Deutsche Kreditbank AG

[HalloAktie]

vor 7 Minuten von Nicky27:

Ich sehe darin eigentlich auch kein Problem.

Vorausgesetzt die App ist nur für die Freigabe und hat selbst keinen Zugriff auf das Konto.

Wir hatten das mal in einem anderen Faden, den ich leider gerade nicht finde. Das Problem ist, dass sich Handy-Betriebssysteme sehr leicht übernehmen lassen von Dritten und dann mindestens mit Keyloggern/Screen Recordern ausstatten lassen bis hin zum Vollzugriff. Das wird kein ITler bezweifeln. Das einzige, was bisher nicht passiert: dass jene Angriffe systematisch und in großer Zahl durchgeführt werden.

Also das Handy ist nicht sicher für Banking. Es ist nur aktuell nicht automatisiert x-fach angreifbar. Man darf aber auch mal ein paar Jahre im voraus denken (Kapazitäten, Rechenleistung).

[Nicky27]

vor 10 Minuten von myrtle:

Wo kommt das jetzt her? Habe ich da etwas in der Diskussion uebersehen, @mattes77 schrieb ja nichts dazu und wenn ich das bei der PB sehe, funktioniert Seal One auch ohne app.

Das wundert mich nun auch.

Man schafft Chip TAN ab um Kosten zu sparen.

Und dann soll der Kunde doch wieder eine neue Hardware kaufen.

Auf der DKB Seite ist noch keine Rede davon.

[ceekay74]

vor 9 Minuten von myrtle:

Wo kommt das jetzt her? Habe ich da etwas in der Diskussion uebersehen, @mattes77 schrieb ja nichts dazu und wenn ich das bei der PB sehe, funktioniert Seal One auch ohne app.

"mattes77" schrieb von einer "wichtigen" "Info" und einem "'Standart' Verfahren App Banking" welches durch "'klare' Aussage über die Zukunft des Bankings" "das einzige 'nutzbare' Verfahren werden" wird und dass ohne "'mobile Wanze' Smartphone" keine Nutzung der DKB mehr möglich wäre.

 

Das "Neues Banking (Beta-Version) und DKB-App" das "Seal One Sicherheitsverfahren" nutzen findet sich auf den Seiten der "DKB" und der von "Seal One", daher für "nicht ganz Uninformierte" eher "wenig" überraschend. Eine "wichtige" Information wäre daher welche der "drei" möglichen "Varianten" von "Seal One" "zukünftig" bzw. "soon" vom "Geldverbesserer (m/w/d)" angeboten werden und nicht "nur" "Bangemachen" aufgrund "eines" "ominösen" und ggf. "unvollständigen" Beitrags in einem "nicht öffentlich" zugänglichen "Forum".

[Gast240408]

4 minutes ago, ceekay74 said:

...

Ein paar Anfuehrungszeichen weniger haetten es auch getan.

 

Wenn ich es richtig verstehe, gibt es also eine Variante von Seal One, die mit einer App gekoppelt ist.

[Holgerli]

vor 3 Minuten von ceekay74:

...und nicht "nur" "Bangemachen" aufgrund "eines" "ominösen" und ggf. "unvollständigen" Beitrags in einem "nicht öffentlich" zugänglichen "Forum".

Hier wären wir dann wieder bei dem Punkt des vergangenen Verhaltens der DKB. Wenn man sich noch einmal ins Gedächtnis ruft wie es mit der Visa-Debit angefangen hat, dann waren es irgendwelche Umfragen die quasi immer gemacht werden und aus denen absolut keine Rückschlüsse über die zukünftige Ausrichtung der DKB im Bereich Debit-/Credit-Card zulassen sollten.

Als dann immer mehr Medien von der Einführung der Debit-Card berichteten hiess es, dass das grundsätzlich nur Diskussionen seien, die überhaupt noch keine Rückschlüsse über die zukünftige Ausrichtung der DKB im Bereich Debit-/Credit-Card zulassen sollten.

als dann der Praktikant dummerweise die falsche Softwareversion mit dem Splash-Screen, dass die Debit-Card verschickt sei, drückte und die Aufregung groß war hiess es, dass das nur eine Spielerei gewesen sei, die absolut keine Rückschlüsse über die zukünftige Ausrichtung der DKB im Bereich Debit-/Credit-Card zulassen sollten.

 

Und auch hier im Forum hiess es, dass man bitte schön mal die Kirche im Dorf lassen sollte, weil alles ja nur Gerüchte seien.

 

Ich stelle aber fest: Alle Gerüchte sind Realität geworden.

[mattes77]

Also von "seal one" habe ich nichts geschrieben. Das ist mir auch ncht bekannt. Falls die DKB nach Abschaffung von Chip Tan einen Deal mi dem Seal one Ambieter macht

und die Bank dann ohne App mit einem seal one Gerät erreichbar und weiterhin am PC nutzbar wäre, hätte ich damit kein Problem!

 

[SvenDom]

vor 32 Minuten von HalloAktie:

Wir hatten das mal in einem anderen Faden, den ich leider gerade nicht finde. Das Problem ist, dass sich Handy-Betriebssysteme sehr leicht übernehmen lassen von Dritten und dann mindestens mit Keyloggern/Screen Recordern ausstatten lassen bis hin zum Vollzugriff. Das wird kein ITler bezweifeln. Das einzige, was bisher nicht passiert: dass jene Angriffe systematisch und in großer Zahl durchgeführt werden.

Also das Handy ist nicht sicher für Banking. Es ist nur aktuell nicht automatisiert x-fach angreifbar. Man darf aber auch mal ein paar Jahre im voraus denken (Kapazitäten, Rechenleistung).

 

Sofern ich es jetzt richtig verstanden hatte, korrigiert mich bitte, soll es doch eine App für Alles (banking, TAN,...) werden, oder nicht!?

Das fände ich auch extrem schlecht. Mit einer ausschließlich für die TANs nutzbare App kann ich mich arrangieren. Ich nutze mein Handy ohnehin streng nicht fürs Banking und auch nicht, um Mails abzurufen. So versuche ich zumindest etwas die Sicherheit auf dem Handy zu erhöhen.

[stagflation]

vor 11 Minuten von mattes77:

Falls die DKB nach Abschaffung von Chip Tan einen Deal mi dem Seal one Ambieter macht

 

Die DKB und deren Kunden nutzen Seal One offenbar schon. Siehe: https://www.seal-one.com/customers.de

 

Zitat

Seit Verfügbarkeit der neuen DKB App im August 2021 und dem damit verbunden Start des neuen modernen Bankings, nutzen Kunden der DKB das Seal One Verfahren sowohl für den Login, als auch um Transaktionen einfach, sicher und bequem freizugeben.

[Nicky27]

vor 11 Minuten von SvenDom:

 

Sofern ich es jetzt richtig verstanden hatte, korrigiert mich bitte, soll es doch eine App für Alles (banking, TAN,...) werden, oder nicht!?

Das fände ich auch extrem schlecht. Mit einer ausschließlich für die TANs nutzbare App kann ich mich arrangieren. Ich nutze mein Handy ohnehin streng nicht fürs Banking und auch nicht, um Mails abzurufen. So versuche ich zumindest etwas die Sicherheit auf dem Handy zu erhöhen.

Das sehe ich genau so.

Die eine App der ING ist zwar gut gemacht und dürfte viele Leute ansprechen. Aber das ist eben nicht sicher.

Die reinen TAN oder Freigabe Apps bei anderen Banken können hingegen keinen Schaden anrichten.

 

Von SealOne ist noch nichts zu sehen.

Aber auf deren Website ist die DKB schon als Referenzkunde genannt.

[investorfonds]

vor 4 Stunden von mattes77:

...

Es gibt jetzt dazu von seiten der Bank eine "klare" Aussage über die Zukunft des Bankings. Wie sich ja bereits angedeutet
hat, sieht sich die Bank als "Techbank". Somit sind die Wettbewerber aus Sicht der Bank eben eher Klarna, N26 und vivid.

......

 

Als ich Anfang 2020 zur Bank zurück gekehrt bin, war Sie besonders im Vergleich zur direkten Konkurenz von ING und

Comdirect durch die Konditionen und bestimmte Merkmale klar besser.

Für mich ist Sie mit diesen Änderungen dann aber spätestens 2023 "raus". Eine Bank, bei der es seit nunmehr einem

halben Jahrzehnt ständig nur "Weiterentwicklungen" der Produkte und "Anpassungen" der Konditionen zulasten

der Kunden gibt, ist kein Partner für die Zukunft.

....

Somit wäre das Thema Strategie bei der DKB ja endlich klar  wenn es so kommt.

 

Das Management hat endlich erkannt, dass die ING z. B. zu weit weg ist, um eingeholt werden zu können. 

 

Jetzt sucht man sich "kleinere Hunde"  mit denen man spielen möchte, wie N26, KLARNA und Vivid. Vllt. kann man mit der Anzahl der Kunden dann Schritt halten in Deutschland.

 

Naja, wenn es wirklich so kommt, dann wäre die DKB für mich auch raus.

 

 

[HalloAktie]

vor 3 Stunden von SvenDom:

Mit einer ausschließlich für die TANs nutzbare App kann ich mich arrangieren.

 

vor 3 Stunden von Nicky27:

Die reinen TAN oder Freigabe Apps bei anderen Banken können hingegen keinen Schaden anrichten.

Ich würde sagen: Es kommt drauf an, wie man sie nutzt. Wenn ich Banking-Browser und App an dauerhaft das gleiche WLAN hänge, ist eine solche Lösung genau so Banane und angreifbar. Da muss man schon auch Vorkehrungen betreiben, bevor man von "keinem Schaden" sprechen kann.

[MonacoFranzl]

vor 20 Stunden von mattes77:

Also von "seal one" habe ich nichts geschrieben. Das ist mir auch ncht bekannt. Falls die DKB nach Abschaffung von Chip Tan einen Deal mi dem Seal one Ambieter macht

und die Bank dann ohne App mit einem seal one Gerät erreichbar und weiterhin am PC nutzbar wäre, hätte ich damit kein Problem!

 

Von Seal One höre ich das erste Mal ... insbesondere das Gerät klingt erstmal sehr interessant, wenn das angeboten würde ... muss mich da mal einlesen.  Danke für den Hinweis.

 

Nur kurze Frage dazu: Die App auf dem PC über eine Art Andriod-Emulator o.ä. laufen zu lassen ist wahrscheinlich auch keine gute Idee, da man nur Pest durch Cholera ersetzt und man nicht weiß, welche Daten die Emulator-Software an den Emulator-Anbieter übermittelt. Ich möchte auch keine Banking-App auf dem Smartphone.  

[Nicky27]

vor 17 Stunden von HalloAktie:

 

Ich würde sagen: Es kommt drauf an, wie man sie nutzt. Wenn ich Banking-Browser und App an dauerhaft das gleiche WLAN hänge, ist eine solche Lösung genau so Banane und angreifbar. Da muss man schon auch Vorkehrungen betreiben, bevor man von "keinem Schaden" sprechen kann.

Was sollte da passieren?

Die Verbindungen sind verschlüsselt und die beiden Geräte können sich nicht direkt unterhalten.

Und bei einem DNS Spoofing hat der gefälschte Bank-Server kein gültiges Zertifikat.

[HalloAktie]

@Nicky27 Welche Verschlüsselung meinst du? SSL, wo es vor zwei Tagen das letzte massive Problem gab? Oder WPA2, das in millionen ungepatchten Routern und Repeatern für Unheil sorgt?

[SvenDom]

vor 22 Stunden von HalloAktie:

 

Ich würde sagen: Es kommt drauf an, wie man sie nutzt. Wenn ich Banking-Browser und App an dauerhaft das gleiche WLAN hänge, ist eine solche Lösung genau so Banane und angreifbar. Da muss man schon auch Vorkehrungen betreiben, bevor man von "keinem Schaden" sprechen kann.

Konkrete Vorschläge für einen Nicht-ITler?

 

Na ja, wenn es die allround App wird, ist das Thema sowieso durch. Das wäre endgültig Mist...

[Nicky27]

vor 38 Minuten von HalloAktie:

@Nicky27 Welche Verschlüsselung meinst du? SSL, wo es vor zwei Tagen das letzte massive Problem gab? Oder WPA2, das in millionen ungepatchten Routern und Repeatern für Unheil sorgt?

Es ist ja gut daß immer geforscht wird, aber viele dieser Lücken sind doch eher akademisch.

Klar ist die OpenSSL eine Dauerbaustelle, die History ein Buch des Horrors. 

Ich habe kürzlich erst ein Produkt umgestellt auf die letzte 1.1 Version.

Die aktuellen Probleme betreffen nur die neue 3.0 wo sie neue Fehler eingebaut haben.

 

Angriff auf WPA2? Ja, theoretisch, aber eigentlich recht unwichtig.

Es hilft doch niemandem da mitzulesen.

Die Verbindungen sind heute doch transportverschlüsselt.

 

TLS 1.2 ist praktisch Standard und noch sicher. Und TLS 1.3 steht schon zur Verfügung.

Gerade mal nachgesehen, selbst lahme Banken wie Commerzbank und Comdirect benutzen schon TLS 1.3.

 

Also verbindungstechnisch habe ich da gar keine Bedenken.

Da habe ich eher Sorge um die Apps-Basteleien für das Handy.

[oktavian]

vor 4 Stunden von MonacoFranzl:

Nur kurze Frage dazu: Die App auf dem PC über eine Art Andriod-Emulator o.ä. laufen zu lassen ist wahrscheinlich auch keine gute Idee, da man nur Pest durch Cholera ersetzt und man nicht weiß, welche Daten die Emulator-Software an den Emulator-Anbieter übermittelt. Ich möchte auch keine Banking-App auf dem Smartphone. 

wenn du das nicht weißt, weißt du auch nicht was dein PC auch so schon an Daten weitergibt. Wenn man Microsoft eh vertraut, kann man evtl das Windows-Subsystem für Android nutzen mit Windows 11. Glaube aber dann muss die banking app derzeit im Amazon store verfügbar sein. Vermutlich wäre es nötig, dass die app auch ohne safety net passed laufen würde. Ansonsten ist es Frickelei auch mit den opensource emulatoren.

vor 22 Stunden von HalloAktie:

Ich würde sagen: Es kommt drauf an, wie man sie nutzt. Wenn ich Banking-Browser und App an dauerhaft das gleiche WLAN hänge, ist eine solche Lösung genau so Banane und angreifbar. Da muss man schon auch Vorkehrungen betreiben, bevor man von "keinem Schaden" sprechen kann.

Mir ist bis jetzt nichts passiert und nutze nur WPA3 und keine enterprise grade Verschlüsselung im WLAN und 08/15 Linux-basierten router. Würde eh empfehlen bei Nicht-Gebrauch: Flugmodus / WLAN aus. So ein Angriffsvektor ist doch nur was für Geheimdienste und die können dich auch einfach entführen und physischen Zugriff erlangen etc. Oder ist da irgendwas bekannt?

[slowandsteady]

vor einer Stunde von SvenDom:

Konkrete Vorschläge für einen Nicht-ITler?

Jetzt wirds off-topic, aber Credential stuffing ist üblicherweise wie Privatpersonen "gehackt" werden. D.h. der "Lieschen Müllers Haustiershop Buxtehude" oder das "Wertpapierforum" wird gehackt, man findet eine Liste von 1000 EMails und Passwörtern und versucht sich einfach mal damit bei Google, Facebook, Banken, ... einzuloggen. Funktioniert erstaunlich oft und das Durchprobieren lässt sich problemlos automatisieren.
Niemand benutzt "0-days" oder "n-days" Schwachstellen um eine Privatperson zu hacken.

 

In absteigender Wichtigkeit:

• Passwort überall unterschiedlich setzen
• Zwei-Faktor-Authentifizierung
  • verwenden (bei vielen Webseiten ist es optional)
  • nicht aushebeln, d.h. den zweiten Faktor nicht auf gleichem Gerät hinterlegen, mit dem man sich einloggt
• Updates zeitnah installieren, denn neue Schwachstellen werden ständig bekannt
• Auf dem Desktop und dem Smartphone nichts installieren, was nicht notwendig ist, insbesondere nicht Malware unterjubeln lassen.

Alles andere ist optional. Wer die Regeln oben befolgt, kann sein Online-Banking auch ohne Schlangenöl (=Anti-Virensoftware) im unverschlüsselten WiFi network am Frankfurter Hauptbahnhof machen und wird kein Problem bekommen.

vor 35 Minuten von oktavian:

So ein Angriffsvektor ist doch nur was für Geheimdienste und die können dich auch einfach entführen und physischen Zugriff erlangen

Wenn ich das oben über die "Unsicherheit" von TLS1.2 lese, dann muss ich da dran denken:

[Nicky27]

vor 15 Minuten von slowandsteady:

Wenn ich das oben über die "Unsicherheit" von TLS1.2 lese, dann muss ich da dran denken:

Seit wann ist 1.2 unsicher?

Also abgesehen davon daß jemand aufgezeichnete Daten in 10 Jahren vielleicht mal entschlüsseln könnte.

 

Zur Frage:

Einen modernen Browser verwenden der nur noch TLS 1.2 und 1.3 unterstützt.

Kein Fallback mehr auf ältere Versionen erlaubt.

 

Wer Angst vorm Nachbarn hat kann sich auch einen neuen Router mit WPA3 kaufen. 

Oder den Router mit OpenWRT flashen (lassen).

[HalloAktie]

vor einer Stunde von Nicky27:

Die Verbindungen sind heute doch transportverschlüsselt.

[...]

Da habe ich eher Sorge um die Apps-Basteleien für das Handy.

Die Transportverschlüsselung ist nur so gut, wie Zertifikate/Keys etc. an den beiden Endpunkten implementiert und geschützt sind. Und du sagst es: App-Basteleien- das ist der eine Endpunkt. Weiß der Geier, was auf Firmenservern so alles querliegt. Alles ist akademisch bevor es real wird. Das eigene Geld ist zu wichtig, um Risiken einzugehen- egal wie klein sie sein mögen. Das ist meine Meinung. Und ja, ich hatte schon einmal einen unerwünschten Gast in meinem WLAN. 

 

vor 13 Minuten von Nicky27:

Wer Angst vorm Nachbarn hat kann sich auch einen neuen Router mit WPA3 kaufen. 

Oder den Router mit OpenWRT flashen (lassen).

Wir reden hier von normalen Leuten und einer Lösung, die für alle funktionieren muss. Hier gab es neulich einen User, der einen neuen Account erstellt hat im Forum, weil er sein Passwort verlegt hatte. Auf dem Level musst die Sache sicher sein. Sorry für Offtopic. Ich danke der DKB aber für einen Haufen problemloser Jahre und einem kostenlosen Konto plus Kreditkarte. 

[cjdenver]

Also ich finde Diskussionen ueber IT Verschluesselungen ja sehr spannend, aber wo ist hier der Bezug zur DKB? Die schaffen irgendwann ChipTAN ab, so wie viele andere Banken auch. So what - entweder man akzeptiert das so wie der Rest der Menschheit ebenso, oder man sucht sich eine andere Bank. Aber was soll das ewige Herumdiskutieren? Meine Sicht: wenn das alles so extrem unsicher ist dann wird es frueher oder spaeter anstaendige Missbrauchsfaelle geben, die dann entsprechende gesetzliche (oder brancheninterne) Aenderungen erzeugen werden. So ist der Lauf der Dinge. Take it or leave it. 

[Nicky27]

vor 16 Minuten von cjdenver:

Also ich finde Diskussionen ueber IT Verschluesselungen ja sehr spannend, aber wo ist hier der Bezug zur DKB?

Ich finde schon interessant daß die DKB offenbar eine neue Hardware unterstützen will und man noch nichts davon lesen kann.

Es scheint ja sehr wichtig zu sein von der Girocard weg zu kommen.

 

Für den Kunden jedenfalls kein Vorteil.

Diese Geräte kosten auch ab 30 Euro aufwärts was natürlich der Kunde bezahlen darf.

[Merol Rolod]

vor 2 Stunden von HalloAktie:

Ich danke der DKB aber für einen Haufen problemloser Jahre und einem kostenlosen Konto plus Kreditkarte.

Da möchte ich mich unbedingt anschließen. Es muss ja nicht für immer sein.

[Holgerli]

vor 2 Stunden von HalloAktie:

Ich danke der DKB aber für einen Haufen problemloser Jahre und einem kostenlosen Konto plus Kreditkarte. 

+1

[Gast241102]

vor 13 Stunden von cjdenver:

Take it or leave it. 

Ehrlich gesagt denke ich, dass es genauso kommen wird. Eventuell Banken mit eher konservativen Publikum wie Sparkassen oder Volksbanken werden andere Tanverfahren länger anbieten.  Die anderen werden einfach eine interne Kostenrechnung durchführen, was günstiger ist. Zweites Tanverfahren oder den betroffenen Leuten beim eventuellen Fall den Schaden ersetzen.