comdirect

---

@NichtDoch  schrieb:

Mit der Session TAN wird dieser Schutz aber ausgehebelt. Sobald ich eine Transaktion ausgeführt habe, könnte ein Trojaner auf meinem PC sämtliche Wertpapiere automatisiert verkaufen, bevor ich überhaupt die Chance habe, auf Logout zu drücken.

---

... und Du hat die Kohle auf dem Konto. Das ist für mich eben der Unterschied -- Wertpapierhandel ist nicht Onlinebanking, eher Onlineshopping. Und die Bafin meint:

 

Das iTAN-Verfahren ist darum bis zum 14. September 2019 abzuschaffen, zumindest für die Auslösung elektronischer Fernzahlungen. Für die Beauftragung von Wertpapiergeschäften kann es beispielsweise weiter verwendet werden, da diese nicht vom Anwendungsbereich der PSD 2 erfasst sind.

 

PSD2, im Bezug auf unsere Depots, gilt also nur für das Login und den Zugriff auf persönliche Daten.

 

 

Das ganz unabhängig von der Frage warum weniger Optionen für den Kunden besser sein soll, auch wenn ich (viel Legacy-Code von innen gesehen, Albträume für Tage ...) sehr zweifelnd auf die "muss nur eine if/else Abfrage eingebaut werden" These gucke ... 😉

 

 

Edit:

---

@dsmr  schrieb:

Ich nutze die Session-TAN seit einer Weile, hatte aber auch überlegt, sie wieder abzustellen. Der Grund ist ganz einfach - man vertippt sich schnell. Mal eben aus Versehen für 100000 statt für 10000 Euro Aktien gekauft? Kann man wieder verkaufen, hat dann aber 500 Euro Gebühren gekostet. Die TAN zwingt einen dazu, einen 2. Blick auf das Geschäft zu werfen. Sicherheitstechnisch ist das ebenfalls zumindest zweifelhaft.

---

... WAS? Leute, wie kauft ihr eure Aktien?! Es gibt da extra einen Prüfen-Button, bei dem die gesamte bevorstehende Transaktion übersichtlich angezeigt wird. Das ist doch ein Muss, zumal bei solchen Summen!

 

Tut mir Leid, wenn ich Dich gerade rauspicke, aber solche Fehler -- selbst nur als Möglichkeit -- verstehe ich nicht.

---

@NR  schrieb:

---

@NichtDoch  schrieb:

Mit der Session TAN wird dieser Schutz aber ausgehebelt. Sobald ich eine Transaktion ausgeführt habe, könnte ein Trojaner auf meinem PC sämtliche Wertpapiere automatisiert verkaufen, bevor ich überhaupt die Chance habe, auf Logout zu drücken.

---

... und Du hat die Kohle auf dem Konto. Das ist für mich eben der Unterschied -- Wertpapierhandel ist nicht Onlinebanking, eher Onlineshopping. Und die Bafin meint:

So einfach ist es leider nicht. Nicht nur fallen Transaktionsgebühren an, sondern die Verkäufe haben auch steuerliche Relevanz, die mitunter erheblich sein kann. 

 

Es könnten auch wenig liquide Schrottwerte zu Mondpreisen gekauft werden, wodurch kriminelle Banden direkten finanziellen Vorteil erlangen können. Man braucht wirklich nicht viel Fantasie, um das Problem an der Stelle zu sehen.

 

Dass die Bafin Sicherheit an der Stelle nicht zwingend vorschreibt, heißt ja nicht, dass es eine gute Idee ist, darauf zu verzichten.

 

Klar sollte Software so einfach wie möglich sein - hier wird aber das Foto-TAN Verfahren praktisch kaputt gemacht.

 

Die Idee hinter der Foto-TAN ist, dass ich auf dem Lesegerät genau sehe, was ich freigebe (deswegen hat das ja ein Display) und die erzeugte TAN nur genau diese Transaktion freigibt.  Dadurch muss ich mir keine Sorgen machen, dass irgendwo ein Angreifer sitzt. Der kann so nämlich nur meine gewollte Transaktion verhindern, aber keine falschen Transaktionen einschleusen. Mit der Session TAN geht genau diese Sicherheit verloren.

Mit der Session TAN geht genau diese Sicherheit verloren.

 

Vor allen Dingen geht auch der erzwungene 2. Blick verloren.

Es gibt auch noch ein weiteres Problem.

 

Neulich habe ich mal eine Transaktion, ich glaube es war eine kleiner Überweisungsbetrag, nicht ausgeführt (nicht hier, war bei meiner anderen Bank). Ich glaube es war in etwa so, daß unten stand "Sie brauchen keine TAN eingeben" und ich dachte, damit sei alles gut. Ich mußte aber trotzdem noch "Freigeben" drücken. Ging um eine Vorkasse von ca. 20 Euro. Dann habe ich mich eine Woche gewundert, warum die Ware nicht kam.

 

Der Ablauf sollte daher immer so gleich wie möglich sein, nicht mal so oder mal so.

---

@NichtDoch  schrieb:

 

So einfach ist es leider nicht.

---

Unter o.g. Prämisse ist es genau so einfach. Das die Meinungen dazu auseinander gehen, ist schon klar.

 

---

@NichtDoch  schrieb:

 

Dass die Bafin Sicherheit an der Stelle nicht zwingend vorschreibt, heißt ja nicht, dass es eine gute Idee ist, darauf zu verzichten.

---

"im Sinne der PSD2" <-- darum ging es doch. Die Regelung greift nicht.

 

 

Aber ich will auch gar nicht weiter streiten. Diverse Szenarian kommen mir hier an Haaren herbeigezogen vor, bzw. wer so handelt, handelt fragwürdig -- in meinen Augen -- aber jeder wie er mag. Ganz unironisch.

---

@NichtDoch  schrieb:

Die Idee hinter der Foto-TAN ist, dass ich auf dem Lesegerät genau sehe, was ich freigebe (deswegen hat das ja ein Display) und die erzeugte TAN nur genau diese Transaktion freigibt.  Dadurch muss ich mir keine Sorgen machen, dass irgendwo ein Angreifer sitzt. Der kann so nämlich nur meine gewollte Transaktion verhindern, aber keine falschen Transaktionen einschleusen. Mit der Session TAN geht genau diese Sicherheit verloren.

---

Exakt das ist der entscheidende Punkt.

DIe ganzen Verfahren die ein Handy einbeziehen sind ja auf den ersten Blick unsicherer da mir ein Handy schneller verloren gehen kann als eine iTAN-Liste. Die trage ich nämlich selten am Samstag Abend mit mir rum.

 

Der Vorteil einer mTAN, Photo-TAN, Freigabe per App usw. besteht genau darin, einen Rückkanal zu haben durch den man die Sicherheit bekommt, genau die (und nur die) gewünschte Aktion zu autorisieren. Man-in-the-Middle-Angriffe werden damit quasi unmöglich.

 

Wenn diese ganze Argumentation der Sicherheitsexperten bis hierhin Sinn macht (und das tut sie), dann ist die Session-TAN ein unfassbarer Lapsus in der Logikkette. Der ausdrücklich geforderte Rückkanal wird ausgehebelt und wir stehen wieder am Anfang. Dann kann ich ja auch meine iTANs weiter verwenden.

---

@eckhardschnell  schrieb:

Laut comdirect soll denen die SMS mehr als die 9Cent kosten. Das sind halt gewerbliche Preise und keine Preise die im Wettbewerb für Privatkunden gebildet wurden. Kaum zu glauben aber das soll wirklich so sein. Zumindest wurde mir das schon mehrmals so mitgeteilt.

---

In Wirklichkeit ist die SMS nicht mehr als ein "Abfallprodukt" im GSM-Netz.

 

Anfangs wurde SMS von den Netzanbietern kostenlos angeboten, was später aufgrund des wirtschaftlichen Potenzials eingestellt wurde. (aus Wikipedia)

 

Ich bin mal gespannt wie sich PSD2 in der Praxis dann anfühlt. Dass man nicht mehr bei jeder Transaktion eine TAN benötigt, sondern nur noch beim Einloggen, ist ja eigentlich praktisch. Andererseits wäre auch ein reiner "Read Only"-Modus interessant, wenn man nur die Postbox und seine Konto-/Depotdaten prüfen möchte.

---

---

---

@NichtDoch  schrieb:

 

Dass die Bafin Sicherheit an der Stelle nicht zwingend vorschreibt, heißt ja nicht, dass es eine gute Idee ist, darauf zu verzichten.

---

"im Sinne der PSD2" <-- darum ging es doch. Die Regelung greift nicht.

 

Mit "im Sinne der PSD2" meine ich im Geiste der PSD2 und nicht im exakten Wortlaut. Eines der Ziele ist, die Sicherheit durch Einführung von MFA zu verbessern. Und dieses Ziel wird durch die Session TAN nicht nur verfehlt, sondern sogar negiert. Mein Depot war noch nie so schlecht vor Missbrauch geschützt.

 

Aber ich will auch gar nicht weiter streiten. Diverse Szenarian kommen mir hier an Haaren herbeigezogen vor, bzw. wer so handelt, handelt fragwürdig -- in meinen Augen -- aber jeder wie er mag. Ganz unironisch.

---

Wo genau handele ich fragwürdig? Sobald ich mein Depot nutze, bekomme ich ja eine Session TAN. Dagegen kann ich doch gar nichts mehr tun. Der Rest meiner Beschreibung bezog sich auf die Handlungen von Angreifern. Auf die habe ich nur begrenzt Einfluss. Ich bin zwar guter Dinge, dass mein Rechner im Moment nicht trojanisiert ist, aber mein ganzes Depot möchte ich darauf nicht verwetten. Und die Gefahr wird wachsen. Denn wenn das klassische Giro-Konto besser geschützt ist, werden sich die Kriminellen eine neue Verdienstmöglichkeit suchen müssen. Die bekommen sie von comdirect mit der Session TAN auf dem Silbertablett serviert. (Wenn Sie immer noch nicht glauben, dass man das Geld aus dem Depot auch über die Börse abziehen kann, kann ich mein Beispiel dazu gern noch etwas konkreter machen.) Und dabei war es mit photoTAN (mit Hardware) bisher so einfach, mein Depot effektiv gegen Angriffe zu schützen. Und dieser Schutz wird jetzt mit dem Hinweis auf Vereinfachung ausgebaut. (Und das dann zusammen mit PSD2 eingeführt...) Es ist wirklich zum Haare ausraufen, welche Ignoranz hier von comdirect an den Tag gelegt wird.

Die oben beschriebene fehlende Zuordnung der TAN zu einer konkreten Transaktion wäre tatsächlich ein Rückschritt, was die Sicherheit angeht. Für Angreifer wäre es sicher problematisch, direkt Geld aus dem Depot abzuziehen. Konzentrierte Käufe von Pennystocks wären denkbar, um so indirekt von steigenden Kursen zu profitieren.

 

Ein böswilliger Angreifer könnte theoretisch durch ständiges Hin- und Herhandeln den Depotwert aufgrund von Gebühren reduzieren, das ganze Depot auf ein Hebelzertifikat nah am Knockout setzen oder ähnliches (zugegeben, die Wahrscheinlichkeit für solche Angriffe ist doch recht gering). Allein mit dem Login in den persönlichen Bereich aber ohne Opt-out-Möglichkeit gleich den gesamten Depotwert für den Handel freizugeben, halte ich dennoch für problematisch.

 

Viele Grüße

Weinlese