comdirect

ehemaliger Nutzer · ‎29.01.2020

hallo, zwar wurde zunächst diese 2-faktor-initiative ausgerollt, aber trotzdem finde ich es erschreckend, dass man nur die online-zugangsdaten braucht, um sensible daten wie

- name

- kontosalden

- umsätze

- depotaufstellung

zu sichten - ganz ohne zwei-faktor-authentifizierung.

derzeit habe ich noch sms-tans aktiviert (unsicher), und hoffe, dass mit dem bestellten phototan-generator der oben genannte umstand verschwindet (!).

denn ansonsten sind den kriminellen tür und tor offen - insbesondere bei sms-tan.

diese stellen einfach einen imsi-catcher in der nähe des opfers auf (bis zu 2km funkreichweite) und fischen seine sms bsw. ab. davon merkt der anwender nichts, weil jedes handy alle signale ungefiltert akzeptiert... zzgl. sogar zum ausrollen von schadsoftware über stille sms oder aktivierung von best. hintergrunddiensten zur spionage auf heute mittlerweile funktionsmächtigen sim-karten...

zum vergleich: bei maxblue / deutsche bank bsw. muss man sich zwingend schon beim login doppelt authentifizieren - sprich, das wissen um die online-zugangsdaten reicht da nicht...

mfg

Frnk · ‎30.01.2020

Sie sind mir aber ein sehr gut informierter Scherzkeks.

Unlängst waren 9 Mitarbeiter von Telefonanbietern vor Gericht, wei sie der Mitwirkung bei einem SIM-Tausch-Betrug angeklagt wurden.

Die Ansage, externe Reader würden nicht genutzt werden, ist absurd. Sparkassen, Volksbanken bieten "Chip-TAN" schon seit 2003 in verschiedenen Versionen an. Natürlich wird das rege genutzt, auch bei Comdirekt, Consorsbank. Und die Postbank hat unlängst ebenfalls ein neues Verfahen auf Basis einer externen Hardware eingeführt.

Ich fürchte, deine Meinung zum Thema ist schon so fundiert formuliert, dass es jetzt auch nichts hilft, wenn ich die Risikoeinschätzung des BSI dazu anführe. Wie wäre es mit der Doktorarbeit jenes Wissenschaftlers, der die App-TAN-Verfahren zerlegt hat? Anstelle sich also nur auf die zweifelsohne verwundbaren neuen TAN-Verfahren zu kaprizieren, studiere doch auch den Abschnitt zu SMS-TAN.

https://opus4.kobv.de/opus4-fau/frontdoor/index/index/docId/11321

Haupert erwähnt außerdem in der abschließenden Zusammenfassung, dass es technisch wirksame Lösungen zur (Hardware-)Gerätebindung bei App-TAN-Verfahren gibt. Das ist der nächste logische Schritt, die Solarisbank und auch die DKB nutzen das bereits in einfacher Form, andere vermutlich auch. Die Anname, SMS-TAN sei sicherer als die neuen Verfahren, ist aber schlichtweg falsch.

Weinlese · ‎31.01.2020

@Smurf schrieb:
Um sich per Handschlag zu bedanken oder wie meinst du das?

Wer deinen Account gehackt hat und zudem deine SMS abfängt kann dein Konto bequem von Timbuktu aus plündern...

Im Ausgangsbeitrag war die Rede von ISMS-Catchern in der Nähe des Opfers (Zitat: "bis zu 2km Funkreichweite").

Viele Grüße

Weinlese

Smurf · ‎31.01.2020

@Weinlese schrieb:
@Smurf schrieb:
Um sich per Handschlag zu bedanken oder wie meinst du das?

Wer deinen Account gehackt hat und zudem deine SMS abfängt kann dein Konto bequem von Timbuktu aus plündern...
Im Ausgangsbeitrag war die Rede von ISMS-Catchern in der Nähe des Opfers (Zitat: "bis zu 2km Funkreichweite").

Viele Grüße
Weinlese

Ah okay danke für die Aufklärung. Hab ich wohl überlesen. Aus meiner Praxis ist mir ein solches Vorgehen allerdings bislang noch nicht untergekommen. Interessant.

Gruss

ehemaliger Nutzer · ‎05.02.2020

@Frnk

alles soweit richtig. umso brisanter finde ich es, dass die sog. phototan-app von comdirect nur mit der comdirect-bankingapp aktiviert werden kann.

so aber wird die phototan-app automatisch unsicher, sobald ein trojaner die kommunikation auf dem smartphone zwischen den apps mitlesen und manipulieren kann (!).

in den agb schreibt jede bank - inkl. comdirect - dass man nicht für entstandene schäden aufkommt, wenn das onlinebanking und die authentifizierung auf demselben gerät statt finden (!).

d. h. comdirect bastelt sich eine 2-wege autohentifizierung per app, die dem kunden kein mehrgewinn an sicherheit bringt.

und ich habe mich dauernd gewundert, warum ich die phototan-app nicht auf dem smartphone akvieren kann, als stand-alone (so wie es richtig wäre).

nunja, jetzt ist dieses kleine schwarze daheim, als im prinzip sicherste offline-alternative.

weiterhin bleibt aber der makel des depots, dass man sensible kundendaten auch ohne 2-faktor-login sichten kann - sofern der kunde sich bereits binnen 90 tagen einmal eingeloggt habe.

das finde ich inakzeptabel.

mfg

Frnk · ‎05.02.2020

Hey @ehemaliger Nutzer, das sind leider längst überholte Infos.

Wann hast du die Comdirect-AGBs das letzte Mal wirklich gelesen? Nur SMS-TAN ist explizit untersagt bei der Verwendung auf dem selben Gerät. Die App-TAN-Verfahren natürlich nicht. Die sind ja häufig so konzipiert, dass sie direkt miteinander arbeiten. Banken haben die AGBs natürlich entsprechend angepasst. Wäre doch absurd, wenn Banken extra Features von Apps entwickeln und deren einzigen Daseinszweck dann in den AGBs von der Nutzung auschließen.

Wie du schreibt ist es völlig richtig, dass die Installation von Banking- und TAN-App auf dem selben Gerät eine Schwachstelle ist. Aber Frage ist doch nicht, ob App-TAN angreifbar ist. Die Frage ist, ob es nach Einschätzung der Forscher zum Thema im Vergleich zu SMS-TAN ein Gewinn an Sicherheit ist.

Aber es muss ja auch niemand so machen.

Das bringt uns zur Aktivierung: Den Einwand verstehe ich nicht. Im Onlinebanking kann man einen Brief zur Aktivierung beantragen. Der kommt mit der Post. Damit aktiviert man die TAN-App. Die Banking-App muss man dazu überhaupt nicht installiert haben. Man kann die App stand-alone verwenden. Ruf’ doch bei der Kundenbetreuung an, die helfen dir, das nach deinem Wunsch einzurichten.

So. Ich bin dan mal raus hier. Seitdem Onlinebanking nicht mehr über BTX läuft, ist es eh unzumutbar mit der Sicherheit.

ehemaliger Nutzer · ‎04.04.2020

hallo,

mich interessieren nicht irgendwelche leute, die multibanking betreiben mit irgendwelchen apps - und das wäre eher die minderheit.

fakt ist, dass andere banken, bsw. die db, es schaffen, den sog. komfort-login (alle 90 tage) _optional_ anzubieten.

wieso hier die comdirect wie die mehrheit der banken (sparkassen, volksbanken etc.) quasi für jeden kunden 90tage auf den zweiten faktor verzichten, halte ich für falsch.

interessant: die muttergesellschaft der comdirect, commerzbank, hat auf meine anfrage hin geantwortet, dass bei denen _jeder_ login eine tan brauche (und vermutlich hier nur optional dei 90-tage-regel).

weiterhin mangelhaft bei comdirect: scant man die phototan ab, zeigt das display beim login nicht die eigene kontonummer an. das kann die db besser und wirkt seriöser.

und was mich noch mehr stört an dem photo-tan der comdirect und was wie hingeklatscht schnell-schnell wirkt:

es gibt keine sichtbare bestätigung der genutzten tan auf der website nach freigabe der transaktion. man gibt die tan vom gerät ins eingabefeld ein und der nächste bestätigungsdialig erhält nicht die tan, welche abgefragt wurde.

das kann die db (und wahrscheinlich auch die commerzbank) ebenfalls besser.

die ganze phototan/2fa-geschichte der comdirect wirkt extrem sparsam aufgelegt, als ob man das in letzter minute gemacht hätte...

umso enttäuschender, da der mutterkonzern der comdirect es vernünftig macht.

mfg

ehemaliger Nutzer · ‎06.04.2020

Hallo @ehemaliger Nutzer,

dein Feedback gebe ich sehr gerne weiter.

Viele Grüße

Mario

ehemaliger Nutzer · ‎16.04.2020

alles klar chef.

roger and out.

kevkev · ‎13.03.2021

Ich finde das auch erschrekend, sehr naiv und überlege deshalb die Bank zu wechseln. Ich finde der Kunde sollte selbst die Möglichkeit haben einstellen zu können nach wie vielen Tagen er wieder die TAN beim Login eingibt.

bz · ‎13.03.2021

Hallo,

ein älterer Thread, aber immer noch aktuell.

Die Diskussion, was sicher ist und was unsicher ist, reißt nie ab. Man darf aber nie vergessen, daß die Benutzbarkeit gegeben sein muß.

Zum TAN-Zwang

Ich bin mir ziemlich sicher, daß bei vielen Kunden TAN-Zwang bei jedem Login die Häufigkeit senkt, das Konto zu checken. Das mag bei Vieltradern nicht zutreffen, oder denjenigen, die immer ihr Smartphone an der Hand haben. Aber das ist ja nicht bei jedem gegeben. Weniger Konto-Checks senken wiederum die Sicherheit.

Ich habe mein Privatkonto bei der Comdirect und verwalte auch noch ein Geschäftskonto bei einer anderen Bank. Bei beiden wird meist keine TAN beim Login verlangt, und ich finde das sehr praktisch. Ständiger TAN-Zwang würde mich da total nerven.

Es spricht aber überhaupt nichts dagegen, daß man den TAN-Zwang einstellbar macht. Denkbar wäre auch, den TAN-Zwang davon abhängig zu machen, ob man sich vom selben Browser aus wiederholt einloggt.

Zur Online-PIN

An die Login-Daten kommen Fremde ja nicht so einfach heran. Ich gebe meine PIN nur auf dem PC ein, von dem ich Online-Banking betreibe. Wenn die PIN dort jemand abfischt, ist er sowieso schon mit drauf und kann alles mitlesen. Also hier sehe ich kein Problem.

Problematisch ist es, wenn die PIN noch woanders benötigt wird. Und das ist bei der Comdirect leider gegeben, nämlich:

• Telefon-Zugang

• Initialisierung TAN-App

Mußte ich beides schon mal machen, habe aber direkt danach die PIN geändert. Es läßt sich also wieder ausbügeln.

Sicherheit als solche

Was sicher ist und was nicht, bleibt ein ewiger Streit. Absolut sicher ist kein Verfahren. Aber man kann die Sicherheit gigantisch erhöhen, wenn man zwei voneinander unabhängige Zugänge kombiniert.

Ich benutze einen PC für das Banking und seit neuestem ein Smartphone mit Photo-TAN (offline) und bin damit voll zufrieden.

Grüße.

comdirect

ungenügende privatsphäre online-banking