Deutsche Kreditbank AG

[cjdenver]

vor 9 Stunden von wpf-leser:

Nur habe ich hier tatsächlich noch eine (DKB-spezifische) Frage: 

 

Warum das denn? Seit wann sollen denn im DKB-Thread spezifische Fragen kommen, statt einer nicht enden wollenden Diskussion über IT-Sicherheit? 

[FI40]

vor 11 Stunden von wpf-leser:

Nur habe ich hier tatsächlich noch eine (DKB-spezifische) Frage: Warum denn nicht auf ChipTAN und ggf. Folgesystem zurückgreifen? Das Vorgehen ist doch Stand heute und Vergangenheit nicht alternativlos? Für jemanden, der sich ein iPad und eine SIM-Karte zulegt, kann der Kostenpunkt da subjektiv nicht ernsthaft relevant sein.

Ich nutze doch schon seit Jahren chipTAN mit der DKB. Bisher gab es 2 Verfahren: TAN2GO und chipTAN. Den Aktivierungsbrief für TAN2GO bekommt man automatisch, habe ich aber nie aktiviert. Müsste also jemand das Dokument physisch klauen, um TAN2GO zu nutzen (P.S. ich könnte das Ding eigentlich auch schreddern). Das Gleiche bei der chipTAN: Da nutze ich die Girocard, welche sonst nie das Haus verlässt. Entweder das Geschäft akzeptiert VISA (Debit) (99% der Fälle) oder eben Bargeld. Konto war nur durch Wissen des Passworts + physischen Einbruch hackbar.

 

Jetzt hat die DKB ein drittes Einfallstor geöffnet: die neue DKB-App. Du meldest dich dort mit Nutzernamen und Passwort an, bekommst eine SMS und mit Erhalt der SMS hast du dann Vollzugriff auf einem Gerät. Der potenzielle Hacker muss wie im Fall oben Nutzernamen und Passwort kennen. Und er muss die Handynummer kennen. Wenn er die Handynummer kennt, kann er die SMS rerouten, da gibt es einige Artikel in der "Fachpresse" (Golem & Co.), welche mir eindeutig sagen, dass SMS abfangen, rerouten, mitlesen etc. sehr einfach möglich ist.

 

Wie weiter oben schon erwähnt, das Sicherheitslevel erhöht sich nicht durch Nutzung eines höherwertigen Schutzes durch mich selbst. Das Sicherheitslevel ist durch das niedrigste Niveau bestimmt, welches ein Hacker nutzen könnte. Die DKB führt das Sicherheitslevel jetzt ca. auf SMS-TAN-Niveau zurück. Wobei eine einzige abgefangene/reroutete/mitgelesene SMS ausreicht, nicht eine SMS pro Transaktion.

[Holgerli]

vor 13 Stunden von FI40:

Ich überlege auch, ob das eine Lösung wäre. Ein iPad kaufen, mit SIM, und dort darüber das Banking abwickeln als 2FA. Das iPad würde dann immer Zuhause bleiben.

Und was machst Du, wenn Du gerade im Urlaub auf Mallorca bit und bei Dir zu Hause eingebrochen und das iPad geklaut wird?

 

[FI40]

vor 5 Minuten von Holgerli:

Und was machst Du, wenn Du gerade im Urlaub auf Mallorca bit und bei Dir zu Hause eingebrochen und das iPad geklaut wird?

 

Das Sicherheitssystem von Apple gilt eigentlich als nicht überwindbar. Der NSA soll es sohl doch gelungen sein, aber erst nach Jahren.

Android gilt im Gegensatz dazu eher als offenes Scheuentor. Daher der Verweis speziell auf das iPad. Ansonsten, für Alltagskommunikation, surfen & nicht-sicherheitskritische Sachen, nutze ich Android gerne.

[Holgerli]

vor 2 Minuten von FI40:

Das Sicherheitssystem von Apple gilt eigentlich als nicht überwindbar. Der NSA soll es sohl doch gelungen sein, aber erst nach Jahren.

Android gilt im Gegensatz dazu eher als offenes Scheuentor. Daher der Verweis speziell auf das iPad. Ansonsten, für Alltagskommunikation, surfen & nicht-sicherheitskritische Sachen, nutze ich Android gerne.

Dann brauchst Du Dir aber auch kein iPad für Zuhause zu kaufen, sondern es reicht ein iPhone, das Du mit Dir tragen kannst.

Dass Smartphones vrerloren gehen hört man öfters, dass aber Smartphone-Besitzer gefoltert werden, um ihren 2FA-Zugang preiszugeben, damit das Konto leer geräumt werden kann, habe ich persönlich noch nie gehört.

 

[wpf-leser]

vor 58 Minuten von FI40:

Bisher gab es 2 Verfahren

Ich fasse - abseits etwaiger Mallorca-Urlaube - mal zusammen: Heute gibt es immer noch zwei Verfahren. Die DKB plant nicht, davon abzuweichen, meint: auch weiterhin (mindestens) zwei Verfahren anzubieten (Anmerkung: Woran man auch schon rein aus Betriebssicht gut tut).

Es ist bis dato für die Nutzung aller notwendigen Basisfunktionen niemand dazu gezwungen, überhaupt eine App zu verwenden und das bleibt bestenfalls & voraussichtlich so.

 

Ich bin geneigt zu sagen: Hier gibt es nichts zu sehen, bitte gehen Sie weiter.

(Damit mein an dieser Stelle letzter Post zu diesem Thema .)

[FI40]

vor 20 Minuten von wpf-leser:

Ich fasse - abseits etwaiger Mallorca-Urlaube - mal zusammen: Heute gibt es immer noch zwei Verfahren. Die DKB plant nicht, davon abzuweichen, meint: auch weiterhin (mindestens) zwei Verfahren anzubieten (Anmerkung: Woran man auch schon rein aus Betriebssicht gut tut).

Es ist bis dato für die Nutzung aller notwendigen Basisfunktionen niemand dazu gezwungen, überhaupt eine App zu verwenden und das bleibt bestenfalls & voraussichtlich so.

Du hast das Grundproblem gar nicht verstanden. Ich nutze seit Jahren zum Anzeigen der Salden, aktueller Transkationen etc. pp. die App. Das ist sehr komfortabel und das würde ich auch weiterhin machen. Dass bei 50+ Transkationen die alte App wesentlich komfortabler und übersichtlicher ist, okay. Mit dem Downgrade kann ich leben.

 

Das Grundproblem ist, dass durch die neue App das Sicherheitsniveau der DKB massiv gesenkt wurde. Bisher war es nicht möglich, ohne physischen Besitz, eine Überweisung zu tätigen. Die TAN2GO-App basiert auf einem physischen Brief - kann von extern also nicht gehackt werden. Die chipPhoto-TAN basiert auf der Girocard, muss also auch geklaut werden, damit eine Überweisung getätigt werden kann. Ohne physichen Besitz kein Konto leerräumen.

 

Mit der Existenz der neuen DKB-App kann jetzt jeder mittelmäßig begabte Hacker das Konto rein digital leerräumen. Er braucht dazu nur Nutzername, Passwort und Handynummer. Dieses Wissen ist ausreichend, damit er dann sein eigenes Handy nimmt, dorthin die SMS routet/abfängt, dieses Handy dann als vertrauenswürdiges Gerät hinterlegen lässt, dann kann er von diesem Handy komplett über das Konto verfügen, wie der eigentliche Kontobesitzer. Nutzername, Passwort, Handynummer - das war es.

 

Ich kann für meine eigenen Transaktionen soviel chipPhoto-TAN nehmen, wie ich will. Das Einfallstor Nutzername/Passwort/Handynummer existiert trotzdem jederzeit nebenher für den Hacker. Das ist auch der Unterschied zu TAN2GO - da gab es vorher zumindest noch einen physischen Brief, ohne welchen sich TAN2GO nicht aktivieren lies. Physische Faktoren lassen sich jetzt aber von einem Hacker komplett aus dem Spiel nehmen - ein Konto-Vollzugriff ist durch rein digitales Hacken möglich. Das kann jeder weltweit machen, ganz gleich in welchem Land der Welt er lebt. Alleine Nutzername, Passwort und Handynummer und der Rest ist bisschen IT-Handarbeit.

[trying]

Danke für deine Erläuterung FI40. Ich sehe das genauso.

[trying]

vor 1 Stunde von Holgerli:

Dann brauchst Du Dir aber auch kein iPad für Zuhause zu kaufen, sondern es reicht ein iPhone, das Du mit Dir tragen kannst.

Dass Smartphones vrerloren gehen hört man öfters, dass aber Smartphone-Besitzer gefoltert werden, um ihren 2FA-Zugang preiszugeben, damit das Konto leer geräumt werden kann, habe ich persönlich noch nie gehört.

 

Das ist auch gar nicht nötig. Ich befürchte ein Festhalten und das iPhone vor das Gesicht halten könnte leider schon reichen. Ich finde es schwer zu verstehen daß nicht wenigstens mit unterschiedlichen Sicherheitsstufen gearbeitet wird. Mein Schuppen im Garten hat nur ein leichtes Zahlenschloss. Der Schaden wäre nicht groß. Beim Schlüssel zu meinem Haus habe ich hingegen ein Sicherheitsschloss eingebaut.

 

Im Banking gibt es gerade den Trend alles auf ein Vorhängeschloss umzubauen weil es praktischer ist, um in der Analogie zu bleiben. Das wäre völlig ok, wenn ich als Kunde die Wahl zwischen Sicherheitsschloss und Vorhängeschloss hätte.

 

 

[Holgerli]

vor 38 Minuten von trying:

Ich befürchte ein Festhalten und das iPhone vor das Gesicht halten könnte leider schon reichen.

Aber exakt das ist doch der Punkt: Du befürchtest es, Du weisst es nicht. Stellst es jetzt aber schon als Fakt da.

Aber anders gefragt: Von wievielen Rauben des Vermögens weisst Du denn die schon heute so abgelaufen sind?

Weil FaceID ist uralt und trotzdem hört man nicht von solchen Straftaten. Weder in Deutschland, noch in Europa, noch weltweit.

 

vor 42 Minuten von trying:

Das wäre völlig ok, wenn ich als Kunde die Wahl zwischen Sicherheitsschloss und Vorhängeschloss hätte.

Hast Du: Bank welcheln. Wenn Dir da neue Verfahren nicht zusagt wechsele die Bank. Gehe notfalls zu einer Sparkasse mit Bankschalter

[Sapine]

Gravierende Sicherheitslücken bei Sparkassen (ZDF)

[FI40]

Ich denke mal, wenn man keine größeren Geldbeträge auf dem DKB-Konto hat, sollte es gehen. Als Konto für alltägliche Zahlungen.

 

Dann das Depot bei einer anderen Bank. Dort darf man dann natürlich kein Girokonto haben. Das "Vermögen" hätte dann im Fall der Fälle immer den Weg Depot (Depotbank) -> Verrechungskonto (Depotbank) -> Referenzkonto/Girokonto (DKB) -> Dieb.

 

Schwachstelle ist dann hier, wie einfach es ist, das Referenzkonto zu ändern. Hier ist mir insbesondere Trade Republic lt. Beschreibung positiv aufgefallen. Es braucht zunächst eine Überweisung von einem Referenzkonto auf das Verrechnungskonto, um dieses Referenzkonto überhaupt als Auszahlungskonto nutzen zu können.

 

Generell sehe ich immer die Aussage (bei TR, bei ING), dass das Referenzkonto auf meinen Namen lauten muss. Das schränkt dort die Betrugsmöglichkeiten m.E. schon wesentlich ein.

[bondholder]

vor einer Stunde von FI40:

Generell sehe ich immer die Aussage (bei TR, bei ING), dass das Referenzkonto auf meinen Namen lauten muss. Das schränkt dort die Betrugsmöglichkeiten m.E. schon wesentlich ein.

Solange die Bank keine Möglichkeit hat, diese Angabe zu überprüfen, bringt das wenig.

 

Bei der Ausführung einer Überweisung haben die beteiligten Zahlungsdienstleister, also die Bank des Zahlenden und die Bank des Zahlungsempfängers, ausschließlich die Internationale Bankkontonummer (IBAN) und den Bank-Identifizierungs-Code (BIC), die sog. Kundenkennung zu beachten (§ 675r BGB). Der Name des Zahlungsempfängers gehört nicht dazu.

BaFin: Welche Daten muss die Bank bei einer Überweisung prüfen?

[stagflation]

vor 11 Minuten von bondholder:

Bei der Ausführung einer Überweisung haben die beteiligten Zahlungsdienstleister, also die Bank des Zahlenden und die Bank des Zahlungsempfängers, ausschließlich die Internationale Bankkontonummer (IBAN) und den Bank-Identifizierungs-Code (BIC), die sog. Kundenkennung zu beachten (§ 675r BGB). Der Name des Zahlungsempfängers gehört nicht dazu.

 

Rettung naht in Form der Europäischen Kommission und der PSD3 (Quelle):

 

Zitat

Die Europäische Kommission hat Vorschläge vorgelegt, mit denen die derzeitige Zahlungsdiensterichtlinie (PSD2) geändert und zur PSD3 modernisiert sowie eine Verordnung über Zahlungsdienstleistungen eingeführt werden soll. Das Maßnahmenpaket soll

- Zahlungsbetrug bekämpfen und eindämmen, indem die Zahlungsdienstleister in die Lage versetzt werden, betrugsbezogene Informationen untereinander auszutauschen, die Verbraucher besser sensibilisiert werden, die Vorschriften für die Kundenauthentifizierung verschärft werden, die Erstattungsrechte von Betrugsopfern ausgeweitet werden und ein System zur Überprüfung der Übereinstimmung der IBAN-Nummern der Zahlungsempfänger mit ihren Kontonamen für alle Überweisungen verbindlich wird;

 

Allerdings sieht die Kreditwirtschaft das kritisch und will versuchen, einzelne Regeln aufzuweichen:

 

Zitat

Kritisch merkt die DK allerdings an, dass die Kommission den Mindestumfang von Funktionen über das eigentliche Kundenangebot hinaus erweitern will. Denn dies greife in die Produktgestaltungsfreiheit von Kreditinstituten ein ohne dass es dafür eine Notwendigkeit gäbe. Auch Überlegungen zu weiterreichenden Vorgaben in Bezug auf Haftung und Kundenrechte, die über die eigentliche Abwicklung von Zahlungen hinausgehen, werden kritisch bewertet.  Sie bedürften einer sorgfältigen Ausbalancierung mit weiteren betrugsbekämpfenden Maßnahmen und Verhaltensweisen.

 

Die DK will sich in den anstehenden Gesetzgebungsprozess auf europäischer und nationaler Ebene aktiv einbringen.

[hattifnatt]

vor 2 Stunden von stagflation:

 

Rettung naht in Form der Europäischen Kommission und der PSD3 (Quelle):

Zitat

[...] ein System zur Überprüfung der Übereinstimmung der IBAN-Nummern der Zahlungsempfänger mit ihren Kontonamen für alle Überweisungen verbindlich wird;

 

Allerdings sieht die Kreditwirtschaft das kritisch und will versuchen, einzelne Regeln aufzuweichen [...]

 

Wow, das wäre ja wirklich sinnvoll - die aktuelle Rechtslage ist ziemlich crazy (siehe z.B. https://www.anwalt.de/rechtstipps/iban-kontonummer-verwechslung-der-kontonummer-zieht-rechtliche-folgen-nach-sich_063106.html)

[FI40]

Dann wäre ja z.B. TR mit einer zusätzlichen Sicherheitsstufe - dort kann als Referenzkonto nur ein Konto angegeben werden, von welchem Geld auf das Verrechnungskonto überwiesen wurde. Ich bin jetzt nicht der größte Neobroker-Fan, aber in diesem Fall... eine Überlegung für mich wert.

 

Edit: ING-Zitat: "Beachten Sie: Es gibt ein Überweisungslimit in der App. Es beträgt 10.000 Euro pro Tag bzw. 20.000 Euro innerhalb von 7 Kalendertagen."

 

So etwas, vielleicht auch eher 5.000 / 10.000 Euro und ich hätte keine Probleme mehr mit der DKB.

[trying]

 

vor 11 Stunden von Holgerli:

Aber exakt das ist doch der Punkt: Du befürchtest es, Du weisst es nicht. Stellst es jetzt aber schon als Fakt da.

Aber anders gefragt: Von wievielen Rauben des Vermögens weisst Du denn die schon heute so abgelaufen sind?

Weil FaceID ist uralt und trotzdem hört man nicht von solchen Straftaten. Weder in Deutschland, noch in Europa, noch weltweit.

 

Hast Du: Bank welcheln. Wenn Dir da neue Verfahren nicht zusagt wechsele die Bank. Gehe notfalls zu einer Sparkasse mit Bankschalter

Es macht doch Sinn Gefahren zu erkennen bevor sie auftreten, oder?

 

Deine Frage ist aber interessant. Das Resultat einer einfachen Google Suche.

https://www.thesun.co.uk/money/16313066/newcyber-crime-armed-criminals-victims-banking-apps/

https://www.bucksfreepress.co.uk/news/18867142.milton-keynes-woman-robbed-knifepoint-underpass/

https://www.bbc.com/news/business-64240140

[trying]

vor 11 Stunden von Sapine:

Gravierende Sicherheitslücken bei Sparkassen (ZDF)

Sehr interessant ist was der Verbraucherschutz ganz unten im Artikel sagt. Lohnt sich zu lesen.

[Holgerli]

vor 5 Stunden von trying:

Deine Frage ist aber interessant. Das Resultat einer einfachen Google Suche.

https://www.thesun.co.uk/money/16313066/newcyber-crime-armed-criminals-victims-banking-apps/

https://www.bucksfreepress.co.uk/news/18867142.milton-keynes-woman-robbed-knifepoint-underpass/

https://www.bbc.com/news/business-64240140

 

Daraus leite ich zwei Erkenntnisse ab:

1.) Drei Ereignisse in 3 Jahren (die Artikel sind aus 2021, 2022 und 2023) zeigen, dass das keine gängige Kriminalitätstat ist

2.) Wenn Du wirklich Angst vor so einer Art von Kriminalität hast, dann meide Großbritannien

 

vor 5 Stunden von trying:

Sehr interessant ist was der Verbraucherschutz ganz unten im Artikel sagt. Lohnt sich zu lesen.

3.) Achte darauf, wenn Du zur Sparkasse wechselst, dass 2FA angeschaltet ist

4.) Ansonsten: Wechsele zur Vorlkbank

 

Ich fasse das Ganze aber mal für mich so zusammen (und danach bin ich raus): Du scheinst ein anderes Sicherheitsbedürfnis bzw. Kriminalitätsempfinden als ich zu haben. Entsprechend solltest Du Dich anders schützen.

Ggf. sollte die ganze Security-Diskussion (auch aus dem ING-Thread) mal in ein Extra-Thread verlegt werden.

 

[FI40]

Service der DKB ist auch echt unterirdisch. Habe mein verknüpftes Gerät gelöscht und wollte es neu hinzufügen. Ging natürlich nicht. Also die DKB-Hotline angerufen. Mehrmals. Letzte Woche wurde das Gespräch einfach so abgebrochen. Der Mitarbeiter hatte wohl kein Bock darauf. Jetzt erneut angerufen und fast 10 Minuten in der Warteschlange verbracht. Danach die Ansage: Alle Mitarbeiter sind im Gespräch, wünschen sie einen Rückruf? Drücken Sie die 1. Sie können auch in der Leitung bleiben. Also habe ich NICHT die 1 gewählt. Und dann hieß es eine Minute später: Vielen Dank, wir rufen Sie zurück. Ich glaube die DKB ist von vorne bis hinten mit allem überfordert. Mit Service, mit App-Programmierung, mit Sicherheit...

Edit: Rückruf erhalten. Nach einem kurzen Gespräch wieder abgebrochen. Bin Zuhause und habe WLAN-Calling an und sonst nie solche Probleme, kann also nicht an meinem Handy liegen.

[FI40]

Vielleicht kann ja hier jemand helfen. Ich hatte Probleme mit der neuen App, also habe ich mein vertrauenswürdiges Gerät gelöscht. Wollte es neu hinzufügen und dachte, das geht automatisch. Also, alte App deinstalliert und neu installiert. Login in der alten App mit Nutzername und Passwort. Werde aufgefordert, eine TAN einzugeben. Also per chipTAN eine TAN eingegeben. Soweit so gut. Jetzt bin ich eingeloggt. Was muss man tun, um dieses Gerät als vertrauenswürdiges Gerät zu nutzen, d.h. ich würde mich dort in der alten App gerne wieder per Fingerprint einloggen und ich würde gerne den Login auf dem PC mit dem Handy freigeben, wie bisher!? DKB-Mitarbeiter können bisher außer Gespräche einfach abbrechen leider nichts machen...

[ceekay74]

Unter Service / TAN-Verfahren das hinterlegte vertrauenswürdige Gerät löschen, in der alten App nach löschen der Daten mit Zugangsnummer und PIN plus TAN aus QR-Code einloggen, Frage nach Hinterlegung als vertrauenswürdiges Gerät mit Ja beantworten.

[FI40]

Das habe ich alles exakt so gemacht. Ich werde aber nicht gefragt, ob ich das Gerät als vertrauenswürdiges Gerät hinterlegen möchte. Vorher alles exakt wie angegeben gemacht.

[enma]

vor 33 Minuten von FI40:

Das habe ich alles exakt so gemacht. Ich werde aber nicht gefragt, ob ich das Gerät als vertrauenswürdiges Gerät hinterlegen möchte. Vorher alles exakt wie angegeben gemacht.

Unter Service > TAN-Verfahren kannst du das nicht verwalten/einrichten?
 

Die einzige andere Erklärung, die mir einfällt, ist dass die DKB das für die alte App jetzt abgedreht hätte.

[FI40]

Unter "Services -> Tan-Verfahren -> vertrauenswürdiges Gerät löschen" habe ich mein Smartphone löschen können. Diese Optionen gibt es dort:

 

TAN-Verfahren
Übersicht: Verwaltung TAN-Verfahren
chipTAN-Standardverfahren festlegen
chipTAN-Generator neu synchronisieren
vertrauenswürdiges Gerät löschen

 

BTW: Gerade wieder mal die 20 Minuten Warteschleife & Co. durchgemacht. Macht ja so einen Spaß. Die Mitarbeiterin hat gleich gesagt, sie hätte keine Ahnung. Sie würde mal versuchen, jemand von der Technik zu verbinden. Seitdem sie das gesagt hat, ist die Leitung tot, d.h. die Verbindung steht zwar noch, aber es kommt kein Ton mehr. Das Gespräch ist lt. meinem Handy noch aktiv...

Edit: Jetzt nach ein paar Minuten ohne Ton wurde das Gespräch abgebrochen.