comdirect

---

@Glücksdrache  schrieb:

Lieber @DAX,

 

bei jeder Verkomplizierung der Sicherheitsverfahren sind zusätzlich zwei Aspekte zu berücksichtigen:

1.) Auslieferung der für den einzelnen Kunden und die Volkswirtschaft wesentlichen Finanzprozesse an einen oder mehrere Monopolisten. Die von Dir angesprochenen Probleme gab es zu Zeiten der iTAN-Liste auf keinen Fall. Erst der politisch motivierte Aktivismus einer Zentralregierung hat die unternehmerische Freiheit hier eingeschränkt. 

[...]

Deshalb kann ich leider nur sagen, daß Dein Beitrag interessant erscheinen mag. Im Wesentlichen sehe ich keinen Handlunsgbedarf zumal es ja schon vor über zwölf (!) Jahren Lösungen mit einem Hardwareschlüssel gab. 

[...]

---

Es geht nicht darum, dass den Kunden hier Hardware-Schlüssel aufgedrängt werden sollen. Phishing und Identitätsdiebstahl machen 90% aller Internetkriminalität aus und dafür wiederum sind zu 99% unsichere Passwörter und Verfahren schuld. Inzwischen gibt es so perfide Phishing Mails, die so perfekt auf einen zugeschnitten sind, dass es wirklich schwierig ist. 

Es geht darum, dass die Comdirect ein im Gegensatz zu vor 12 Jahren standardisiertes und extrem fortschrittliches Stand der Technik Protokoll (zB. WebAuthN oder FIDO2) implementiert, welches einen defacto Industrie-Standard repräsentiert. Comdirect soll eben keinesfalls damit anfangen Hardware-Keys oder sonst was für Kunden zu empfehlen oder aufzudrängen wie es die Sparkasse einst tat. Das ist nämlich ein Fass ohne Boden und dann zieht auch dein Argument, dass es aus Kostengründen verworfen wurde. Schuster bleib bei deinen Leisten sag ich nur. Es geht nur um die Implementierung der Schnittstelle und ggf. minimale Anpassung von App und Webinterface im Hintergrund, um dem Rechnung zu tragen. 

Meine Wunschvorstellung fürs Handy: Fingerprint, um App öffnen zu können => Und dann optional einstellnbar: Security Key, um Transaktion zu bestätigen.

Meine Wunschvorstellung fürs Webinterface: Pin/Passwort zum Login (wie gehabt) => Security Key mit Finger berühren (der via USB im PC steckt), um Transaktion zu bestätigen oder eben um das zu tun, wo sonst nach der PushTan gefragt würde. Das mit dem Key mit dem Finger berühren geht nämlich praktischer Weise 100 mal schneller und einfacher als jedes Mal das Smartphone rauskramen usw.

Alles, was die CoDi dafür tun muss, ist es eben die Standardverfahren/Schnittstelle FIDO2 bzw. WebAuthn zu implementieren... den Rest erledigen andere Firmen (Microsoft, Apple, Yubikey, Google...).

---

@DAX  schrieb:

---

... 

 

Meine Wunschvorstellung fürs Handy: Fingerprint, um App öffnen zu können => Und dann optional einstellnbar: Yubikey (oder anderen Security Key), um Transaktion zu bestätigen.

Meine Wunschvorstellung fürs Webinterface: Pin/Passwort zum Login (wie gehabt) => Yubikey mit Finger berühren (der via USB im PC steckt), um Transaktion zu bestätigen oder eben um das zu tun, wo sonst nach der PushTan gefragt würde. Das mit dem Key mit dem Finger berühren geht nämlich praktischer Weise 100 mal schneller und einfacher als jedes Mal das Smartphone rauskramen usw.

 

...

 

---

Hi @DAX 

das was für dich Wunschvorstellung ist, ist für mich Alptraum ☹️

Ich kann diesen Sicherheitswahn nicht nachvollziehen und finde die Beschränkungen und Autorisierungen jetzt schon abartig.

Gewisse Sicherheitsvorkehrungen sind sicher sinnvoll aber man sollte auch bedenken: "Freiheit stirbt mit Sicherheit" Es sollte also im Rahmen bleiben.

@Glücksdrache 

ich vermisse die, ach so unsicheren 🙄, TAN-Listen die dem bürokratischen Sicherheitswahn zum Opfer gefallen sind.

In einigen Jahren muss man wohl eine DNA-Probe bei der Bank hinterlegen und dann seine DNA scannen um das elektronische Postfach zu öffnen 🤢

Gruß Morgenmond

---

@Morgenmond  schrieb: 

das was für dich Wunschvorstellung ist, ist für mich Alptraum ☹️

Ich kann diesen Sicherheitswahn nicht nachvollziehen und finde die Beschränkungen und Autorisierungen jetzt schon abartig.

Gewisse Sicherheitsvorkehrungen sind sicher sinnvoll aber man sollte auch bedenken: "Freiheit stirbt mit Sicherheit" Es sollte also im Rahmen bleiben.

---

Mit dem FIDO2/WebAuthn Standard ginge es einfacher, schneller UND sicherer als so wie es jetzt ist. Es geht auch nicht darum, irgendjemandem zusätzliche Sicherheiten aufzuzwingen. Es soll ja nicht obligatorisch werden. Es geht darum eine standardisierte, etablierte und professionell umgesetzte IT-Schnittstelle/Protokoll zu ergänzen, so wie das sämtliche modernen IT-Unternehmen haben (Google, GitHub, Dropbox, ... selbst Tesla hat es, obwohl es da wahrscheinlich kaum einer braucht.). Wer weiter so wie bisher machen will, könnte das danach ja auch weiterhin tun... nur dass jemand, der einen Security Key besitzt, um sich überall zu authentifizieren, sich dann auch komfortabler, schneller und deutlich sicherer als alle anderen Verfahren der Welt, bei der Comdirect einloggen/authentifizieren könnte... das ist alles, worum es geht. 

Im Übrigen sind es EU-Vorschriften, die dafür sorgen, dass es so ist, wie es derzeit ist (wie auch bei der größten Lästigkeit auf dem Planeten: Die Cookie-Meldung auf jeder Webseite...). Nur die CoDi hat die EU-Richtlinien leider übertrieben umgesetzt: Beispielsweise, dass ich mich jede Session gefühlt für jeden zweiten Klick erneut 2FA-authentifizieren muss, anstelle, dass es eine Session Authentifizierung einmalig am Anfang gibt und dann kann man machen was man will für 60 Minuten oder so. Andere Banken in Europa haben das viel besser gelöst.

Und genau deswegen gibt es Kunden wie dich, die die alten Zeiten vermissen..., weil man beim Thema Sicherheit halt viel verschlimmbessern kann, zum Beispiel, wenn man keine standardisierten und etablierten Sicherheitsschnittstellen, sondern irgendeine Individuallösung umsetzt [Oder wenn man Leute zwingt alle 3 Monate ihr Passwort zu ändern, selbst, wenn es hunderte Studien gibt, die belegen, dass dadurch alles viel unsicherer wird]. Ich glaube nirgends wird so viel verschlimmbessert wie bei IT-Sicherheit. 

Und genau deshalb rufe ich ja dazu auf, lieber das umzusetzen (bzw. als Option zu ergänzen), was kompetente Firmen in einen Standard gegossen haben... 

Einfach mal auf Youtube ein Video zu Security Keys ansehen, wie geil das in der Praxis ist, wenn man sich damit beispielsweise passwordless bei GMail anmeldet. Und wenn man sich dabei sogar noch sicher fühlt, weil man weiß, dass es eine unphishbare Methode ist, gibt es überhaupt keine Argumente dagegen.  

Hallo @DAX, 

jetzt übertreibt Du es ein bisschen mit der Produktwerbung und/oder dem Pushen eines Videos. 

---

@DAX  schrieb:

---

@Morgenmond  schrieb: 

das was für dich Wunschvorstellung ist, ist für mich Alptraum ☹️

Ich kann diesen Sicherheitswahn nicht nachvollziehen und finde die Beschränkungen und Autorisierungen jetzt schon abartig.

Gewisse Sicherheitsvorkehrungen sind sicher sinnvoll aber man sollte auch bedenken: "Freiheit stirbt mit Sicherheit" Es sollte also im Rahmen bleiben.

---

Mit dem FIDO2/WebAuthn Standard ginge es einfacher, schneller UND sicherer als so wie es jetzt ist. Es geht auch nicht darum, irgendjemandem zusätzliche Sicherheiten aufzuzwingen. Es soll ja nicht obligatorisch werden. Es geht darum eine standardisierte, etablierte und professionell umgesetzte IT-Schnittstelle/Protokoll zu ergänzen, so wie das sämtliche modernen IT-Unternehmen haben (Google, GitHub, Dropbox, ... selbst Tesla hat es, obwohl es da wahrscheinlich kaum einer braucht.). Wer weiter so wie bisher machen will, könnte das danach ja auch weiterhin tun... nur dass jemand, der einen Yubikey besitzt, um sich überall zu authentifizieren, sich dann auch komfortabler, schneller und deutlich sicherer als alle anderen Verfahren der Welt, bei der Comdirect einloggen/authentifizieren könnte... das ist alles, worum es geht. 

 

Im Übrigen sind es EU-Vorschriften, die dafür sorgen, dass es so ist, wie es derzeit ist (wie auch bei der größten Lästigkeit auf dem Planeten: Die Cookie-Meldung auf jeder Webseite...). Nur die CoDi hat die EU-Richtlinien leider übertrieben umgesetzt: Beispielsweise, dass ich mich jede Session gefühlt für jeden zweiten Klick erneut 2FA-authentifizieren muss, anstelle, dass es eine Session Authentifizierung einmalig am Anfang gibt und dann kann man machen was man will für 60 Minuten oder so. Andere Banken in Europa haben das viel besser gelöst.

 

Und genau deswegen gibt es Kunden wie dich, die die alten Zeiten vermissen..., weil man beim Thema Sicherheit halt viel verschlimmbessern kann, zum Beispiel, wenn man keine standardisierten und etablierten Sicherheitsschnittstellen, sondern irgendeine Individuallösung umsetzt [Oder wenn man Leute zwingt alle 3 Monate ihr Passwort zu ändern, selbst, wenn es hunderte Studien gibt, die belegen, dass dadurch alles viel unsicherer wird]. Ich glaube nirgends wird so viel verschlimmbessert wie bei IT-Sicherheit. 

 

Und genau deshalb rufe ich ja dazu auf, lieber das umzusetzen (bzw. als Option zu ergänzen), was kompetente Firmen in einen Standard gegossen haben... 

 

Einfach mal auf Youtube ein Video zum Yubikey ansehen, wie geil das in der Praxis ist, wenn man sich damit beispielsweise passwordless bei GMail anmeldet. Und wenn man sich dabei sogar noch sicher fühlt, weil man weiß, dass es eine unphishbare Methode ist, gibt es überhaupt keine Argumente dagegen.  

 

 

 

---

Bitte werfe doch mal einen Blick in die Community-Richtlinien oder wie die Menschen hier miteinander umgehen. Es gibt selten einen so deutlichen Beitrag, der ein einzelnes Produkt oder Dienstleistung pusht. 

Die Kosten von Sicherheitsmaßnahmen dürfen niemals den Nutzen übersteigen und müssen die Wahrscheinlichkeit einbeziehen. Wer sein Smartphone ungesperrt liegen läßt ist selber schuld. 

Das Abonnenten-Identitäts-Modul (SIM-Karte) ist ebenso nicht für den Gelegenheitsdieb fälschbar, wie er auch nicht ein Gerät gleicher IMEI klonen kann. 

Liebe Grüße

Gluecksdrache

Du kannst Yubikey auch mit Google Titan oder Ähnlichem ersetzen. Nur dass Security Key und Yubikey sich halt einfach so verhält wie Taschentücher zu Tempo. Die haben sich halt durchgesetzt und führen den Markt an. 

Wenn ich hier Tempo schreiben würde, käme keiner auf die Idee an Schleichwerbung zu denken. 

Hallo @DAX, 

anbei meine abschließende Würdigung. 

---

@DAX  schrieb:

Du kannst Yubikey auch mit Google Titan oder Ähnlichem ersetzen. Nur dass Security Key und Yubikey sich halt einfach so verhält wie Taschentücher zu Tempo. Die haben sich halt durchgesetzt und führen den Markt an. 

 

Wenn ich hier Tempo schreiben würde, käme keiner auf die Idee an Schleichwerbung zu denken. 

---

Die ganze Struktur der Kommunikation inkl. Aufstellen unbewiesener Tatsachen-Behauptungen sieht schon sehr nach einem hard-selling Ansatz aus. Wenn Du es freundlicher formulieren möchtest: Mängel erfinden und pro-aktives Verkaufen. 😊

Dazu ist aber diese Community zu schade. Bitte die allgemein übliche Netiquette einhalten, die sich durchgesetzt hat. Danke! 

Liebe Grüße 

Gluecksdrache 

Ich habe Yubikey durch Security Key in allen Beiträgen ersetzt, wo es Sinn macht.

Du kannst deine nervigen Tags jetzt wieder wegnehmen, genauso wie den Kommentar: "Betreff: Kann schlecht getarnte Produkt Werbung enthalten, sicheres Banking - bitte keine Produktwerbung" 

Google einfach mal Security Key und teile dann bitte mit, was die ersten 20 Hits und Bilder sind. Ups? Hab ich da gerade Werbung für Google gemacht? Ich meinte natürlich "Binge mal Security Key" oder "DuckDuckGoe mal Security Key". Googlen steht sogar im Duden. Der Duden macht Schleichwerbung für Google!!

Wie bereits gesagt: Yubikey verhält sich zu Security Key, wie Tempo zu Taschentuch. Es war nicht meine Intention irgendwelche Produktwerbung zu machen, sondern ich habe schlicht und ergreifend das gemacht, was jeder tut: Alltagssprache ohne Zensur. Wenn sich eine Firma ähnlich dominant durchgesetzt hat, wie Google bei den Suchmaschinen, dann ist es keine Schleichwerbung, sondern schlicht und ergreifend Alltagssprache, die man hier verwendet.