comdirect

CurtisNewton · ‎20.10.2023

Reisserischer Titel, worum geht es?

Es gab mal wieder einen Prozess wegen Telefonphishing, der klassische Fall jemand wird am Telefon zur Herausgabe von TANs genötigt und danach ist ein Haufen Geld weg. Die Bank wird auf Schadenersatz verklagt, Klage abgewiesen da das Verhalten des Kunden grob fahrlässig.

Wo ist nun das Problem?

Das Gericht weist in einem Nebensatz darauf hin dass die notwendigen Vorraussetzungen für 2FA nicht erfüllt sind wenn die Banking App und die App zum TAN generieren sich auf dem gleichen mobilen Endgerät befinden, was wohl heute bei 99% der mobilen Bankkunden der Fall.

Jetzt bin ich mal gespannt was passiert...

Klick

Abgesehen davon gilt nach Auffassung des Gerichts, dass nicht nur das klassische PIN/TAN-Verfahren, bei dem die jeweils zu verwendende TAN vom Zahlungsdienstnutzer selbst ausgewählt werden kann, die für einen Anscheinsbeweis erforderliche sehr hohe Wahrscheinlichkeit vermissen lässt [...,] sondern auch das vorliegend zur Anwendung kommende pushTAN-Verfahren, in dem die TAN auf dem Mobiltelefon in einem anderen Programm (App) angezeigt wird, als demjenigen, das den Bankzugang ebenfalls mittels auf demselben Smartphone installierter BankApp (SecureGo-App) vermittelt. Denn die für die Sicherheit des smsTAN-Verfahrens wesentliche Trennung der Kommunikationswege (Übermittlung des Zahlungsauftrages übers Internet am Computer und Mitteilung der TAN per SMS ans Mobiltelefon) wird damit aufgegeben, wobei der besondere Komfort dieses Verfahrens (gesamter Zahlungsvorgang ohne Zusatzgerät mit nur einem einzigen Mobilgerät) deren Verbreitung gefördert hat ([...] mit Verweisen auf wissenschaftliche Untersuchungen zum hohen Gefährdungspotential bei Verwendung nur noch zweier Apps auf einem Gerät statt Nutzung getrennter Kommunikationswege sowie Hinweisen des Bundesamts für Sicherheit in der Informationstechnik und der Schlussfolgerung, deshalb liege keine Authentifizierung aus wenigstens zwei voneinander unabhängigen Elementen i.S.v. § 1 Abs. 24 ZAG vor).

--------------------
"Die Zukunft hat viele Namen: Für Schwache ist sie das Unerreichbare, für die Furchtsamen das Unbekannte, für die Mutigen die Chance." - Victor Hugo

CurtisNewton · ‎22.10.2023

Ich vermute dass der Magnetstreifen noch als Backup aktiv ist. Mich hatte vor einiger Zeit (2-3 Jahre) die Bank angerufen ich solle mich nicht wundern wenn ich die nächsten Tage einen neue Karte bekäme, der Geldautomat hätte gemeldet dass der Chip defekt ist und meine Karte würde momentan nur noch über den Magnetstreifen funktionieren. Ich habe allerdings keine Ahnung ob der dann nur bei der eigenen Bank noch geht oder überall.

--------------------
"Die Zukunft hat viele Namen: Für Schwache ist sie das Unerreichbare, für die Furchtsamen das Unbekannte, für die Mutigen die Chance." - Victor Hugo

HaPa · ‎22.10.2023

Ich hatte tatsächlich mal den Fall, dass man von mir erst einige Stellen der Pin-App (erst die ersten 3, dann die 2. 3 Stellen wollte - dachte ich bin im falschen Film) und dann als Ersatz weil ich mich weigerte eine Tan.

Ich hab mich schön veräppelt gefühlt und wäre maßlos enttäuscht, wenn Mama oder so da etwas rausgegeben hätten....es war aber WIRKLICH die Bank (Consors oder Codi nicht mehr sicher)

CurtisNewton · ‎23.10.2023

Im Telefonservice bzw. Banking ist natürlich genauso eine 2FA notwendig, ansonsten könnte ja jeder der deine Kontodaten kennt einfach anrufen und beliebige Aufträge aufgeben. Der Unterschied ist dass du dann ja selbst die Bank anrufst und nicht angerufen wirst.

--------------------
"Die Zukunft hat viele Namen: Für Schwache ist sie das Unerreichbare, für die Furchtsamen das Unbekannte, für die Mutigen die Chance." - Victor Hugo

Floppy85 · ‎23.10.2023

Skimming dürfte eigentlich kein Thema mehr sein. Aber im unterentwickelten Deutschland wird ja immernoch der analoge Enkeltrick angewendet - man kommt also bei älteren Leuten an soviel Geld (mehr wie man am Automaten abheben könnte), weil die Gauner wissen, dass Deutsche die Gewohnheit haben, Bargeld und Wertsachen zu Hause zu bunkern, weil "iST JA SiCHERer zU HaUSe ... diese pöööhsen Banken, die mein Geld wollen" 😉

alba96 · ‎23.10.2023

@CurtisNewton schrieb:

Jetzt bin ich mal gespannt was passiert...

Was sollte passieren? Für die Erkenntnis dass Banking App und TAN-Generator auf demselben Gerät nicht wirklich dem Gedanken an Trennung der Kommunikationskanäle entspricht, ist nicht neu und wurde bereits oft genug thematisiert.

Die Randbemerkung eines unbedeutenden Richters an einem unbedeutendem Gericht, zumal sie nichts mit dem verhandelten Sachverhalt zu tun hat, wird da nichts ändern.

Die Banken haben sich entschlossen, diese Konstellation zuzulassen. Sie dürften am besten wissen, ob und welcher Schaden dadurch pro Jahr entsteht.

Zumal kein Kunde gezwungen wird, das so zu handhaben. Es ist jedem freigestellt, ein separates Gerät für die TAN App zu verwenden.

Mit ist kein Fall bekannt, bei dem diese Konstellation bösartig ausgenutzt wurde. Warum auch? Wie ein Vorposter bereits geschrieben hat, sind Smartphone Betriebssysteme so sicher, dass ein Angriff sehr aufwändig sein dürfte.

Die allermeiste Zahl der Betrugsfälle basiert doch darauf, dass jemand am Telefon dazu überredet wurde, die Überweisung freiwillig auszulösen.

Das viel einfacher und billiger als ein modernes Smartphone zu hacken.

ehemaliger Nutzer · ‎23.10.2023

@alba96 schrieb:

Wie ein Vorposter bereits geschrieben hat, sind Smartphone Betriebssysteme so sicher, dass ein Angriff sehr aufwändig sein dürfte.

Allerdings unter der Einschränkung, dass der Hersteller gefundene Sicherheitslücken auch zeitnah schließt. Je nach Modell und Preisklasse ist der Supportzeitraum für Softwareupdates unterschiedlich lang, von "maximal ein Jahr bis gar nicht" zu "sieben oder mehr Jahre" ist da alles dabei. Eigentlich kann man nur ein iPhone, ein Pixel oder eines der teureren Galaxy-Modelle kaufen, wenn man sein Gerät für was sicherheitsrelevantes nutzen möchte. Vielleicht bessert sich das in Zukunft, die neue EU-Gesetzgebung soll ja mindestens 5 Jahre Sicherheitsupdates vorschreiben.

Die Frage ist, ob dem Kunden zugemutet werden kann, seine Geräte auf dem aktuellen Stand zu halten und ob er andernfalls dafür haftet, wenn er dies versäumt. Oder ob die Bank mitverantwortlich ist und z.B. alte Betriebssystemversionen softwareseitig ausschließt. Dann beschweren sich allerdings die Kunden, wenn ihre App plötzlich nicht mehr geht, und alternative Lösungen wie SMS-TAN haben noch mehr Probleme. Man könnte natürlich auch erzwingen, dass die Kunden zwei unterschiedliche Geräte nutzen müssen. Das würden viele aber wohl als Bevormundung empfinden.

Letzten Endes muss die Bank immer abwägen zwischen "Risiken durch Betrug minimieren" und "Kunden durch zu viel Sicherheitstheater vergraulen". Wenn die Betrugsfälle selten genug sind und die Summen niedrig, dann kann man den Schaden auch einfach ersetzen bzw. versichern lassen.

alba96 · ‎24.10.2023

Die Frage ist, ob dem Kunden zugemutet werden kann, seine Geräte auf dem aktuellen Stand zu halten und ob er andernfalls dafür haftet, wenn er dies versäumt. Oder ob die Bank mitverantwortlich ist und z.B. alte Betriebssystemversionen softwareseitig ausschließt. Dann beschweren sich allerdings die Kunden, wenn ihre App plötzlich nicht mehr geht, und alternative Lösungen wie SMS-TAN haben noch mehr Probleme. Man könnte natürlich auch erzwingen, dass die Kunden zwei unterschiedliche Geräte nutzen müssen. Das würden viele aber wohl als Bevormundung empfinden.

Ja, wenn man seine Geräte nicht ohnehin alle 4-5 Jahre erneuert, ist die Anschaffung eines neuen Geräts nach Ablauf des Supportzeitraums durch die Bankapp der Preis, den wir für unsere "kostenlosen" Konten bezahlen müssen.

Floppy85 · ‎24.10.2023

Da die Bank den Kunden nicht anweisen kann (sondern nur Empfehlungen ausspricht), sorgfältig zu agieren, sollte sich die Bank haftungstechnisch aus der Sache rausnehmen. Wenn ein Kunde so wenig technischen Verstand besitzt, dass er quasi auf Teufel komm raus alles falsch macht, was man nur falsch machen kann, dann sehe ich nicht ein wieso die Bank (und damit auch die Kunden der Bank) für Schäden oder fahrlässige Handlungen aufkommen sollte. Wenn sich Kunden überfordert fühlen von Technik und Digitalisierung, dann müssen sie eben personalintensive Steinzeit-Methoden nutzen, aber dürfen dann nicht den Anspruch haben, dass sie es für lau bekommen, bzw. müssen mit den zeitlichen Einschränkungen klarkommen.

comdirect

Das Ende des mobilen Bankings?