comdirect

Es ist eher die Angst vor der Blamage, dass irgendwann bei einem gerooteten Gerät ein Trojaner das sagen übernimmt und dann über die comdirect Bank App Transaktionen durchführt, die aber die Grundfesten der Finanzwelt sowas von erschüttert, dass selbst der Tower in Frankfurt am Main in den obersten Etagen zu wackeln beginnt.

Man könnte auch sagen: Es ist pure Unwissenheit im Kostüm einer "Management Entscheidung". 

SMT_Erik - Social-Media-Team - schrieb am ‎12.05.2021 13:17

"Als Alternative zur photoTAN via App bietet sich die Nutzung eines photoTAN-Lesegerätes oder das mobileTAN-Verfahren an."

Das mobile Tan Vervahren ist inzischen kostenpflichtig, da frage ich mich warum und das ist also deshalb auch keine Alternative
Wenn die für meisten Banken nutzbaren TAN Generatoren unterstützt würden, ware das tatsächlich eine Alternative, aber es muss ja eine Eigenentwicklung sein das photTan Lesegerät.

SMT_Erik -  Social-Media-Team - am ‎12.05.2021 15:32

ich zitiere aus den FAQs zur neuen photoTAN App, wo wir unseren Beweggrund erläutert haben:

"Der Grad der Härtung wurde bei der neuen Version aus sicherheitstechnischen Erwägungen angehoben."
.... Andererseits fällt es uns schwer sicherzustellen, dass auch jedes gerootete Gerät von seinem Nutzer mit dem notwendigen Maß abgesichert wird.

Immer wieder die selben Argumente,  ohne zu berücksichtigen, dass eine ungerootetes Smartphone das schon seit Jahren keine Sicherheitsupdates mehr erhält mindestens genauso unsicher ist wie ein gerootetes Gerät. Und wie schon viele schreiben: Wer rooten kann hat auch eigentlich das KnowHow das System sicherer zu machen.

Das sieht man durchgehend bei allen Betriebssystemen - diejenigen die sich mit der Konsole auskennen haben die sichereren Systeme

Ja die Kosten von 9 Cent sind für mich auch nicht nachvollziehbar. 2-3 Cent sollten realistischer sein. Wieso man auf geröteten Geräten nicht einfach nur PhotoTan erlaubt und push nicht deaktiviert, verstehe ich auch mit einem Trojaner befallenen Gerät nicht.

Ohne das Triggern über den PC und die anschließende Eingabe dort kann auch ein Trojaner nichts tun (Äquivalent zur mTan). Das beim Pushtan-Verfahren eine Freigabe auf dem Gerät erfolgt und man da vorsichtig sein will, kann ich sogar nachvollziehen.

Wünschen würde ich mir hier kostenfreie Alternativen (keinen teuren Elektrischrott, sobald sich das Verfahren ändert).

Beispielsweise ein Versenden einer mTan via E2E-verschlüsseltem Signal-Protokoll. Der Endkunde könnte den Sicherheitsschlüssel der Bank scannen und so sicherstellen, dass die Daten auch wirklich von der Bank kommen. Das wäre mal was innovatives, aber wir leben ja hier in Deutschland, da bleibt man in alten Mustern....

Gerade wollte ich die photoTAN-App auf dem nicht gerooteten Tablet installieren (auch wenn dies aufgrund der dort aktiven Datensammler von Google, Amazon, Facebook & Co. vermutlich unsicherer ist als mein gerootetes Gerät - comdirect hat ja für uns Kunden entschieden, dass derartige Geräte vorzuziehen sind).  Leider habe ich dabei festgestellt:

* Die Aktivierungsgrafik aus dem alten Brief von 2018 funktioniert nicht mehr (sie sieht farblich auch etwas anders aus als die neuen Grafiken)
* Die angeblich auf der comdirect-Website zu findende Aktivierungsgrafik für weitere Geräte wird nicht angezeigt, obwohl es dort unter "Weiteres Gerät aktivieren" heißt "Alternativ können Sie ein weiteres Gerät auch mit ihrem Aktivierungsbrief aktivieren".  Wieso "Alternativ" - offenbar gibt es nur die Möglichkeit, einen neuen Brief zu bestellen
* Bis der neue Aktivierungsbrief kommt, funktioniert photoTAN überhaupt nicht mehr, stattdessen fallen unnötige Gebühren für mTAN an - viele andere Anbieter und auch Banken senden OTPs (One Time Passwords) jedoch kostenlos per SMS; wieso nicht auch comdirect?

Da wünsche ich mir doch, dass comdirect erst einmal diese deutlich gravierenden Probleme behebt, bevor man sich akribisch die IMHO unnötige Mühe macht, Geräte mit Root-Zugriff auszuschließen.

"* Die Aktivierungsgrafik aus dem alten Brief von 2018 funktioniert nicht mehr"

Ich hatte mit älteren Geräten immer Schwierigkeiten die älteren Aktivierungsgrafiken zu erkennen.
Am besten ging es mit vollem Sonnenlicht und dann manchmal erst nach einigen Versuchen.
Ironie an:
Vielleicht ist das der technische Schutz gegen alte ungerootete Smartphones mit veralteter Soft- und Hardware
Ironie aus

Das Ganze geht hier nun schon seit über einem Jahr. Alle Argumente wurden schon x-mal ausgetauscht. Die codi wird das nicht ändern.

Ich kann nur jedem empfehlen die alte Version 7.x zu installieren und das Handy als Lesegerät zu aktivieren. Dann gehen sogar wieder mehrere Konten auf einem Gerät auch wenn sie nicht verknüpft sind.

@etron770 

Du gehst in Deiner Überlegung immer davon aus, dass der Nutzer das Handy gerooted hat und sich daher auskennt.

Die Bank geht davon aus, dass das Handy von Malware gerooted wurde und damit die Sicherheit des Kunden gefährdet ist.

Wie wir gelernt haben wird der Ausgang der Rennens vom Kultur-Clash zwischen Technikern und Managern bestimmt.

Und der Manager muss am Ende sagen wo es lang geht.

Nur wenn der Techniker in der Lage ist dem Manager in der Sprache des Managers zu erklären was Sinn macht und was nicht, und dabei die eingeschränkten Möglichkeiten des Managers, komplizierte technische Zusammenhänge zu verstehen, mit bereücksichtigt, wird das Unterfangen auch gelingen. 

Bei der Personalauswahl ist es dabei also hilfreich, wenn der Techniker in etwa weiß was für den Manager wirklich relevant ist, und dass der Manager die Gefühle des Technikers richtig einzuschätzen weiß.

Bei Daimler Benz beispielsweise gelingt das einigermaßen gut in den letzten Jahren.

Bei der Commerzbank leider nicht.