comdirect

kammann · ‎11.04.2019

Sorry, aber die Freigabe zum Teilen des TAN-Generators durch das SMT erscheint mir grob fahrlässig: Die Mathematiker und Kryptologen, die den Sicherheitsstandard HDD 1.4 für TAN-Verfahren entwickelten haben sich durchaus etwas dabei gedacht, als sie TAN-Generator und Authentifizierungsmerkmal voneinander getrennt haben – beim „echten“ PhotoTAN-Verfahren mit Chipkarte kann man daher problemlos den TAN-Generator gemeinsam benutzen, denn das geheime Unterscheidungsmerkmal befindet sich auf der zusätzlich benötigten Chipkarte (Girocard).

Commerzbank und comdirect benutzen hingegen ein abgespecktes PhotoTAN-Verfahren, bei dem das Authentifierungsmerkmal auf den TAN-Generator „geladen“ wird. Genaugenommen können bis zu 8 unterschiedliche Merkmale gespeichert werden, es findet aber keine weitere Authentifizierung am TAN-Generator statt. Das kann man vom Sicherheitsniveau etwa vergleichen mit einem Dual-SIM Handy, bei dem bei beiden SIM-Karten die Pin-Abfrage deaktiviert wird – Jeder der in Besitz eines solchen Handys gelangt kann unbegrenzt auf beiden SIM-Karten telefonieren. Übertragen auf den TAN-Generator: Jeder der Zugriff auf den TAN Generator hat, kann über alle dort hinterlegten Konten verfügten, wenn z.B. über ein Phishing-Angriff vorher Zugangsnummer+Passwort ausgespäht wurde.

Die comdirect macht es sich hier meiner Meinung zu einfach und verlagert das Sicherheitsrisiko auf den Kunden – jede von einem aktivierten TAN-Generator freigegebene Transaktion wird die Bank dem Kunden zuordnen, der den betreffenden Zugang aktiviert hat. Im Falle eines Diebstahls oder einer Kopie des Authentifizierungsmerkmals haftet somit der Kunde.

Dieses Vorgehen der Bank erinnert mich stark an die ersten Skimming-Fälle bei den damaligen ec-Karten an Geldautomaten. Damals argumentierten die Banken auch, dass die damaligen ec-Karten mit Magnetstreifen sicher wären und unterstellten betroffenen Kunden, dass sie ihre PIN auf der Karte notiert hätten. Unzählige Gerichtsverfahren wurden zu Lasten der Kunden entschieden, bis klar wurde, dass Betrüger über gut getarnte Lesegeräte am Automaten + Kamera die Karten kopieren und die PIN ausspähen konnten. Da die Banken die Schuld nicht mehr länger auf die Kunden schieben konnten, wurden die schon Jahre vorher entwickelten Chipkarten zum Standard bei den heutigen Girocards.

Ich fürchte, dass sich diese Geschichte mit „halbgaren“ TAN-Verfahren wiederholen wird.

Weinlese · ‎12.04.2019

@kammann schrieb:
Die comdirect macht es sich hier meiner Meinung zu einfach und verlagert das Sicherheitsrisiko auf den Kunden

In einem anderen Thread hat jemand argumentiert, die comdirect reagiere überfürsorglich und lasse den Kunden nicht selbst Risiken tragen, weil sie das iTAN-Verfahren für den Wertpapierhandel nicht mehr zulässt. Wie man es als Bank also auch macht, irgendjemand wird sich immer unfair behandelt fühlen.

Viele Grüße

Weinlese

Goliath74 · ‎12.04.2019

@kammann schrieb:
Übertragen auf den TAN-Generator: Jeder der Zugriff auf den TAN Generator hat, kann über alle dort hinterlegten Konten verfügten, wenn z.B. über ein Phishing-Angriff vorher Zugangsnummer+Passwort ausgespäht wurde.

Du hälst einen Pishing-Angriff mit anschließendem Einbruch in die Wohnung, um an das Lesegerät zu kommen, für möglich?

Ich denke nicht.

Dann kann der jenige auch gleich die Karte klauen und schon ist das "echte" phototan Verfahren auch für die Katz.

Das ist alles zu viel evtl., vielleicht, wenn und aber.

Ich glaube daran wenn Grönland die erste bemannte Basis auf dem Mond eröffnet.

SMT_Erik · ‎12.04.2019

Hallo @kammann,

vielen Dank für deinen Hinweis. Du hast Recht, da wir auch in unseren AGB auf die Pflicht zur Geheimhaltung bei der Nutzung von Authentifizierungsinstrumenten hinweisen und damit haben @ehemaliger Nutzer und ich uns mit unseren Aussagen geirrt. Sorry!

Ich werde die letzten Posts entsprechend korrigieren.

Gruß aus Quickborn

Erik

Hilfreiche Links:

Unsere Community-Regeln | Labels in der Community | Tipps & Tricks rund um die Community
3 Zutaten für den perfekten Communitybeitrag | Der Community-Adventskalender!

thomasw · ‎12.04.2019

Schade, dass comdirect nicht erlaubt, dass ich die comdirect App auf einem anderen Gerät installieren möchte, als die photoTan-App. Das ist m.E. ein Sicherheitsrisiko.

Bis dahin werde ich eine Drittanbieter App fürs Banking nutzen, die die comdirect photoTanApp unterstützt ...

Goliath74 · ‎12.04.2019

Dann nehm doch die mobile App auf dem einen und die phototan App auf dem anderen Gerät. Das geht.

thomasw · ‎12.04.2019

Das geht wohl nicht. Hat mir auch comdirect so bestätigt.

Oder welche mobile App meinst Du? Mit Apps von Drittanbietern funktioniert es. Aber nicht mit denen von comdirect ...

Goliath74 · ‎12.04.2019

Diese App von comdirect zeigt Dir auch auf dem Handy die phototan Grafik an und Du kannst Sie mit einem anderen Gerät scannen. Eben ausprobiert. https://www.comdirect.de/cms/kontakt-zugaenge-mobile-app.html

dkb-Kunde · ‎14.04.2019

@Jodi schrieb:
Vor allem wenn man auch die günstigere Methode mit dem TAN Genarator anbieten könnte. Mir scheint, dass man die kleinen Fische los werden will. Ich befasse mich auf jeden Fall gerade mit Alternativen. Die ING wird das Verfahren mit dem TAN Generator anbieten und die DKB hat es auch. Da ich bei beiden bereits Kunde bin, schaue ich mal ob ich nicht alles dort dann mache.

Same thing here.

Eigentlich hatte ich die Überlegung, so in etwa mittelfristig - je, nachdem, wie sich das Ganze hier bei genauem Hinschauen und je nach den gemachten Alltagserfahrungen entwickelt - zumindest mit einem Teil meines Depots zur angebl. so kostengünstigen Testsieger-comdirect zu wechseln.

Das hat sich ab sofort erledigt.

Wer derart seine Kunden zu gängeln versucht - wie bspw. aktuell beim nachgeraden Erzwingenwollen bestimmter Prozeduren beim Online-Banking, der kann sich gerne seine Einlagen selbst backen ... da hab' ich ganz einfach keinen Bock drauf.

Die "... bedingunglos kostenlose ..." comdirect-Onlinekonto-Variante erweist sich inzwischen in Wahrheit, beinahe von Quartal zu Quartal und über alles betrachtet, als sukzessive unkostentreibende Verhohnepiepelung.

Dazu noch diese (eigentlich fast unehrlichen) Kommunikationsstrategien gegenüber (hinterfragenden) Kunden, dass wechselweise die BaFin, die PSD 2 oder wer weiss sonst noch die eigentlichen Verursacher der (versteckten Neben-) Kosten seien... Man selbst wolle ja nicht unbedingt, man müsse halt leider, leider... Z. B. mittels (sehr) teurem, noch dazu proprietärem Hardwareverkauf so nebenbei weiteren Umsatz aus vorgeblich kostenlosen Angeboten zu generien versuchen. Top!

Da kann ich dann entweder gleich wieder vollständig zur hiesigen Volksbank

zurückwechseln ... oder mir die zwei, drei anderen reinen Onlinebanken anschaun, die de facto wirklich so gut wie kostenlos sind - selbst über alles betrachtet; und dies trotz PSD 2, trotz Multifaktor-Authentifizierung/-Verifizierung und Co.

Warum kann der angebl. "Bank neu denken"-Testsieger nicht tatächlich und ehrlich wenigstens das, was andere können?

Goliath74 · ‎14.04.2019

Ich zahle bei der codi nichts für mein Girokonto, nicht für mein Depot, nichts für meine Tans sondern ich zahle den normalen Preis für eine Order. Das war´s.

@dkb-Kundeviel Spaß bei der Volksbank oder dkb.

comdirect

iTAN geht. photoTAN kommt. FAQ zur Umstellung.