comdirect

CurtisNewton · ‎20.10.2023

Reisserischer Titel, worum geht es?

Es gab mal wieder einen Prozess wegen Telefonphishing, der klassische Fall jemand wird am Telefon zur Herausgabe von TANs genötigt und danach ist ein Haufen Geld weg. Die Bank wird auf Schadenersatz verklagt, Klage abgewiesen da das Verhalten des Kunden grob fahrlässig.

Wo ist nun das Problem?

Das Gericht weist in einem Nebensatz darauf hin dass die notwendigen Vorraussetzungen für 2FA nicht erfüllt sind wenn die Banking App und die App zum TAN generieren sich auf dem gleichen mobilen Endgerät befinden, was wohl heute bei 99% der mobilen Bankkunden der Fall.

Jetzt bin ich mal gespannt was passiert...

Klick

Abgesehen davon gilt nach Auffassung des Gerichts, dass nicht nur das klassische PIN/TAN-Verfahren, bei dem die jeweils zu verwendende TAN vom Zahlungsdienstnutzer selbst ausgewählt werden kann, die für einen Anscheinsbeweis erforderliche sehr hohe Wahrscheinlichkeit vermissen lässt [...,] sondern auch das vorliegend zur Anwendung kommende pushTAN-Verfahren, in dem die TAN auf dem Mobiltelefon in einem anderen Programm (App) angezeigt wird, als demjenigen, das den Bankzugang ebenfalls mittels auf demselben Smartphone installierter BankApp (SecureGo-App) vermittelt. Denn die für die Sicherheit des smsTAN-Verfahrens wesentliche Trennung der Kommunikationswege (Übermittlung des Zahlungsauftrages übers Internet am Computer und Mitteilung der TAN per SMS ans Mobiltelefon) wird damit aufgegeben, wobei der besondere Komfort dieses Verfahrens (gesamter Zahlungsvorgang ohne Zusatzgerät mit nur einem einzigen Mobilgerät) deren Verbreitung gefördert hat ([...] mit Verweisen auf wissenschaftliche Untersuchungen zum hohen Gefährdungspotential bei Verwendung nur noch zweier Apps auf einem Gerät statt Nutzung getrennter Kommunikationswege sowie Hinweisen des Bundesamts für Sicherheit in der Informationstechnik und der Schlussfolgerung, deshalb liege keine Authentifizierung aus wenigstens zwei voneinander unabhängigen Elementen i.S.v. § 1 Abs. 24 ZAG vor).

--------------------
"Die Zukunft hat viele Namen: Für Schwache ist sie das Unerreichbare, für die Furchtsamen das Unbekannte, für die Mutigen die Chance." - Victor Hugo

Silver_Wolf · ‎22.10.2023

@CurtisNewton schrieb:

Wo ist nun das Problem?
Das Gericht weist in einem Nebensatz darauf hin dass die notwendigen Vorraussetzungen für 2FA nicht erfüllt sind wenn die Banking App und die App zum TAN generieren sich auf dem gleichen mobilen Endgerät befinden, was wohl heute bei 99% der mobilen Bankkunden der Fall.

Ich glaube nicht daß 99% der Kunden so dämlich sind Bankgeschäfte mit Kontozugriff auf dem Handy zu machen. 🙂

Gut, bei der ING wird man dazu gezwungen, bei der DKB demnächst wohl auch. 😞

Das werden diese Banken wohl nochmal überdenken müssen.

Ansonsten macht man Überweisungen aber doch zuhause am Computer.

Oder dem Tablet, und nur die Freigabe über das Handy.

DirkHSK · ‎22.10.2023

Ich glaube du unterschätzt die Anzahl der Menschen, die nur noch ein Handy als Datenverarbeitungsgerät beaitzen, und das wird zunehmen.

Antonia · ‎22.10.2023

@Silver_Wolf schrieb:
...
...

Ansonsten macht man Überweisungen aber doch zuhause am Computer.
Oder dem Tablet, und nur die Freigabe über das Handy.

Boomer, wa?

Was ist am Computer besser/sicherer als am Phone?

Immer mehr Bankkunden nutzen ausschließlich das Phone.

Davon mal abgesehen, es gibt keine Situation bzw keinen Geschäftsvorgang bei dem man eine TAN mündlich und schon gar nicht am Telefon rausgeben müsste.

Wer allerdings sein halbes oder ganzes Leben mit dem Phone organisiert, sollte auf seinen kleinen Schatz besonders gut 8 geben!

Da haben die Boomer aber einen erheblichen Vorteil, sie wissen noch, wie ein Leben ohne geht...

Grüße von Antonia
____________________
Alle Männer haben nur zwei Dinge im Sinn: Geld ist das andere. Jeanne Moreau

CurtisNewton · ‎22.10.2023

@Silver_Wolf schrieb:
Ich glaube nicht daß 99% der Kunden so dämlich sind Bankgeschäfte mit Kontozugriff auf dem Handy zu machen. 🙂

Wenn ich auf dem Handy den Kontostand prüfe ist das ja schon ein Vorgang der eine TAN benötigt, wenn auch nur alle 90 Tage.

Oder Rechnung, warum soll ich die abtippen wenn ich auch einfach den Barcode scannen kann?

--------------------
"Die Zukunft hat viele Namen: Für Schwache ist sie das Unerreichbare, für die Furchtsamen das Unbekannte, für die Mutigen die Chance." - Victor Hugo

Lars123 · ‎22.10.2023

Natürlich hat das Gericht Recht, wenn es sagt, dass eine 2FA alles auf einem Gerät, egal ob zwei getrennte Apps oder sogar alles in einer, keine richtige 2FA ist. Ist das Gerät kompromittiert, sind beide, PIN und Tan, potenziell kompromittiert, was ja genau verhindert werden soll....

Das lässt sich auch nicht heilen, das ist ein grundsätzliches Problem weil man das ursprüngliche Prinzip untergraben hat mit den Apps.

Ob das ein relevantes Risiko ist, hängt letztlich von der Sicherheit der Apps und Geräte ab. Demgegenüber ist ein Tan-Generator ohne Internetverbindung halt prinzipiell nicht kompromittierbar. Hat leider auch nichts mit Boomer zu tun, das gilt auch für GenZ und später.....

ehemaliger Nutzer · ‎22.10.2023

Betriebssysteme für Smartphones sind tatsächlich sicherer als Betriebssysteme für klassische PCs. Sie sind neuer - und man konnte aus vergangenen Fehlern lernen. Beispielsweise war es unter Windows, macOS und Linux lange üblich, dass jedes Programm auf alle Daten des aktuellen Benutzers zugreifen und meist auch ändern kann, oder dass alle Tastatureingaben mitgelesen werden können oder der Bildschirm abgefilmt oder das Mikrofon eingeschaltet werden kann, ohne dass der Benutzer das merkt.

Die Smartphone-Betriebssysteme Android und iOS waren von Anfang an wesentlich abgeschotteter. Jede App ist von den anderen isoliert und kann Daten nur über vordefinierte Schnittstellen austauschen, wozu die jeweilige Berechtigung erst vom Benutzer angefordert werden muss. Zudem verfügen neuere Smartphones über spezielle Hardware, mit denen biometrische Merkmale sicher gespeichert werden können (man kann überprüfen lassen, ob z.B. ein gegebener Fingerabdruck zu dem gespeicherten passt, aber den gespeicherten nicht auslesen).

Beides, die softwareseitige Sicherheit und die bessere Hardware, hält inzwischen auch auf PCs Einzug, aber weil man kompatibel mit älteren Programmen bleiben will, kann man es nicht so rigoros umsetzen, wie bei den Smartphones. Darum sind Smartphones immer noch deutlich sicherer, aber natürlich gibt es hier auch Sicherheitslücken, die je nach Hersteller und Modell unterschiedlich schnell geschlossen werden. Manchmal auch gar nicht. Dann ist die theoretisch hohe Sicherheit wieder dahin.

Ich gehe dieses Risiko lieber nicht ein und benutze daher den TAN-Generator der comdirect. Das funktioniert auch sehr gut mit der mobilen App, dann scant man eben den QR-Code vom Handybildschirm ab. Man müsste also schon in meine Wohnung einbrechen und den TAN-Generator stehlen und durch einen manipulierten austauschen. Und wenn mein Smartphone gehackt wurde, würde ich am Displays des TAN-Generators sehen, dass die Überweisung ganz wo anders hingeht oder einen anderen Betrag hat als gewünscht.

Floppy85 · ‎22.10.2023

Der größte Sicherheitsfaktor ist immernoch der Kunde ... der DAU. Es ist theoretisch möglich, aber eher selten, dass ein Hacker das Smartphone UND den PC eines Users hackt und so munter Transaktionen tätigt. Das Problem ist das Verhalten der Leute, die die simple Regel "wenn du per Mail oder Anruf aufgefordert wirst Login-Daten preiszugeben, dann niemals machen" einfach nicht in ihren Schädel bekommen. Auch diverse Geldabhebungen mit gestohlenen Karten ... wo man sich immer fragt "woher hatte der Dieb die PIN zu der Karte ?" zählen dazu. Ich wette, dass in der Generation Ü60 bestimmt mehr wie 50% der Leute ihre PIN auf die Karte schreiben oder nen Zettel in der Geldbörse haben, wo die PIN draufsteht. Fakt ist, es wird nie 100% ig sicher sein und wer jetzt mit den guten, alten Papierhaften Überweisungen kommt ... auch die wurden schon aus Briefkästen "gefisht" und Unterschriften lassen sich auch einfach fälschen ... oder der Briefkasten wurde zu Silvester angezündet und die Leute wundern sich plötzlich über Mahnungen ... weil Viele ohne Online Banking auch nur 1x im Monat ihre Auszüge holen, da sie gar nicht mit der Möglichkeit vertraut sind, ihre Umsätze online zu prüfen.

Morgenmond · ‎22.10.2023

@Floppy85 schrieb:
... Auch diverse Geldabhebungen mit gestohlenen Karten ... wo man sich immer fragt "woher hatte der Dieb die PIN zu der Karte ?" zählen dazu. Ich wette, dass in der Generation Ü60 bestimmt mehr wie 50% der Leute ihre PIN auf die Karte schreiben oder nen Zettel in der Geldbörse haben, wo die PIN draufsteht. ...

Schon mal was von Skimming gehört?

Das ist der Hauptgrund wie Diebe an Automaten zu Bargeld kommen (weiß leider nicht mehr wo ich die Statistik gesehen habe).

Wobei dies nur ein kleiner Teil des Betruges ist, der große Teil des Diebstahls findet online statt.

Steht deine Wette noch?

Ich würde sofort dagegen wetten !

Zeig mal die Statistik die dies wiedergibt oder ist das nur dein Bauchgefühl?

Gruß Morgenmond

ehemaliger Nutzer · ‎22.10.2023

Ist Skimming in Europa noch relevant? Wir haben doch schon sehr lange chipbasierte Authentifizierung auf unseren Karten. Anders als ein Magnetstreifen kann der Chip nicht kopiert werden, man erlangt also höchstens die PIN die ohne Karte aber nutzlos ist. Dann müsste man die Karte nach erfolgreichem Skimming auch noch unbemerkt stehlen.

Ok, man könnte die Daten vom Magnetstreifen ins Ausland schicken, dort überschreibt ein Komplize den Magnetstreifen einer anderen Karte und hebt bei einer dortigen Bank mit niedrigeren Sicherheitsstandards ab. Ich vermute, in diesem Fall bleibt dann aber die ausländische Bank auf dem Schaden sitzen, vor allem wenn der Kunde beweisen kann, dass er nicht in dem jeweiligen Land zum Tatzeitpunkt war. Weiß da jemand näheres?

comdirect

Das Ende des mobilen Bankings?