comdirect

Hallo Weinlese,

leider muss ich feststellen, dass Du meine Nachrichten nicht gelesen hast. - Sonst hättest Du wohl nicht ernsthaft in Frage gestellt, dass TAN-Verfahren auf Smartphones unsicher sind bzw. *dass ich sie generell für unsicher halte*!?
Keine Sorge, bei meinen ausführlichen Erläuterungen werde ich mich nicht großflächig selbst zitieren. Diesen einen Satz muss ich aber wohl doch wiederholen: 'Kein Sachverständiger würde sich wohl trauen, guten Gewissens ein Smartphone (oder anderes Android-Gerät) für die Nutzung als sicheren "2. Faktor" zu empfehlen!'
Ich glaube, aus meinen Ausführungen kann der geneigte Leser herauslesen, dass ich über etwas Expertise auf diesem Gebiet verfüge. Ich hatte allerdings von Anfang an nicht vor, hier einen Vortrag über die Sicherheit unterschiedlicher TAN-Verfahren oder heutiger Mobilgeräte zu halten. Alles was ich bereits angesprochen habe, kann von jedem Leser selbst recherchiert werden.
Auf den Hinweis bezüglich mobileTAN werde ich nicht weiter eingehen. Bereits seit April 2010 sind in der deutschen Wikipedia auf vielen Bildschirmseiten die ebenfalls vielen Angriffsmöglichkeiten ausführlich beschrieben, die übrigens nichts mit "Laborbedingungen" zu tun haben. Darunter sind gängige Verfahren, um jemandes Identität, auch nur kurzzeitig, übernehmen zu können. Jeder wird wohl mindestens eine Person persönlich kennen deren Identität (E-Mail-Zugang, Namen, Telefonnummer, Adresse, Whatsapp- und sonstige Accounts) schon einmal gestohlen bzw. zweckentfremdet verwendet wurde! Das ist in der heutigen, vernetzten Welt leider der Normalfall.
Falls jemand nicht selbst recherchieren kann bzw. möchte: Die Abschnitte https://de.wikipedia.org/wiki/Transaktionsnummer#Sicherheit und https://de.wikipedia.org/wiki/Transaktionsnummer#M%C3%B6gliche_Angriffe (gehören beide speziell zu mTAN, auch wenn man es den Links nicht ansieht) erschließen einiges.
(Die Wikipedia ist übrigens nicht mehr so "schlimm" wie früher. Allein in diesen zwei Abschnitten zähle ich über zwei Dutzend Quellenangaben. Natürlich würde ich bei einem solch sicherheitskritischen Thema eher andere Quellen zitieren. Ich möchte allerdings auch technisch nicht so versierte Leser dazu animieren, sich einmal selbst zu informieren.)

Auch von der Ignoranz der Fakten (und meiner Argumente, die diese Fakten erläutern sollten);
- nämlich der GRUNDSÄTZLICHEN Unterschiede zwischen einem EC-Kartenleser im Schrank, der dem Nachweis des echten zweiten Faktors dient und niemals mit Fremdsoftware verändert werden kann, und
- einem mobilen Gerät (meistens mit Netzwerkverbindungen), von dem niemand weiß, was darauf überhaupt so alles läuft oder in Zukunft laufen wird (andere Nutzer-Apps, Trojaner / Viren / Überwachungs- und Fernsteuerungssoftware, beliebig "unbekannte" Hintergrunddienste, Updates und andere ferngesteuerte Softwareänderungen),
werde ich mich nicht locken lassen! Ich weiß nicht, woher Du Dein "Wissen" von der nur "theoretisch noch etwas höheren Sicherheit von chipTAN" beziehst, welche sich nur "im hinteren Nachkommastellenbereich" bewegen soll. Aus dieser Aussage kann ich nur schließen, dass Du Dich zu den angesprochenen 99 % zählen möchtest.
Ich weiß, dass ich in meinem 1 % eher einsam bin. Ich mache mir aber schon lange sehr viel Arbeit, um diese kleine Blase der informierten Menschen weiter aufzublasen.

Meine hierfür abschließende Bemerkung kann nur lauten (könnte wohl aus dem Bericht eines jeden IT-Security-Verantwortlichen stammen):
Ein Gerät, über dessen Hardware wie auch Software NIEMAND konkrete Aussagen treffen kann, kann auch NIEMALS als sicher gelten!
Ergo: Kein Smartphone der Welt, welches aus im Detail unbekannter Hardware (nicht die Auflösung der Kamera! sondern eventuelle Hintertürchen, direkt in der Hardware!) aufgebaut ist und bereits in der Grundinstallation der Software keinen Grund für "Vertrauen" liefert (sondern im Normalfall absolut vertrauensunwürdig ist) und in der Folge durch die Nutzer selbst wie auch andere Interessenten ständig in seiner Funktionalität angepasst wird, kann JEMALS als sicher gelten!


Bezüglich meiner letzten Nachrichten musste ich leider feststellen, dass meine Argumente anscheinend keinerlei Beachtung finden (nicht einmal gelesen werden) - ganz egal, wie viel Arbeit ich mir mit deren Aufarbeitung gemacht habe.
Ich werde mich deshalb von diesem Beitrag zurückziehen und den Firefox-Tab schließen. 🙂
Wir waren ohnehin "etwas" vom ursprünglichen Thema abgeschweift. 😜


Viele Grüße und vielleicht auf ein Wiedersehen bei einem anderen Thema
NetY

---

@NetY2  schrieb:

Bezüglich meiner letzten Nachrichten musste ich leider feststellen, dass meine Argumente anscheinend keinerlei Beachtung finden (nicht einmal gelesen werden) - ganz egal, wie viel Arbeit ich mir mit deren Aufarbeitung gemacht habe.

---

Obwohl die Beiträge sehr ausführlich waren, habe ich sie dennoch komplett

gelesen und verstehe auch die grundsätzlichen Sicherheitsbedenken insbesondere

bei Nutzung nur eines Smartphones für die 2-Faktor-Authentifizierung.

Aber als Kundin ist für mich vor allem wichtig, dass ich kein Geld

verliere, wenn Betrüger es schaffen, unberechtigt Überweisungen von

meinem Konto aus durchzuführen.

Und das scheint mir bei der comdirect gewährleistet, denn wenn es wirklich

mal zu betrügerischen Überweisungen kommen sollte, gilt das "Bei-uns-sind-Sie-sicher-Versprechen" der comdirect https://www.comdirect.de/cms/sicherheit-sicherheitsversprechen.html