comdirect

---

@petnos  schrieb:

 

Und als dummer Bankkunde benötige ich zwei Geräte um sicher zu sein? Das ist echt Sinnfrei! Kann mir doch die Bank ein zweites Smartphone oder Laptop kostenlos zukommen lassen. Das wäre mal was 🙂

 

 

---

Nicht alles, was über Deinen Tellerrand hinausgeht, ist sinnfrei. Die Mehrzahl der Kunden hat sicherlich ein Smartphone und einen PC/Mac und für die ist Phototan die einfachste Lösung, da ohne weitere Kosten möglich. Durch die Trennung der Geräte ist es auch kein Sicherheitsproblem.

Und nein, ich möchte nicht dass die comdirect mir Smartphone oder Laptop zur Verfügung stellt. Das Geld muss sie erst verdienen und dann zahle ich es als Kunde indirekt mit.

Vorschlag:  Du hast verstanden, dass die comdirect kein Chiptan anbietet und dies auch in der Zukunft nicht tun will. Dann mach Dir doch das Leben einfach und suche Dir eine Bank, die ChipTan anbietet. Dann bist Du zufrieden und die comdirect kann den Verlust verschmerzen.

@petnos 

Ja unter Laborbedingungen. Die Jungs haben auch gesagt das es in der Realität so nicht umsetzbar wäre. Danach wurde die App auch noch mal überarbeitet. Hatten wir hier alles schon 1000 mal.

Und für Chiptan brauche ich keine zwei Geräte? Ach das ist mir neu. Ich dachte immer ich brauche nen Rechner und das Chiptan reinsteck Dingsbums. Kling wie bei Phototan. Da brauch ich nen Rechner und mein Smartphone mit der App oder den Tangenerator von der codi.

Wenn Du was neues zu erzählen hast kannst Du Dich ja wieder melden.

---

@Goliath74 

Und für Chiptan brauche ich keine zwei Geräte? Ach das ist mir neu. Ich dachte immer ich brauche nen Rechner und das Chiptan reinsteck Dingsbums. Kling wie bei Phototan. Da brauch ich nen Rechner und mein Smartphone mit der App oder den Tangenerator von der codi.

 

 

---

mit dieser APP, siehe Photo braucht man für einfache Überweisungen kein zweites Smartphone.

Gruß

---

@petnos  schrieb:

 

DIE SICHERHEIT: Nur mit einem externen Generator stuft Stiftung Warentest die Sicherheit als „sehr hoch“ ein, mit der App lediglich als „hoch“. 

***

Und als dummer Bankkunde benötige ich zwei Geräte um sicher zu sein? Das ist echt Sinnfrei! Kann mir doch die Bank ein zweites Smartphone oder Laptop kostenlos zukommen lassen. Das wäre mal was 🙂

 

---

Unterschiedliche TAN-Verfahren waren immer schon unterschiedlich sicher. Chip-TAN bzw. andere Verfahren mit externen Generatoren sind beileibe nicht neu und waren seit jeher deutlich sicherer als Papierlisten oder SMS-TAN.

“Hohe” Sicherheit ist sicher nicht “keine” Sicherheit. Die implizite Aussage, dass man nicht sicher sei, wenn man sich nicht für bestmögliche Sicherheit entscheidet, ist unlogisch.

Siehe Tagesspiege-Zitat oben, genau DAS ist unsicher, nämlich die beiden Apps untereinander kommunizieren oder das Bankgeschäft mit derselben App zu verarbeiten, die das Punktemuster liest.

---

@ChristophFranzen  schrieb:

Siehe Tagesspiege-Zitat oben, genau DAS ist unsicher, nämlich die beiden Apps untereinander kommunizieren oder das Bankgeschäft mit derselben App zu verarbeiten, die das Punktemuster liest.

---

Nur mit einem externen Generator stuft Stiftung Warentest die Sicherheit als „sehr hoch“ ein, mit der App lediglich als „hoch“.

Hohe Sicherheit bedeutet nun also nicht sicher? Das ist eine eigentümliche Interpretation.

---

@Frnk  schrieb:

---

@ChristophFranzen  schrieb:

Siehe Tagesspiege-Zitat oben, genau DAS ist unsicher, nämlich die beiden Apps untereinander kommunizieren oder das Bankgeschäft mit derselben App zu verarbeiten, die das Punktemuster liest.

---

Nur mit einem externen Generator stuft Stiftung Warentest die Sicherheit als „sehr hoch“ ein, mit der App lediglich als „hoch“.

 

Hohe Sicherheit bedeutet nun also nicht sicher? Das ist eine eigentümliche Interpretation.

---

Ich denke, es geht um die App2App-Kommunikation

Separates System - sehr hohe Sicherheit

App ohne App2App - Kommunikation - hohe Sicherheit (z.B. Phototan auf dem Smartphone und Überweisung auf dem PC/Tablet)

App2App - Sicherheit ? (Überweisung und Phototan auf einem Gerät)

Der Angriffsvektor ist ein ähnlicher. 

Ist die TAN-App kompromittiert, passiert z.B. Folgendes: Der Angreifer überschreibt die Informationen, die in der App zur Bestätigung angezeigt werden. Man sieht dort dann "100 Euro auf Konto 123" – das, was man selbst eingegeben hat. Die Angreifer haben aber die eigentlichen Überweisungsdaten verdeckt geändert. Freigegeben wird statt dem, was angezeigt wird, in Wahrheit dann "500 Euro auf Konto 456".

Dabei spielt die Kommunikation zwischen den Apps eine Rolle. Es muss aber auch die Banking-App selbst zusätzlich kompromittiert sein, damit man die Kommunikation mit dem Bankenserver beeinflussen kann. Diese kann aber auch anderweitig kekapert werden. Man-in-the-middle-Angriffe müssen die Kommunikation mit dem Server der Bank beinflussen können, nur zwischen den Apps selbst reicht nicht. Die Banking-App muss die manupilierte Überweisung bei der Bank einreichen, die Bank sendet die Autorisierungsanfrage auf einem anderen Kanal zurück an die App. Wenn man nur die Kontrolle über die Kommunikation zwischen den Apps hat, kann schlechtedings die eigentliche Überweisung aufs Konto desr Betrüger selbst nicht angepasst werden.

Die Forschungsergebnisse entstanden unter Laborbedingungen, mit gerooteten Smartphones und speziellen Apps, die die Forscher umgeschrieben haben und die die Apps der Banken quasi ersetzt haben. Die Gefahr, dass das von fremder Hand auf dem eigenen Smartphone geschiet, besteht, ist aber gering, wenn man sich an gägnige Praktiken hält, ganz allgemein sein Telefon vor Schadsoftware jeglicher Art fernzuhalten.

SMS-Swapping dagegen ist eine viel reellere Gefahr mit unzäligen tatsächlichen Schadfällen.

Alte Verfahren sind nicht sicherer. Banken haben z. B. häufig SMS-TAN und App-Verwendung nicht gestattet, weil es "auf einem Gerät" stattfinden könnte. Hat man auf dem selben Gerät dann aber das Webbanking überr den Browser aufgerufen, waren Transaktionsfreigaben häufig wieder möglich. Schützte

Die Frage, die sich Anwender stellen sollten ist, ob App-TAN sicherer ist als andere Verfahren. Und alle Wissenschaftler, die Stiftung Warentest, … schätzen App-TAN sicherer ein als SMS-TAN. Dass es nicht der Goldstandard ist, steht außer Frage.

Passt vielleicht nicht ganz zum Thema, aber wie hoch die Anforderungen der EU in Sachen Zahlungssicherheit sind, hat ein Video von marktcheck gezeigt.

Vielleicht sollten wir in Zukunft alle auf eine Armlänge Abstand achten, während wir im Cafe sitzen, durch die Einkaufszone schlendern und beim Bäcker anstehen und ungeschützt sind. Ansonsten könnten wir vom freundlichen Gegenüber beklaut werden ohne es zu bemerken.

Marktcheck gelang es wiederholt 25 Euro von Kredit-/Geldkarten abzubuchen, ohne dass es der Inhaber mitbekommt, und wer denkt, bei 25 Euro sei Schluss, sieht sich getäuscht, denn es war auch möglich dreistellige Beträge quasi im Vorbeigehen abzubuchen. So etwas wäre mit Bargeld nicht so einfach möglich.

So viel zu den Anstrengungen unserer geliebten EU in Sachen Zahlungssicherheit.