comdirect

---

@Nanus  schrieb:

...

Zweitens: Was sollten solche Zahlen aussagen? Wer Zugriff auf fremde Konten haben will, weiss auch, was er dafür braucht: PIN und TAN. Dabei ist es wesentlich schwieriger, an eine TAN zu kommen, die sich jedesmal ändert, oder eine PIN, die über einen längeren Zeitraum gleicht bleibt! Bisher war es doch so, wenn jemand eine PIN "gehackt" hatte, konnte er zwar sehen, was auf dem Konto los ist, aber noch nicht viel anstellen (ohne TAN). Jetzt reicht die PIN um 5 x 30 EUR zu überweisen!

 

---

Nein, die Möglichkeit der Überweisung von Kleinbeträgen ohne TAN ist nicht neu, das ging IMHO mit der Mobox und auch mindestens bei einer anderen Bank seit geraumer Zeit

VG

Also Herr @SMT_Erik,

Auf ihre Sicherheit verlasse ich mich keineswegs.

Sie kriegen nicht mal Content Security Policy für die Seite umgesetzt!

https://webbkoll.dataskydd.net/en/results?url=http%3A%2F%2Fkunde.comdirect.de

Und ihr SSL Zertifikat weist auch gravierende Sicherheitslücken auf!

https://www.ssllabs.com/ssltest/analyze.html?d=kunde.comdirect.de&hideResults=on

Und die Apps ließen sich früher auch schon aushebeln.

https://www.google.de/amp/s/www.heise.de/amp/meldung/31-lueckenhafte-Banking-Apps-Forscher-entlarven...

Also tut mir Leid, wenn ich auf die doppelte Sicherheit bestehe. Oder geben Sie mir Fakten, dass Sie jetzt gelerbghabeng.

Mit freundlichen Grüßen

StR

@pharmholz 

Sorry, aber da bleibt dir wohl nur noch ein Wechsel der Bank.

Die comdirect geht mit der Zeit und bietet einen Kompromiss aus Sicherheit und Bequemlichkeit an. Das ist gut und richtig und sowas erwarte ich auch von einer innovativen Onlinebank.

Andere Banken mögen die Kleinüberweisungen ohne TAN vielleicht noch nicht so handhaben aber werden da auch noch nachziehen. Google Pay und Apple Pay sind auf dem Vormarsch und werden diese Entwicklung noch weiter beschleunigen.

Es glaubt doch wohl keiner ernsthaft, dass die comdirect so eine Entscheidung einfach so trifft, ohne vorher die Risiken abzuwägen.

Nicht nur das Risiko möglicher monetärer Schäden (durch das Sicherheitsversprechen) sondern vor allem auch das Risiko eines großen Imageschadens wäre doch sonst nicht akzeptabel.

Eine Onlinebank, die aufgrund ihres "unsicheren Online Bankings" mit auftretenden Betrugsfällen negativ in der Presse erscheint, kann doch im Grunde zumachen.

Ich verweise noch ein letztes Mal auf das Sicherheitsversprechen und die bis heute komplett ausbleibenden Betrugsfälle im Online Banking der comdirect. Wenn es in der Hinsicht Probleme bei einzelnen Kunden gibt, dann passiert das nicht durch Hacking sondern durch Phishing oder einfache Fahrlässigkeit oder Unaufmerksamkeit des betroffenen Kunden selbst.

So unsicher, wie hier manche das Online Banking machen, müsste es ja täglich mehrere Betrugsfälle durch Hacking geben.

Wenn es jemanden stört, dass man ab sofort Kleinüberweisungen auch ohne TAN ausführen kann, dann ist das Online Banking vielleicht doch nicht das Richtige und man sollte vielleicht wieder handschriftlich Überweisungsträger bei der Bank einreichen.

Aber hoppla, das ist sogar noch unsicherer. Da werden Unterschriften meist ab 500 Euro aufwärts überhaupt erst geprüft.

Soviel dazu...

@Norior:
So einfach kann man es sich auch nicht machen. Das sog. "Sicherheitsversprechen" ist im Ernstfall genauso viel Wert wie eine freiwillige Garantie eines Händlers, bei der der Anbieter selbst festlegt, wann die Garantie greift und wann nicht. Vertraglich relevant sind nur gesetzliche Regelungen und die vom Kunden akzeptierte AGBs - und die sprechen bei der comdirekt ganz andere Sprache. Dort wird nämlich der Kunde zur "besonderen Sorgfalt" beim Umgang mit den Zugangsdaten angehalten und selbst wenn die von der Bank tolerierten, ja geradezu geförderten,  jeglichen IT-Sicherheitsrichtlinien widersprechende gemeinsame Nutzung von PhotoTAN-App und Banking-App auf demselben Handy vornimmt, dann verzichtet die Bank großzügigerweise auf die Geltendmachung des eigenen Schadens (wohlgemerkt: es geht um den Schaden der Bank, nicht den Vermögenschaden des Kunden durch sein leergeräumtes Konto).
Solange dieses Werbeversprechen und die AGBs so eklatant auseinander liegen, bewegt es sich auf dem Niveau von Handyversicherungen und Berufsunfähigkeitsversicherungen - die bekanntlich auch nicht oder erst nach Klageerhebung zahlen.
Und was die "Fahrlässigkeit" des Kunden anbelangt: PSD2 sei Dank kommen immer mehr Dienstleister auf den Markt, die aus welchen Gründen auch immer die Zugangsdaten des Kunden einfordern. Aktuelles Beispiel: Die Fidorbank verlangt bei Beantragung eines Dispos die Zugangsdaten zum Onlinebanking des Gehaltskontos. Es wird nicht lange dauern, da kommen andere Vermittler, Vermieter etc und wollen auch Zugang zum Konto, um dies oder jenes zu "überprüfen". Diese Dienstleister sitzen irgendwo in der Welt, deren Personal arbeitet heute für Banken und vertickt morgen Handyverträge. Es ist also nur eine Frage der Zeit bis Identitätsdiebstahl und daraus resultierende Vermögensschäden auch die comdirect (bzw deren Kunden) treffen werden.

Ich nehme zwar keine SSL-Zertfikate o.ä, unter die Lupe, aber wenigtens Basis-Funktionalitäten wie etwa die Angabe des letzten Logins (mit IP-Adresse!) und - meinetwegen optionales - 2FA sind von einer Onlinebank erwartbar. Inzwischen kann man jedes E-Mailkonto bei Google oder Microsoft besser absichern als das eigene Onlinebanking. Ich verstehe auch nicht, warum sich deutsche Banken (es betrifft ja nicht nur die comdirect) beim Thema Sicherheit so schwer tun. Ich habe noch aus Studi-Zeiten ein Konto in den USA bei einer kleinen örtlichen Bank. 2FA sind da schon lange Standard und jeder "außergewöhnliche" Zugriff wird sofort und völlig transparent per E-Mail kommuniziert. Auch gegen Phishing hat diese Bank eine einfache aber wirksame Maßnahme ergriffen: Jeder Kunde vererinbart ein individuelles Symbol, das nach dem Einloggen angezeigt wird - erfolgt der Login über eine Phishing-Seite, fehlt dieses Symbol - und man erhält per E-Mail eine Info über einen Loginversuch von unbekannter Stelle.

Hallo Erik,

security by obscurity ist ja nun nicht gerade ein modernes Sicherheitskonzept. und Ihre Argumentation mit Komfort und Sicherheit kann ich auch nicht nachvollziehen. Komfort würde für mich bedeuten, wenn ich die Wahl hätte ob ich mit TAN oder ohne überweisen möchte. Als Geschädigter beim Kredikarten Skimming gehen bei mir die Alarmglocken an. Bei der Kredikarte habe ich den Schaden ja nach 3 Monaten (keine einfache Zeit für mich) ersetzt bekommen. Bei Überweisungen ist die Erstattung des Schadens ja nicht zu erwarten. Ich kann nur hoffen, dass comdirect hier nachbessert.

MfG

Heiko

Hi Erik 🙂

Du sagst: "Ich kann nachvollziehen, dass unser Sicherheitskonzept (das wir aus Gründen der Sicherheit hier nicht im Detail erläutern oder debattieren werden) dem einen oder anderen zu einfach oder sorglos erscheinen mag. Dennoch hat es sich in der Praxis bewährt und erfüllt vor allem die Ansprüche an Komfort und Sicherheit gleichermaßen."

Darauf kann ich Dir nur antworten: Brav dahergesagt, dein Chef wird zufrieden sein, aber wir beide wissen doch hoffentlich, dass das bull**piep** ist. *lacht*

Welches Szenario muß ich als Angreifer denn jetzt nur noch fahren, um in kürzester zeit Millionen an Euro von den Konten hunderttausender Kunden von euch zu transpherieren? ... Eigentlich ganz einfach.

Ich muß nicht die PC's der Kunden hacken, ich muß die Bank hacken. Wenn ich Eure PW-listen stehlen kann, also die Zugangsdaten Eurer Kunden, so wie das bei allen großen internet-Konzernen, sei es nun Google, Apple oder Sony schon vorgekommen ist, dann stehen mir mit einemSchlag millionen an comdirect-Kundenkonten offen, und ich kann vollautomatisiert und mit ständigem Wechsel der IP und jeder obfuskations Methode, die mir lieb ist, wild Buchungen kreuz und quer über den Planten schicken. Dabei muß ich mich nicht mal persönlich bereichern. Es genügte schon, wenn ich einfach nur zum Spaß die Vermögen einfach zufällig wild durchmische.

Das kann ich in einem großen Angriff (der vermutlich schnell von euch statistisch detektiert würde) oder aber in zig tausend, kleinen unterschwelligen Angriffen über viele Wochen machen, oder ich verkaufe die PW Listen einfach, oder stelle sie kostenfrei im darknet für alle Spinner des Planeten zur Verfügung. die dann alle auf diesen Zug aufsprängen.

Seid ihr dann auch noch so cool wie Du dich jetzt gibst? Oder ginge das nicht vielleicht doch etwas an die Substanz dieser online-Bank?

Und sage nicht, das ist unwahrscheinlich. Unwarscheinlich ist nur, dass es euch nicht träfe. Denn jedes Computersystem ist angreifbar, vor allen das einer Bank. Aufgrund der Größe und Komplexität und der Vielzahl an Mitarbeitern.

Grüße

Es wäre in jedem Fall ein riesiger Spaß.

---

@Findbhair  schrieb:

Hi Erik 🙂

Du sagst: "Ich kann nachvollziehen, dass unser Sicherheitskonzept (das wir aus Gründen der Sicherheit hier nicht im Detail erläutern oder debattieren werden) dem einen oder anderen zu einfach oder sorglos erscheinen mag. Dennoch hat es sich in der Praxis bewährt und erfüllt vor allem die Ansprüche an Komfort und Sicherheit gleichermaßen."

 

Darauf kann ich Dir nur antworten: Brav dahergesagt, dein Chef wird zufrieden sein, aber wir beide wissen doch hoffentlich, dass das bull**piep** ist. *lacht*

Welches Szenario muß ich als Angreifer denn jetzt nur noch fahren, um in kürzester zeit Millionen an Euro von den Konten hunderttausender Kunden von euch zu transpherieren? ... Eigentlich ganz einfach.

 

 

[bla-bla-bla]

 

 

Grüße

 

Es wäre in jedem Fall ein riesiger Spaß.

---

Ich finde es immer niedlich, wenn sich Leute mit irgendeinem eingegrenzten Detailwissen dazu aufschwingen global-galaktische Horrorszenarien aufzubauen.

Besonders dann, wenn man schon durch die Zeilen sehen kann, wie sie jetzt an liebsten in James-Bond-Manier sophisticated an der Wand lehnten und den armen Erik kalt lächelnd niederargumentieren.

Aber irgendwie ist das auch immer ein wenig peinlich...

Keine Ahnung was die Obfuskations-Methode ist, juckt mich auch nicht, weil ich weiß, dass die BaFin auch die kleinste Quickborner Popelbank mit genug Regularien gängelt und fühle mich hier einigermaßen sicher.

Die meisten hier im Forum wollen einfach Geld machen, du etwa nicht?

Dann würde ich dir folgende Optionen vorschlagen:

1. Die comdirect hacken und die Phantastilliarden einsacken

2. Bei der comdirect als Sicherheitsconsultant mit schwarzem Anzug und Sonnenbrille anfangen

3. Die Bank wechseln

In absteigender Reihenfolge der Verdienst- bzw. Einsparmöglichkeiten.

Dann wäre doch allen geholfen, oder? 

🎠

hx