überweisung freigeben konnte.

Ich würde gerne weiterhin 9ct pro SMS-Tan bezahlen, auch für Beträge unter 30€. Es ist nämlich nahezu unmöglich, den PC normal mit Internetanbindung zu benutzen und dabei 100%-ig auszuschließen, dass man sich mal einen Key-logger einfängt. Der Wert des (ohnehin viel zu kurzen und simplen) Comdirect-Passworts ist für phisher erheblich gestiegen. Auch die Verwendung von Drittanbieterschnittstellen (die seit PSD2 explizit gesetzlich erlaubt ist) wird damit wesentlich riskanter. Ist dies ggf. der Grund für die Maßnahme?

Nebenbei bemerkt: Mir ist auch vollkommen unverständlich, wieso man den Nutzern nicht erlaubt, ein starkes Passwort zu wählen. Selbst die Website meines lokalen  Sportvereins würde mein Comdirect-Passwort als "zu unsicher" ablehnen. Mir ist bewusst, dass die Anzahl der Log-in Versuche hier begrenzt sein mag, aber ich vermute stark, dass es eine große Anzahl von Nutzern gibt, bei denen man das Passwort nach 3 Versuchen erraten kann, sofern man das Geburtsdatum des Ehepartners und der Kinder kennt.

---

@afawesd  schrieb:

ich vermute stark, dass es eine große Anzahl von Nutzern gibt, bei denen man das Passwort nach 3 Versuchen erraten kann, sofern man das Geburtsdatum des Ehepartners und der Kinder kennt.

---

Das Geburtsdatum des Ehepartners ist kein Password sondern irgendetws zwischen grob fahrlässig und hinrnlos.

---

@Elbblick  schrieb:

---

@afawesd  schrieb:

ich vermute stark, dass es eine große Anzahl von Nutzern gibt, bei denen man das Passwort nach 3 Versuchen erraten kann, sofern man das Geburtsdatum des Ehepartners und der Kinder kennt.

---

Das Geburtsdatum des Ehepartners ist kein Password sondern irgendetws zwischen grob fahrlässig und hinrnlos.

---

Das sehe ich genauso. Aber es wird trotzdem haufenweise Leute geben, die genau das machen, wenn sie nach einer 6-stelligen Ziffernfolge gefragt werden.

Moin,

Also ich möchte auch meine Sicherheitsbedenken äußern.

Alle großen Internetkonzerne (Microsoft, Google, etc.) bieten eine Zwei-Faktor Authentifizierung an bzw. ermöglichen nur noch so die Nutzung des Kontos.

Dass nun eine Direktbank sich nicht an heutzutage geltende Sicherheitsstandards halten kann, finde ich auch sehr bedenklich und sicherheitskritisch. Macht meinetwegen diese Entscheidung benutzerabhängig. Wenn jemand das will, soll er sich selbst sein Limit setzen können.

Und ein Punkt an alle, die sagen, man müsse sich ja nur an Sicherheitsregeln halten. Es gab auch schon Zeiten, wo auf vermeintlich sicheren Seiten verseuchte Werbung eingeblendet wurde und per Drive-by Download heruntergeladen und ausgeführt wurde.

http://www.pctipp.ch/news/artikel/verseuchte-internetwerbung-49055/

https://www.deutschlandfunk.de/cyberkriminalitaet-vom-werbebanner-zur-virenschleuder.684.de.html?dra...

Außerdem wurden auf der Comdirect Seite nicht mal alle einfachen HTTP Sicherheitsfeatures implentiert, die möglich sind. (bei der Onvista Bank jedoch komischerweise schon) Und das SSL Zertifikat bzw. handling ist auch noch nicht mal auf einem angemessenen Sicherheitsniveau.

https://webbkoll.dataskydd.net/en/results?url=http%3A%2F%2Fkunde.comdirect.de

https://www.ssllabs.com/ssltest/analyze.html?d=kunde.comdirect.de&hideResults=on

Und das Sicherheitsversprechen ist mir zu vage. Ist es nicht selbstverständlich, dass ein Kontoinhaber einen Schaden nicht absichtlich herbeiführt.

Ich hoffe, dass die Comdirect auf einige Userstimmen hier noch hören wird und das "Feature" überarbeiten wird. Zumal sie echt an anderen Dingen arbeiten sollte wie "Instantpayment" oder bessere Einstellungsmöglichkeiten bei Daueraufträgen und Überweisungen generell.

Mit freundlichen Grüßen

StR

Guten Morgen und zunächst einmal ein herzliches Willkommen an alle neuen Community-Mitglieder!

@chi und @afawesd, ich leite eure Hinweise, dass ihr keine Info zur TAN-Freiheit erhalten habt, gerne weiter. Eine nachträgliche Benachrichtigung ist nach aktuellem Stand nicht geplant.

@pharmholz, es stimmt einfach nicht, dass wir mit unserem Sicherheitskonzept aktuelle Standards bzw. gesetzliche Vorgaben nicht erfüllen. Wir sind davon überzeugt, dass unsere Sicherheitsvorkehrungen einer Zwei-Faktor-Authentifizierung in nichts nachstehen. Deshalb stehen wir mit unserem Sicherheitsversprechen im Wort. Ein Versprechen, dass z. B. von Google oder Microsoft meines Wissens nicht gegeben wird.

Gruß aus Quickborn

Erik

Guten Morgen und danke für den Willkommensgruß!

Hinsichtlich der erwähnten "aktuellen Standards": Das Bundesamt für Sicherheit in der Informationstechnik würde deine Aussage nicht bestätigen. Dort findet sich beispielsweise die Aussage "Grundsätzlich gilt: Je länger, desto besser. Ein gutes Passwort sollte mindestens acht Zeichen lang sein." (https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Passwoerter/passwoerter_node.html). Auch die Zwei-Faktor Authentifizierung wird dort ausdrücklich empfohlen.

Hinsichtlich des Sicherheitsversprechens: Dieses begrenzt für mich als Nutzer zwar voraussichtlich die Höhe des Schadens, aber nicht die Wahrscheinlichkeit eines Schadens. Eine der Voraussetzungen des Sicherheitsversprechens ist ja, dass man die Zugangsdaten nicht weitergegeben hat. Nun gibt es von diversen Banken (u.a. auch von der comdirect selbst) Smartphone Apps, die einen aktiv dazu auffordern, dort die Zugangsdaten von Fremdbanken einzugeben, damit man einen Gesamtüberblick über den eigenen Finanzstatus hat. Auch bei der nur einmaligen Nutzung von "Sofortüberweisung" hat man die Bedingungen des Sicherheitsversprechens wohl schon ausgehebelt (obwohl die Nutzung solcher Dienste explizit gesetzlich vorgesehen ist - auch wenn ich persönlich das für zweifelhaft halte). Auch die im Rahmen des Sicherheitsversprechens geforderte Hinzuziehung der Polizei würde bei kleinen Schadensbeträgen vermutlich unverhältnismäßig hohen Bürokratieaufwand verursachen.

Insgesamt wäre es mir erheblich lieber, wenn ich einfach weiterhin Tans für jede Überweisung eingeben müsste. Ein sicheres Passwort wäre darüber hinaus auch nicht schlecht. Mir ist auch nicht ganz klar, warum die comdirect sich so stark gegen längere/sicherere Passwörter sträubt. Das dürfte doch relativ leicht implementierbar sein. 

Ich zitiere mich einmal selber:

@alle TAN-Verfechter

gibt es eine belastbare und seriöse Quelle für einen Einbruch in ein Konto bei dem der Kontoinhaber nicht selber schuld war weil er auf eine Phishing-Mail oder ähnliches hereingefallen ist? Die Leute, deren Konten angebliche "gehackt" werden, sind vermutlich die gleichen die die PIN auf der Karte notieren oder ihren Kindern oder Partner erlauben die PIN einzugeben.

Und? Hat jemand eine Quelle oder geht es hier immer nur um des Kaisers neue Kleider?

Eine "belastbare und seriöse Quelle" kenne ich nicht, weil die Banken, die es ja wissen müssten, nicht damit herausrücken, wieviele unberechtigte Zugriffe es gibt. Dabei ist es hierbei unerheblich, ob der Kunde "gehackt" wurde.

Zweitens: Was sollten solche Zahlen aussagen? Wer Zugriff auf fremde Konten haben will, weiss auch, was er dafür braucht: PIN und TAN. Dabei ist es wesentlich schwieriger, an eine TAN zu kommen, die sich jedesmal ändert, oder eine PIN, die über einen längeren Zeitraum gleicht bleibt! Bisher war es doch so, wenn jemand eine PIN "gehackt" hatte, konnte er zwar sehen, was auf dem Konto los ist, aber noch nicht viel anstellen (ohne TAN). Jetzt reicht die PIN um 5 x 30 EUR zu überweisen!

Also: Aussagekräftige Zahlen kann hier nur die Zukunft bringen! (wenn die Bank damit überhaupt rausrückt)