ING (DiBa) - Die Bank für mich?

[Staatenverbund]

vor 4 Stunden von oktavian:

So ein Angriff ist extrem teuer und lohnt bei Privatpersonen nicht, da du da sehr heftige spezifische zero day exploits brauchst oder der user muss den Trojaner explizit authorisieren.

Da hier möglicherweise nicht jedem klar ist, was ein "zero day exploit" ist: Damit sind Sicherheitslücken gemeint, die noch nicht (also seit 0 Tagen) öffentlich bekannt sind, bzw. vor allem, die aufgrund dessen noch nicht vom jeweiligen Softwarehersteller/-entwickler geschlossen wurden.

 

Und teuer sind die deshalb, weil es einen Markt für solche Sicherheitslücken gibt, wo sich Kriminelle und Geheimdienste überbieten, damit sie exklusives Wissen über solche Sicherheitslücken kriegen, um sie für Angriffe nutzen zu können.

 

Natürlich gibt es keinen Grund, weshalb sich das bei Privatpersonen nicht lohnen sollte, denn Privatpersonen gibt es viele, und zusammen haben diese Privatpersonen auch ziemlich viel Vermögen, auf das einem solch eine Sicherheitslücke Zugriff geben könnte. Und eine der für betroffene Nutzer unschönen Eigenschaften von IT-Sicherheitslücken ist, dass man ihre Ausnutzung, wie alles digitale, hervorragend automatisieren und damit skalieren kann. Wenn ich eine Schwachstelle in Deinem Haustürschloss kenne, muss ich immernoch zu Deinem Haus kommen, um das Schloss mit Trick 17 zu öffnen. Wenn ich eine Schwachstelle in Deiner Software kenne, die sich per Internet ausnutzen lässt, kann ich im Zweifel Millionen von Nutzern dieser Software überall auf dem Planeten vom Sofa aus kompromittieren.

 

Und außerdem entspricht es halt auch mitnichten der Realität, dass man zwingend einen zero day exploit bräuchte, denn eines der großen Probleme in der Enduser-IT-Sicherheit ist heutzutage, dass viele (Android-)Smartphones schon kurze Zeit nach ihrem Erscheinen keine Sicherheitsupdates mehr für Firmware und Betriebssystem erhalten. Es dürften also mehr als genug Leute mit Smartphones unterwegs sein, die entweder sowieso schon bekannte Sicherheitslücken haben, oder aber zumindest im Falle des Bekanntwerdens eines zero days, der ihr Gerät betrifft, nicht davon ausgehen können, zeitnah vom Hersteller des Geräts mit einem Update versorgt zu werden, das sie vor der Ausnutzung schützen würde.

[oktavian]

vor 8 Stunden von Staatenverbund:

Natürlich gibt es keinen Grund, weshalb sich das bei Privatpersonen nicht lohnen sollte,

wie alles digitale, hervorragend automatisieren und damit skalieren kann. Wenn ich eine Schwachstelle in Deinem Haustürschloss kenne, muss ich immernoch zu Deinem Haus kommen, um das Schloss mit Trick 17 zu öffnen. Wenn ich eine Schwachstelle in Deiner Software kenne, die sich per Internet ausnutzen lässt, kann ich im Zweifel Millionen von Nutzern dieser Software überall auf dem Planeten vom Sofa aus kompromittieren.

Man kann sein Android selbst kompilieren und der Linux Kernel ist relativ sicher. Zudem sind die Smartphones doch hinter einer Firewall im Wlan. Keine Ahnung wie du das automatisiert hacken willst? Dafür brauchst du Personal vor Ort oder entsprechende Programme mit Sicherheitslücken auf dem smartphone müssen aktiv sein + teure exploits um root zu erhalten, denn das Programm alleine reicht gar nicht. Selbst mit exploits alleine lässt sich das nicht automatisieren, dass auf jedem Gerät läuft. Beispiele? Leute mit Aluhut können die banking app auch auf extra handy mit flugmodus nutzen und dann nur kurz hinter firewall anmachen und mit wireshark traffic oder ähnliches mitschneiden und automatisiert verdächtige Packete erkennen und wifi deaktivieren. Dann hast du immer noch nicht die ING app kompromittiert, aber ich habe da auch kein whitepaper der Bank gefunden. Ist nicht sehr transparent oder gibt es da was?

[hattifnatt]

vor einer Stunde von oktavian:

Zudem sind die Smartphones doch hinter einer Firewall im Wlan.

Die meisten Smartphone-Nutzer haben doch wohl auch die mobilen Daten aktiviert?

[oktavian]

vor 17 Stunden von etf-friese:

Ja, man kann die app nutzen. Der Login auf der Website ist dann ohne app möglich, nur mir Kontonummer des Verrechnungskontos, PIN und Diba-Key - so wie früher. Bisher zumindest.

Zur Freigabe von Transaktionen wird dann die app genutzt.

Danke. Klingt ganz gut und die app kann man auf mehreren Geräten installieren und wenn handy weg hat man eine Itan-Liste zum reaktivieren oder muss man dann auf einen Reaktivierungsbrief warten? Habe auf der Internetseite was von alter Itan Liste gelesen.

 

Ich setze selbst nicht so auf ETF-sparen, aber werde das mal empfehlen. DIBA war immer sehr simpel von der Bedienung und Null Kosten bei Kauf ist unschlagbar. Beim Verkauf sind sie dann zwar nicht die billigsten, aber wenn man dann einen Entsparplan macht, könnte man immer noch den broker wechseln oder so.

  

vor 2 Stunden von hattifnatt:

Die meisten Smartphone-Nutzer haben doch wohl auch die mobilen Daten aktiviert?

Frag mal deinen Mobilfunkanbieter. Der sollte zwischen seinem Mobilfunknetz und dem Internet eine Firewall laufen lassen, so dass nicht alle ports immer offen sind. Wenn dann wäre das auch kein DIBA spezifisches Problem. Wenn du Angst hast kannst du auch über Mobilfunk einen VPN laufen lassen und das hinter firewall routen mit packetüberwachung. Könntest da auch alle IP Adressen bis auf den bankserver sperren, wenn der konstant bleibt. Ich überwache das bei ING nicht, da ich denen einfach vertraue. Am Handy direkt kann man auch Internet für alles außer banking app sperren im Zweitnutzerkonto, aber wenn der linuxkern gehackt ist, dürfte das nur noch obfuscation sein.

[bondholder]

vor einer Stunde von oktavian:

die app kann man auf mehreren Geräten installieren

Ja, aber was soll das bringen, wenn die ING-App nur auf einem einziges Gerät aktiviert werden kann?

(geht doch)

[Xaro]

vor 24 Minuten von bondholder:

Ja, aber was soll das bringen, wenn die ING-App nur auf einem einziges Gerät aktiviert werden kann?

Wer behauptet das?

Die App kann auf 3 unterschiedlichen Geräten aktiviert werden.

Zitat

Sie können Ihren Zugang auf bis zu drei Geräten verwenden.

https://www.ing.de/hilfe/banking-to-go/kundenservice/#:~:text=Sie können bis zu drei,-%2FTAN-Verfahren selbst verwalten.

[kleinerfisch]

Am 26.3.2021 um 04:05 von Staatenverbund:

Solange die Zahlung rückgängig gemacht werden kann (also, außer per Klage, Urteil und Zwangsvollstreckung ...), muß jeder, der diese Möglichkeit z.B. vor der Erbringung einer Gegenleistung ausschließen will, den Ablauf dieser Frist abwarten. Es ist durchaus eine Stärke der Überweisung, das ich mich als Zahlungsempfänger darauf verlassen kann, dass eine gutgeschriebene Buchung endgültig ist.

Deshalb schrieb ich "Sperrfrist". Geld ist beim Empfänger also sichtbar, aber nicht verfügbar.

Am 26.3.2021 um 04:05 von Staatenverbund:

Das scheint mir keine gute Idee, weil das praktisch eine schnellere Zahlung unmöglich macht.

Noch vor wenigen Jahren war es völlig normal, dass Zahlungen innerhalb Deutschlands 2-3 Tage brauchten. Wer es schneller haben wollte, konnte eine teurere "Blitzüberweisung" veranlassen. Ich nehme an, das waren noch Relikte aus der Zeit vor Online-Banking und EDV.

IIRC gab es dann eine Gesetzesänderung, dass Gelder innerhalb eines (Bankarbeits)tages angekommen sein müssen.

Offenbar ist das ja technologisch problemlos auch in der Masse möglich.

Ich sehe allerdings die großen Vorteile der schnelleren Überweisungen im Normalfall bei Privatkonten nicht (für Geschäftskonten kann es ja auf Wunsch andere Regeln geben), dafür aber den Nachteil, dass das Geld schneller unauffindbar werden kann. Statt für schnellere Zahlungswege könnte man daher die technologische Beschleunigung für erhöhte Sicherheit nutzen.

 

Sofortzahlungen gingen damals übrigens auch schon über spezialisierte Zahlungsdienstleister (Kreditkarten!), die das Ausfallrisiko beim Empfänger versicherten.

Am 26.3.2021 um 04:05 von Staatenverbund:

Außerdem eröffnet die Möglichkeit, Zahlungen rückgängig zu machen, andere Betrugsformen nach dem Muster des Scheckbetruges: Da die meisten Zahlungsempfänger sich nicht bewusst sind, dass die Gutschrift nicht endgültig ist, kann ein Betrüger eine solche "vorläufige Gutschrift" verursachen und dann das Opfer per Social Engineering unter irgendeinem Vorwand dazu bringen, dieses "zuviel gezahlte Geld" oder sowas auf einem anderen Wege "zurückzuzahlen", idR. dann halt auf einem Weg, der sich nicht rückgängig machen lässt (Bargeld, Gutscheinkarten, whatever), bevor die ursprüngliche Zahlung platzt oder sonst irgendwie rückgängig gemacht wird.

Betrug wird es immer geben, das ist auch ein Strohmannargument. Die Vorläufigkeit der Buchung kann ja deutlich sichtbar angezeigt werden.

Die entscheidende Frage ist doch, ob man es dem Betrüger leicht macht, indem man eine skalierungsfähige Betrugsmöglicheit eröffnet oder ob er für jede Einzeltat extra "arbeiten" muss wie in Deinem Beispiel (eigentlich ist das doch Deine eigene Argumentation?).

 

[Staatenverbund]

vor 3 Stunden von kleinerfisch:

Deshalb schrieb ich "Sperrfrist". Geld ist beim Empfänger also sichtbar, aber nicht verfügbar.

Naja, aber was nützt eine Sperrfrist, wenn die Zahlung trotzdem endgültig ist? Solange die Sperrfrist kürzer ist als die Dauer eines Gerichtsverfahrens für die Durchsetzung der Rückforderung mit anschließender Zwangsvollstreckung, kann das Geld abfließen, bevor es zurückgeholt werden kann. Und wenn man das dahingehend aufweicht, dass der Zahler die Freigabe der Mittel einseitig weiter verzögern kann, handelt man dem Zahlungsempfänger wieder ein Liquiditätsrisiko ein.

vor 3 Stunden von kleinerfisch:

Noch vor wenigen Jahren war es völlig normal, dass Zahlungen innerhalb Deutschlands 2-3 Tage brauchten. Wer es schneller haben wollte, konnte eine teurere "Blitzüberweisung" veranlassen. Ich nehme an, das waren noch Relikte aus der Zeit vor Online-Banking und EDV.

Noch vor wenigen (naja, mehr oder weniger) Jahren war es völlig normal, dass Dinge vor Ort im Laden gekauft wurden und man alle Bankgeschäfte vor Ort in der Filiale der Hausbank erledigte.

 

Wenn Banküberweisungen mehr oder weniger synonym sind mit Gehalts- und Mietzahlungen, dann ist eine Laufzeit von 2-3 Tagen halt kaum ein Hindernis. Wenn man per Internet einkauft und bei verschiedenen Onlinebanken Dienstleistungen in Anspruch nimmt, wären 2-3 Tage Laufzeit schon ziemlich ärgerlich.

vor 3 Stunden von kleinerfisch:

IIRC gab es dann eine Gesetzesänderung, dass Gelder innerhalb eines (Bankarbeits)tages angekommen sein müssen.

Offenbar ist das ja technologisch problemlos auch in der Masse möglich.

Ja, das ist aber auch schon nicht mehr so ganz neu. Der aktuelle Stand ist SCT Inst, aka "Echtzeitüberweisung". Bisher nicht verpflichtend, und die ING Deutschland macht dabei bisher auch nicht mit, aber die meisten Banken in Deutschland bieten inzwischen Überweisungen mit Laufzeiten von wenigen Sekunden, auch an Sonn- und Feiertagen, an, oft zwar (noch) mit Aufpreis, aber oft auch zum gleichen Preis wie reguläre Überweisungen (also oft auch kostenfrei), und wenn mit Aufpreis dann idR. erheblich günstiger als traditionelle "Blitzüberweisungen".

vor 3 Stunden von kleinerfisch:

Ich sehe allerdings die großen Vorteile der schnelleren Überweisungen im Normalfall bei Privatkonten nicht (für Geschäftskonten kann es ja auf Wunsch andere Regeln geben),

Also, ich finde es durchaus vorteilhaft, einen Tag weniger auf Lieferungen warten zu müssen. Und ich fände es auch vorteilhaft, Geld aus und für Wertpapiergeschäfte(n) schneller verschieben zu können. So, ganz als Privatperson.

vor 3 Stunden von kleinerfisch:

dafür aber den Nachteil, dass das Geld schneller unauffindbar werden kann. Statt für schnellere Zahlungswege könnte man daher die technologische Beschleunigung für erhöhte Sicherheit nutzen.

Naja, "Auffindbarkeit" ist ja aber auch nicht wirklich das primäre Problem. Wenn Geld innerhalb der EU auf einem Konto gutgeschrieben wurde, dann wird es im Regelfall möglich sein, das nachzuvollziehen. Und eine konkrete Zahlung zu sperren verhindert ja auch nicht zwingend, dass das Geld wieder abfließt, denn Geld ist fungibel, und so Konten haben ja auch gerne mal einen Dispo-Rahmen. Das Problem ist, die Zahlung rückabzuwickeln und festzulegen, wer das Risiko des Zahlungsvorgans trägt. Die Auffindbarkeit wird zum Problem, wenn das Geld die lokale Jurisdiktion verlässt. Nur, wenn das Geld die lokale Jurisdiktion verlässt, dann greifen etwaige Vorschriften dieser Jurisdiktion zu Sperrfristen o.ä. halt auch nicht mehr. Also, es sei denn, man schreibt echte Verzögeungen bei Zahlungen in Drittstaaten vor. Aber dann produzierst Du halt wieder direkt künstliche Liquiditätsprobleme.

vor 4 Stunden von kleinerfisch:

Sofortzahlungen gingen damals übrigens auch schon über spezialisierte Zahlungsdienstleister (Kreditkarten!), die das Ausfallrisiko beim Empfänger versicherten.

Fragt sich, ob das wirklich eine effiziente Lösung ist? Schließlich bezahlen alle Nutzer dieses Zahlungssystems die Schäden mit. Und außerdem blieb immernoch ein nicht unerhebliches Restrisiko für beide Seiten, da so Zahlungsdienstleister halt oft auch eher fragwüdige Entscheidungen bei der Risikozuordnung treffen.

 

Mir scheint es alles in allem deutlich zielführender, einfach starke Authentifizierungsverfahren zu nutzen und damit zu verhindern, dass unautorisierte Zahlungen ausgelöst werden, statt zu versuchen, mit einem Haufen Workarounds die Schäden zu minimieren, die aus mangelhafter Authentifizierung resultieren.

vor 4 Stunden von kleinerfisch:

Betrug wird es immer geben,

?! Betrug wird es immer geben, deshalb ... was? Sollte man sich nicht um die Minimierung von Betrugsmöglichkeiten kümmern?

vor 4 Stunden von kleinerfisch:

das ist auch ein Strohmannargument. Die Vorläufigkeit der Buchung kann ja deutlich sichtbar angezeigt werden.

Ja, das könnte man natürlich. Meine Skepsis in der Richtung kommt sicher nicht zuletzt daher, dass Banken bisher regelmäßig nicht direkt hilfreich dabei waren, dem Kunden z.B. den valutarischen Kontostand nachvollziehbar zu machen.

vor 4 Stunden von kleinerfisch:

Die entscheidende Frage ist doch, ob man es dem Betrüger leicht macht, indem man eine skalierungsfähige Betrugsmöglicheit eröffnet oder ob er für jede Einzeltat extra "arbeiten" muss wie in Deinem Beispiel (eigentlich ist das doch Deine eigene Argumentation?).

Ja, sicher ist eine Angriffsmöglichkeit, die Social Engineering braucht "besser" als eine voll automatisierbare. Mir leuchtet nur nicht ein, warum wir nicht stattdessen das zugrundeliegende Problem lösen sollten und damit beide Angriffsmöglichkeiten aus dem Weg räumen.

 

Unterstützung für echte 2FA nach offenem, bankenübergreifendem Standard (also nicht ein Gerät pro Bank, und vor allem keine propietären Verfahren) zwingend für alle Banken, Unterstützung für weitere Authentifizierungsverfahren, auch beliebig schwach, optional, mit einer Möglichkeit für den Kunden, tägliche und monatliche Verfügungsgrenzen für die verschiedenen Authentifizierungsverfahren vorzugeben, mit einer sinnvollen Standardkonfiguration.

 

Das würde das Problem praktisch erschlagen. Alltags-Kleinstzahlungen könntest Du möglicherweise mit einem einfachen Klick auf der Bankwebseite freigeben (oder entsprechende Payment-Integration im Browser, am besten), aber wenn Du Deine gesamten Ersparnisse umherschieben oder die oben genannten Verfügungslimits ändern willst, müsstest Du halt Dein 2FA-Gerät rauskramen und damit die Zahlungsdaten verifizieren.

[Staatenverbund]

vor 11 Stunden von oktavian:

Man kann sein Android selbst kompilieren

Ja ... und?!

vor 11 Stunden von oktavian:

und der Linux Kernel ist relativ sicher.

Relativ ist aber eben auch relativ. Ist ja nun nicht so, dass es keine CVEs zum Linux-Kernel gäbe. Und außerdem sind so Kernel für Mobilgeräte halt nicht selten vom Hersteller gepatcht, und das muss nicht unbedingt die gleiche Qualität haben wie ein Vanilla-Kernel.

vor 11 Stunden von oktavian:

Zudem sind die Smartphones doch hinter einer Firewall im Wlan. Keine Ahnung wie du das automatisiert hacken willst?

Bessere Frage: Wie sollte eine nicht näher spezifizierte Firewall das verhindern?

 

Mal davon abgesehen, dass natürlich Smartphones regelmäßig auch (wie schon von hattifnatt erwähnt) eine Mobilfunkanbindung haben, und dass natürlich auch im W-LAN zwischen dem Smartphone und anderen Geräten innerhalb des LANs regelmäßig keinerlei Firewall zu finden ist.

vor 11 Stunden von oktavian:

Dafür brauchst du Personal vor Ort oder entsprechende Programme mit Sicherheitslücken auf dem smartphone müssen aktiv sein + teure exploits um root zu erhalten, denn das Programm alleine reicht gar nicht. Selbst mit exploits alleine lässt sich das nicht automatisieren, dass auf jedem Gerät läuft.

Äh ... was willst Du mir sagen?! Also, nein, Personal vor Ort braucht man bei remote ausnutzbaren Vulnerabilities natürlich nicht, und bei Zeug, das unverdächtige Benutzer-Interaktion braucht, auch nicht, die "teuren" zero days hatte ich bereits adressiert ... insgesamt ist mir ziemlich unklar, was hier Dein Argument ist.

vor 12 Stunden von oktavian:

Leute mit Aluhut können die banking app auch auf extra handy mit flugmodus nutzen und dann nur kurz hinter firewall anmachen und mit wireshark traffic oder ähnliches mitschneiden und automatisiert verdächtige Packete erkennen und wifi deaktivieren.

Ich glaube nicht, dass der Besitz eines Aluhutes dazu qualifiziert, ein Wireshark zu bedienen, geschweige denn, aus dessen Output schlau zu werden, geschweige denn, darin "verdächtige Pakete" zu erkennen.

 

Auch hier fällt es mir schwer, zu erkennen, was das Argument sein soll. Man kann eine App, die für ihre Funktion eine Internetverbindung braucht, natürlich nicht ohne Internetanbindung benutzen, und ein "kurz anmachen" verhindert halt keine Informationslecks oder auch nur Exploitation (zumal Du im Zweifel bei einem bereits exploiteten Gerät halt auch gar keine Kontrolle über die Internetverbindung hast, weil im Zweifel bei einem exploiteten Gerät die Anzeige im Display natürlich überhaupt nicht mit dem tatsächlichen Verbindungsstatus übereinstimmen muss), und irgendwie automatisiert "verdächtige Pakete" zu erkennen ist bekanntermassen ein grundsätzlich unlösbares Problem, also offensichtlich keine Lösung für irgendwas.

 

Und außerdem hülfe es dem unbedarften Nutzer halt genau gar nichts weiter, wenn ein paar Experten im Bereich IT-Sicherheit in der Lage wären, eine Banking-App auf sichere Art und Weise zu nutzen, indem sie sich unter Andwendung ihrer Fachkenntnisse verrenken.

[Gast231208]

vor 11 Minuten von Staatenverbund:

 

Und außerdem hülfe es dem unbedarften Nutzer halt genau gar nichts weiter, ...

Habe ich (= unbedarfter Nutzer) mir auch gerade gedenkt, nachdem ich die hochinteressante Diskussion (ist das eigentlich ein spezifisches ING-Problem?) sehr oberflächlich überflogen habe.

[Staatenverbund]

vor 8 Stunden von oktavian:

Frag mal deinen Mobilfunkanbieter. Der sollte zwischen seinem Mobilfunknetz und dem Internet eine Firewall laufen lassen, so dass nicht alle ports immer offen sind.

Äh ... warum sollte eine bestimmte Klasse von Internetanbietern eingehende Verbindungen unterbinden!?

vor 8 Stunden von oktavian:

Wenn du Angst hast kannst du auch über Mobilfunk einen VPN laufen lassen und das hinter firewall routen mit packetüberwachung.

Und wofür soll das jetzt wieder gut sein?! Und was für eine "Paketüberwachung"?

 

Mit Verlaub, aber das klingt alles wie eine Aneinanderreihung von Begriffen, die irgendwie etwas mit IT-Sicherheit zu tun haben, aber ohne jedes Verständnis, welche Rolle diese Technologien bei der Absicherung von IT-Systemen spielen können, wie konkrete Angriffe funktionieren, und damit vor allem, wo die Grenzen dieser Technologien sind - und wo diese Technologien selbst zum Sicherheitsproblem werden, der Einsatz also das Risiko erfolgreicher Angriffe nicht nur nicht senkt, sondern sogar erhöht.

vor 8 Stunden von oktavian:

Könntest da auch alle IP Adressen bis auf den bankserver sperren, wenn der konstant bleibt.

Nein, kannst Du nicht, weil dann geht die DNS-Resolution des Bankservers nicht mehr.

 

Aber vor allem hast Du im Zweifel schon einen Haufen Software in Deinem Smartphone, die von außen erreichbar ist, ohne jemals diesen IP-Filter zu durchqueren. Sei es die Firmware, die die ganzen Mobilfunkprotokolle implementiert, die ja tendentiell auf einem ganz eigenen Prozessor läuft, sei es die Software in der SIM-Karte (ist ja auch noch ein eigenständiger Computer), die direkt vom Mobilfunk-Protokollstapel ohne Beteiligung von IP ansprechbar ist und ihrerseits mit der Außenwelt kommunizieren kann und deren Software potentiell remote updatebar ist, seien es die Treiber im Kernel auf dem Applikationsprozessor für die Anbindung zu Kommunikationsschnittstellen, oder sei etwaiges IP-Paket-Handling, das im Kernel passiert, bevor so ein Paket beim Paketfilter landet. Überall dort können Sicherheitslücken lauern, die zur Kompromittierung genutzt werden können, und überall dort kann Kommunikation stattfinden, die Du so weder unterbinden noch bemerken kannst und damit Geheimnisse unbemerkt exfiltrieren könnte.

[odensee]

vor 8 Minuten von pillendreher:

Habe ich (= unbedarfter Nutzer) mir auch gerade gedenkt, nachdem ich die hochinteressante Diskussion (ist das eigentlich ein spezifisches ING-Problem?) sehr oberflächlich überflogen habe.

Es ist insofern ein spezifisches ING-Thema, als die ING ihre Kunden mit Girokonto mit einer Banking-App zwangsbeglückt (sofern sie nicht gewillt sind, ca. 30 Euro Lösegeld für einen Photo-TAN-Generator zuzahlen). Anders als anderen Banken möchte die ING in Zukunft auf Kunden verzichten, die lediglich eine kostenlose TAN-App wünschen (sowas, was Consors, Smartbroker, comdirect, andere weiß ich nicht, problemlos auf die Kette bekommen).

[Staatenverbund]

vor 9 Minuten von pillendreher:

Habe ich (= unbedarfter Nutzer) mir auch gerade gedenkt, nachdem ich die hochinteressante Diskussion (ist das eigentlich ein spezifisches ING-Problem?) sehr oberflächlich überflogen habe.

Ich glaube nicht, dass "gedenkt" eine korrekte Beugungsform von "denken" ist ;-)

 

Spezifisch für die ING scheint zu sein (das war jedenfalls ja der Auslöser der Diskussion, ich habe das nicht selber geprüft), dass sie die Freigabe von über das Smartphone erteilten Aufträgen mittels eines vermeintlichen zweiten Faktors erlauben, der seinerseits in der gleichen App implementiert ist, über die der Auftrag erteilt wurde. Damit wäre es halt kein echter zweiter Faktor, und das warum, wieso, weshalb, ist der Inhalt dieser Diskussion - die aber natürlich als Hintergundwissen zur Beurteilung von Sicherheitsverfahren nicht bankspezifisch ist.

[hattifnatt]

vor 52 Minuten von odensee:

die lediglich eine kostenlose TAN-App wünschen (sowas, was Consors, Smartbroker, comdirect, andere weiß ich nicht, problemlos auf die Kette bekommen).

DKB könnte man noch anführen. PS. denke auch wie @Staatenverbund, dass ein standardisiertes Authentifizierungs-Protokoll anstelle des aktuellen "Zoos" von proprietären Apps sowohl den Kunden als auch der Sicherheit nützen würde ...

[stargate]

vor 45 Minuten von Staatenverbund:

Ich glaube nicht, dass "gedenkt" eine korrekte Beugungsform von "denken" ist ;-)

 

Spezifisch für die ING scheint zu sein (das war jedenfalls ja der Auslöser der Diskussion, ich habe das nicht selber geprüft), dass sie die Freigabe von über das Smartphone erteilten Aufträgen mittels eines vermeintlichen zweiten Faktors erlauben, der seinerseits in der gleichen App implementiert ist, über die der Auftrag erteilt wurde. Damit wäre es halt kein echter zweiter Faktor, und das warum, wieso, weshalb, ist der Inhalt dieser Diskussion - die aber natürlich als Hintergundwissen zur Beurteilung von Sicherheitsverfahren nicht bankspezifisch ist.

Aber selbst wenn die ING eine separate App für den 2. Faktor hätte, würde sich doch kein Mensch deswegen ein 2. Smartphone zulegen. Ich fand es z.b auch bedenklich dass die DKB ihre Sicherheitsgarantie abgeschafft hat, weil es ja jetzt bzw. schon seit einiger Zeit einen 2. Faktor gibt.

[bondholder]

vor einer Stunde von stargate:

Aber selbst wenn die ING eine separate App für den 2. Faktor hätte, würde sich doch kein Mensch deswegen ein 2. Smartphone zulegen.

Ich will überhaupt gar keine Banking-Transaktionen allein auf dem Smartphone ausführen.

[Staatenverbund]

vor 2 Stunden von stargate:

Aber selbst wenn die ING eine separate App für den 2. Faktor hätte, würde sich doch kein Mensch deswegen ein 2. Smartphone zulegen.

Zum einen natürlich, was bondholder sagt: Man könnte die Smartphone-TAN-App nur zur Freigabe von Aufträgen vom PC benutzen, dann hätte man zumindest ein gewisses Maß an Trennung zwischen den beteiligten Systemen, sodass die Kompromittierung nur eines Systems einem Angreifer nicht direkt ermöglicht, Aufträge zu erteilen.

 

Zum anderen haben aber getrennte Apps für "Bankgeschäfte" und für TAN-Erzeugung auch schon einen gewissen Vorteil gegenüber der Implementation beider Funktionen in einer App, weil Smartphone-Betriebssysteme eine relativ strikte Privilegientrennung zwischen verschiedenen Apps implementieren, die dafür sorgt, dass Sicherheitslücken in einer App nicht direkt den Zugriff auf die Daten anderer Apps erlauben. Wenn also die (ja idR. wesentlich umfangreichere und alleine deshalb wahrscheinlich mit mehr Softwarefehlern und damit wahrscheinlich auch mehr Sicherheitslücken behaftete) Banking-App kompromittiert ist, wäre es möglich, dass die TAN-App dadurch noch nicht kompromittiert ist, und wenn man in dieser die Transaktionsdaten abgleicht, bevor man die TAN freigibt, würde das mglw. vor Sicherheitslücken in der Banking-App schützen.

 

Ich würde auch das noch für eine eher unzureichende Privilegientrennung halten, aber wenn's nur ein Konto für Kleinbeträge ohne Kreditrahmen ist, mag's vielleicht gut genug sein?

[kleinerfisch]

vor 16 Stunden von Staatenverbund:

Solange die Sperrfrist kürzer ist als die Dauer eines Gerichtsverfahrens für die Durchsetzung der Rückforderung mit anschließender Zwangsvollstreckung, kann das Geld abfließen, bevor es zurückgeholt werden kann.

Ich weiß nicht, worüber Du hier redest, aber ich habe das Problem bisher so verstanden, dass ein Betrüger meinen Bankzugang kapert und mein Geld entweder ins Ausland verschiebt oder auf ein mit falschem Namen eröffnetes Konto in D und sofrt abhebt/weiterverschiebt.

Da reicht dann in meinem Modell ein (fristgerechter) Anruf bei der Bank und das Geld kommt zurück.

vor 17 Stunden von Staatenverbund:

Also, ich finde es durchaus vorteilhaft, einen Tag weniger auf Lieferungen warten zu müssen. Und ich fände es auch vorteilhaft, Geld aus und für Wertpapiergeschäfte(n) schneller verschieben zu können.

Bei Verschiebungen mit gleichem Kontoinhaber muss das ja nicht gelten, ebenso für Bagatellzahlungen. Für größere Beträge könnte es ein abgestuftes System geben und eine OptOut-Möglichkeit mit Risikoübernahme durch den Kunden wäre auch denkbar.

Klar, ist längeres Warten eine Last. Gesteigerte Angst vor Betrug ist aber auch eine und sich alle paar Jahre mit einem neuen System und/oder neuer Technik auseinanderzusetzen ebenfalls. Für mich ist schon das Smartphone eine Last - ohne Online-Banking würde mir ein normales Handy reichen, das ich auch nur im Urlaub bräuchte.

vor 17 Stunden von Staatenverbund:

Mir leuchtet nur nicht ein, warum wir nicht stattdessen das zugrundeliegende Problem lösen sollten und damit beide Angriffsmöglichkeiten aus dem Weg räumen.

Weil jede Software fehlerbehaftet ist und die Fehler irgendwann gefunden und ausgenutzt werden.

Dein Vorschlag mit einem bankübergreifenden System klingt auf den ersten Blick gut (da für alle Seiten vereinfachend) aber hat den grundlegenden Nachteil, dass ein Fehler in diesem System gleich alle Konten bei allen Banken betreffen würde. Das Problem der Skalierbarkeit eines Angriffs würde also vervielfacht und die Attraktivität für Hacker massiv gesteigert.

 

Was ihr Jüngeren Euch mal klarmachen müsst, ist das große Teile der Bevölkerung schlicht abgehängt werden. In meinem Bekanntenkreis sind viele totale Smartphone-Analphabeten (können telefonieren und vielleicht gerade noch SMS) und auch etliche Computer-Verweigerer. Davon gibt es, glaube ich, noch sehr viele in der Altersgruppe >50, also durchaus noch im Arbeitsleben und auch die Gruppe mit den höchsten Privatvermögen.

[oktavian]

vor 15 Stunden von Staatenverbund:

Äh ... warum sollte eine bestimmte Klasse von Internetanbietern eingehende Verbindungen unterbinden!?

Und wofür soll das jetzt wieder gut sein?! Und was für eine "Paketüberwachung"?

 

Mit Verlaub, aber das klingt alles wie eine Aneinanderreihung von Begriffen, die irgendwie etwas mit IT-Sicherheit zu tun haben, aber ohne jedes Verständnis, welche Rolle diese Technologien bei der Absicherung von IT-Systemen spielen können, wie konkrete Angriffe funktionieren, und damit vor allem, wo die Grenzen dieser Technologien sind - und wo diese Technologien selbst zum Sicherheitsproblem werden, der Einsatz also das Risiko erfolgreicher Angriffe nicht nur nicht senkt, sondern sogar erhöht.

Nein, kannst Du nicht, weil dann geht die DNS-Resolution des Bankservers nicht mehr.

 

Aber vor allem hast Du im Zweifel schon einen Haufen Software in Deinem Smartphone, die von außen erreichbar ist, ohne jemals diesen IP-Filter zu durchqueren. Sei es die Firmware, die die ganzen Mobilfunkprotokolle implementiert, die ja tendentiell auf einem ganz eigenen Prozessor läuft, sei es die Software in der SIM-Karte (ist ja auch noch ein eigenständiger Computer), die direkt vom Mobilfunk-Protokollstapel ohne Beteiligung von IP ansprechbar ist und ihrerseits mit der Außenwelt kommunizieren kann und deren Software potentiell remote updatebar ist, seien es die Treiber im Kernel auf dem Applikationsprozessor für die Anbindung zu Kommunikationsschnittstellen, oder sei etwaiges IP-Paket-Handling, das im Kernel passiert, bevor so ein Paket beim Paketfilter landet. Überall dort können Sicherheitslücken lauern, die zur Kompromittierung genutzt werden können, und überall dort kann Kommunikation stattfinden, die Du so weder unterbinden noch bemerken kannst und damit Geheimnisse unbemerkt exfiltrieren könnte.

Wie gesagt, du kannst dein Android selbst kompilieren und ohne google dienste, sim dienste, blutooth etc. betreiben. Du kannst die IP des Bankservers abgreifen und allen anderen traffic explizit sperren (bei wechsel der ip von hand oder per script anpassen). Du kannst auch nur bei Laufen der banking app Internet laufen lassen. DNS brauchst du nur, wenn sich die Ip Adressen der Bank ändern und kannst deinen eigenen DNS-server aufsetzen mit aktueller Bank ip. Firewall bedeutet nur angeforderten inbound traffic durchlassen.

 

Nenne ein einziges konkretes Beispiel einer automatisierten Attacke mit Standard Android CVE und aktuellem Sicherheitsupdate und aktueller banking app irgendeiner deutschen Bank, oder gebe zu über ein rein theoretisches Problem zu sprechen. Ohne bluetooth und ohne fremdes Wlan (ohne Personal vor Ort) und ohne explizite Installation einer fremd app oder authorisierung durch user.

 

Ich sehe es auch als ein kleines Problem, dass die ING Tan2Go zwangsweise Internet benötigt. (Hier wäre ich für die Verknüpfung mit einem Fido2 usb stick oder photo Tan.) Das Risiko hängt aber stark vom user ab. SMS Beanchrichtigung ab xxxx€ gibt es meines Wissens auch nicht, aber das Standardlimit ist glaube ich 10.000 per app pro Tag. Klar kann man da was verbessern. Wie gesagt würde ich den zusatzpin noch aktivieren bei Überweisung. Ich würde das Depot ohne Girokonto empfehlen mit festem Referenzkonto. Bei welcher wesentlich sicherereren Bank bist du denn Staatenverbund?

 

 

[odensee]

Gerade eben von oktavian:

Wie gesagt, du kannst dein Android selbst kompilieren und ohne google dienste, sim dienste, blutooth etc. betreiben. Du kannst die IP des Bankservers abgreifen und allen anderen traffic explizit sperren (bei wechsel der ip von hand oder per script anpassen). Du kannst auch nur bei Laufen der banking app Internet laufen lassen. DNS brauchst du nur, wenn sich die Ip Adressen der Bank ändern und kannst deinen eigenen DNS-server aufsetzen mit aktueller Bank ip. Firewall bedeutet nur angeforderten inbound traffic durchlassen.

Das ist totaler Quatsch. Sorry. Nur sehr, sehr wenige Kunden der ING können das.

vor 3 Minuten von oktavian:

Bei welcher wesentlich sicherereren Bank bist du denn Staatenverbund?

Wenn ich mal antworten darf: bei Banken, die Banking- und TAN-App trennen und es mir, dem Kunden, überlassen, was ich installieren und nutzen möchte. (Ja, ich könnte bei der ING auch 30 Euro zahlen für die Photo-TAN)

[Gast231208]

vor 25 Minuten von odensee:

...

Wenn ich mal antworten darf: bei Banken, die Banking- und TAN-App trennen und es mir, dem Kunden, überlassen, was ich installieren und nutzen möchte. (Ja, ich könnte bei der ING auch 30 Euro zahlen für die Photo-TAN)

Geht jetzt nicht gegen dich @odensee - aber so einfach wäre es -zum Glück habe ich weiter meine iTAN-Liste.

Wo ist bei manchen das Problem? Sind's die 30€ oder ist's reine Prinzipienreiterei?

Ich selbst habe auch für das Banking bei comdirect (Photo-TAN-Generator)und NIBC direkt (Flicker-Code-Gerät) solche Generatoren (jeweils 2 Stück falls einer kaputt geht).

[odensee]

vor 4 Minuten von pillendreher:

Geht jetzt nicht gegen dich @odensee - aber so einfach wäre es -zum Glück habe ich weiter meine iTAN-Liste.

Wo ist bei manchen das Problem? Sind's die 30€ oder ist's reine Prinzipienreiterei?

Die iTAN-Liste habe ich auch noch, dummerweise aber auch noch ein Girokonto bei der ING. Und wenn ich jetzt das Photo-Ding kaufe, werfe ich es ein halbes Jahr später evtl. in dem Müll, wenn ich das Girokonto kündige. Denn dann DARF ich das Phototeil vermutlich nicht mehr nutzen. (Und wenn es ausfällt, zahle ich vermutlich wieder 30 Euro....). Und ja: bei der ING und mir ist es inzwischen eine Prinzip-Frage. Es könnte sooo einfach sein.

[bondholder]

vor 35 Minuten von pillendreher:

 Sind's die 30€ oder ist's reine Prinzipienreiterei?

32 Euro!

 

vor 25 Minuten von odensee:

Und wenn ich jetzt das Photo-Ding kaufe, werfe ich es ein halbes Jahr später evtl. in dem Müll, wenn ich das Girokonto kündige.

Bitte dann bei ebay Kleinanzeigen verkaufen.

[odensee]

Gerade eben von bondholder:

Bitte dann bei ebay Kleinanzeigen verkaufen.

Was letzte Preis?

[oktavian]

vor 6 Stunden von odensee:

Das ist totaler Quatsch. Sorry. Nur sehr, sehr wenige Kunden der ING können das.

Wenn ich mal antworten darf: bei Banken, die Banking- und TAN-App trennen und es mir, dem Kunden, überlassen, was ich installieren und nutzen möchte. (Ja, ich könnte bei der ING auch 30 Euro zahlen für die Photo-TAN)

Sehe es mal so: Die Unvorsichtigen sind dein Schutzschild, da diese bei allgemeinen Angriffen zuerst gehackt werden. Andererseits finanzieren sie auch die Kriminellen und machen das hauptberufliche Betrügen erst möglich wie email scammer.

 

ja zwei apps wären nett. Andere Banken wie comdirect haben auch tan2app oder so und die apps arbeiten zusammen, wenn man es möchte. Das Ergebnis wäre wie bei ING. Man kann aber auch einfach die tan-app als photo-tan und ich glaube auch offline nutzen. Der onlinezwang und nicht Nicht-Trennung ist schon ing speziell. Selbst wenn man auf photo Tan-Gerät ginge bei ING, kann man wie ich gelesen habe nur ein Gerät registrieren. Ohne Girokonto geht Photo-Tan dann gar nicht.