ING (DiBa) - Die Bank für mich?

[SlowHand7]

Das ist doch alles sehr unterschiedlich implementiert. 

Aber letztlich kann die TAN-Generierung doch offline gemacht werden. Das war früher bei Consors mit dem TAN-Generator und auch bei anderen Banken schon der Fall. Da gibt es eine Sequenz die auf beiden Seiten nachfollzogen werden kann.

 

Der Punkt ist doch nur daß die Seite die die Freigabe verlangt anzeigt wofür diese verwendet werden soll.

Egal ob jetzt App oder Website.

Wenn diese kompromittiert ist und etwas anderes macht als angezeigt wird dann hat man eben verloren. 

[howhardgerrard87]

The German angst ums Geld!

 

Nutzt Linux, ließ das privacy Handbuch, nutzt von mir aus VPN und kein Standard Android, liest E-Mails in Text Format und nicht im HTML Format, nutzt keepassXC usw... Dann habt ihr mehr für Sicherheit getan als ein TAN Generator tut bei ing

[odensee]

vor 39 Minuten von howhardgerrard87:

The German angst ums Geld!

 

Nutzt Linux, ließ das privacy Handbuch, nutzt von mir aus VPN und kein Standard Android, liest E-Mails in Text Format und nicht im HTML Format, nutzt keepassXC usw... Dann habt ihr mehr für Sicherheit getan als ein TAN Generator tut bei ing

Seeeeeeehr IT-Laien-taugliches Vorgehen  (Nein, bin kein Laie)

[hquw]

Am 24.6.2023 um 09:19 von howhardgerrard87:

The German angst ums Geld!

 

Nutzt Linux, ließ das privacy Handbuch, nutzt von mir aus VPN und kein Standard Android, liest E-Mails in Text Format und nicht im HTML Format, nutzt keepassXC usw... Dann habt ihr mehr für Sicherheit getan als ein TAN Generator tut bei ing

Inwiefern hilft es mir z.B. ein VPN zu verwenden, wenn sowieso jede Bank alleine aus Compliance-Gründen eine moderne TLS-Konfiguration zur Transportverschlüsselung für ihr Online Banking verwendet? Wie kommst du darauf, dass eine Linux-Distribution einen Sicherheitsgewinn gegenüber einem Android oder iOS (auf einer aktiv mit Sicherheitsupdates versorgten Version) darstellt? HTML-E-Mails können vielleicht privatsphäretechnisch ungünstig sein, wenn entfernte Inhalte zum Tracken verwendet werden, aber inwiefern das ein Sicherheitrisiko sein soll, musst du erst einmal erklären.

 

Nichts für ungut, aber solche Aneinanderreihungen von relativ willkürlichen und teils fragwürdigen Ratschlägen sind meiner Erfahrung nach wenig hilfreich im Kontext des Threads.

[DarkBasti]

Am 24.6.2023 um 09:19 von howhardgerrard87:

Nutzt Linux, ließ das privacy Handbuch, nutzt von mir aus VPN und kein Standard Android, liest E-Mails in Text Format und nicht im HTML Format, nutzt keepassXC usw... Dann habt ihr mehr für Sicherheit getan als ein TAN Generator tut bei ing

Linux habe ich mal für onlinebanking genutzt, allerdings siegt ihrgendwann doch die Bequemlichkeit. 

Keepass ist ebenfalls ein guter Tipp. 

 

Für Tan und Onlinebanking das gleiche Gerät nehmen, sollte man meines Erachtens nicht. 

 

Kann man doch alles machen und es spricht nichts dagegen. 

 

Angst um Geld wird vermutlich jeder haben, der es nicht als selbstverständlich annimmt. Was man hart erarbeitet will man natürlich gut schützen. 

[Hicks&Hudson]

Tja, 2 Monate hat es nur gehalten bei mir die Aktion mit den 3% TG bei der ING.

Aber ich hatte es vermutet, dass es eigentlich mehr nervt als Sinn macht dieses Hopping / Verschieben mehr oder weniger kleiner / großer Beträge zwischen Banken / Depots / Produkten. Meine  Frau lacht mich eh schon seit Jahren aus mit den Worten "Lass es doch, das ist es doch nicht wert, noch mehr Unübersichtlichkeit zu schaffen für ein paar Kröten, die am Ende dann sogar noch kleiner sind, als man anfangs vermutet."

Vermutlich wurde es hier ja schon gepostet: Neue Aktion mit 3,5%

https://www.ing.de/sparen-anlegen/sparen/tagesgeld/

 

Hätte ich nicht das Problem mit der Einlagensicherung, würde ich meine 50.000 zu Zinspilot schubsen und dort die 4,05% (1 Jahr) oder 3,75% (6 Monate) der Credit Agricole nutzen. 

Aber ich mache es einfach und packe meine 50.000 wohl nun dorthin, wo schon ein Teil liegt: Xtrackers Overnight Return ETF.

Der Euro Short Term liegt heute bei 3,4%. Das passt und ich kann mir das überflüssige Gehopse ersparen.

 

[satgar]

vor 38 Minuten von Hicks&Hudson:

Aber ich mache es einfach und packe meine 50.000 wohl nun dorthin, wo schon ein Teil liegt: Xtrackers Overnight Return ETF.

Der Euro Short Term liegt heute bei 3,4%. Das passt und ich kann mir das überflüssige Gehopse ersparen.

Mir ganz persönlich ist das Tagesgeldhopping (mit Angeboten von 6 Monaten Zinsgarantie!) lieber. Bei den Fonds kann es sich ja mE jederzeit ändern und es gibt keinerlei Garantie. Auch sind diese oftmals thesaurierend und bringen mir dann beim Sparerpauschbetrag nichts. Bisher hab ich mich daher immer fürs Hopping entschieden. Aktuell ist alles zu 3,2% zur Consors mit 30 EUR KWK Bonus gegangen. Für meine paar Notgroschen Kröten (etwas über 10k) reicht das^^. Zum 01.01.24 schaue ich dann wieder, was ich mache. Vorher und zwischendurch wechsle ich sowas aber nicht, nur um 0,x% noch mehr Zins zu erhalten. Das rechnet sich nicht.

[west263]

vor 2 Stunden von Hicks&Hudson:

Meine  Frau lacht mich eh schon seit Jahren aus mit den Worten "Lass es doch, das ist es doch nicht wert, noch mehr Unübersichtlichkeit zu schaffen für ein paar Kröten,

damit hatte sie in den letzten Jahren ja auch vollkommen recht. Das war die Mühe nicht wert.

Seit Mitte letzten Jahres sieht mMn die Sache ganz anders aus

 

vor 2 Stunden von Hicks&Hudson:

Hätte ich nicht das Problem mit der Einlagensicherung, würde ich meine 50.000 zu Zinspilot schubsen und dort die 4,05% (1 Jahr) oder 3,75% (6 Monate) der Credit Agricole nutzen. 

.Du musst Zinspilot nicht nutzen. Bei Credit Agricole kann man die Anlage auch direkt abschließen.

Ansonsten ist mir noch nicht ganz klar, wo mit 50k dein Problem mit der Einlagensicherung ist?

[Hicks&Hudson]

vor 11 Minuten von west263:

Bei Credit Agricole kann man die Anlage auch direkt abschließen

Weiß ich, will ich aber nicht, weil ich nicht noch ein Konto eröffnen will und weil ich keinen Bock habe, aufgrund ausländischer Erträge die Anlage KAP auszufüllen.

 

vor 11 Minuten von west263:

Ansonsten ist mir noch nicht ganz klar, wo mit 50k dein Problem mit der Einlagensicherung ist?

Es liegen dort schon knapp 100.000.

 

[west263]

vor 5 Minuten von Hicks&Hudson:

Es liegen dort schon knapp 100.000.

gut, Du hast also ein Luxusproblem

 

vor 3 Stunden von Hicks&Hudson:

Tja, 2 Monate hat es nur gehalten bei mir die Aktion mit den 3% TG bei der ING

meines bleibt jetzt bei der ING bis zum Ende der Aktion liegen und dann schau ich, wo es weiter geht. Ich renne da nicht den nächsten Peanuts hinterher.

[enma]

vor 3 Stunden von Hicks&Hudson:

Vermutlich wurde es hier ja schon gepostet: Neue Aktion mit 3,5%

https://www.ing.de/sparen-anlegen/sparen/tagesgeld/

Für Bestandskunden aber nur 3%, soweit ich sehen kann: https://www.ing.de/sparen-anlegen/sparen/tagesgeld/teilnahmebedingungen-bonuszins/

 

Die Advanzia hat mir als Bestandskunden kürzlich 3,4% für 6 Monate angeboten, daher bin ich jetzt erstmal dort.

[satgar]

vor 36 Minuten von enma:

Für Bestandskunden aber nur 3%, soweit ich sehen kann: https://www.ing.de/sparen-anlegen/sparen/tagesgeld/teilnahmebedingungen-bonuszins/

 

Die Advanzia hat mir als Bestandskunden kürzlich 3,4% für 6 Monate angeboten, daher bin ich jetzt erstmal dort.

Du hast den Aktionszeitraum für Bestandskunden nicht beachtet. Das gilt bei der ING nicht mehr.

[CorMaguire]

vor 36 Minuten von enma:

Für Bestandskunden aber nur 3%, soweit ich sehen kann: https://www.ing.de/sparen-anlegen/sparen/tagesgeld/teilnahmebedingungen-bonuszins/.....

Das war die Aktion vom April.

Jetzt bleibt's bei 0,6%.

--> https://www.ing.de/sparen-anlegen/sparen/tagesgeld/konditionen/

[DennyK]

vor 6 Stunden von Hicks&Hudson:

Aber ich mache es einfach und packe meine 50.000 wohl nun dorthin, wo schon ein Teil liegt: Xtrackers Overnight Return ETF.

Der Euro Short Term liegt heute bei 3,4%. Das passt und ich kann mir das überflüssige Gehopse ersparen.

 

Du meinst den Xtrackers II EUR Overnight Rate Swap (WKN DBX0AN), oder ?

Ich habe in diesen vor mehreren Wochen auch den Großteil meiner Sparrücklagen/Notgroschen gepackt. 

[Hicks&Hudson]

Gerade eben von DennyK:

Du meinst den Xtrackers II EUR Overnight Rate Swap (WKN DBX0AN), oder ?

Ich habe in diesen vor mehreren Wochen auch den Großteil meiner Sparrücklagen/Notgroschen gepackt. 

Genau.

[Schwachzocker]

vor 2 Stunden von CorMaguire:

Das war die Aktion vom April.

Jetzt bleibt's bei 0,6%.

--> https://www.ing.de/sparen-anlegen/sparen/tagesgeld/konditionen/

Neu: Ab dem 05.07.23 gibt es dann 1% p.a. für alle!

[enma]

vor 5 Stunden von satgar:

Du hast den Aktionszeitraum für Bestandskunden nicht beachtet. Das gilt bei der ING nicht mehr.

Tatsache. Die Seite war verlinkt von https://www.ing.de/sparen-anlegen/sparen/tagesgeld/ mit dem Label "Für Bestandskund*innen: Mehr Fragen zur 3,5% Bonuszins p.a. Aktion? Hier geht es zu den FAQ". Vielleicht ist das einfach noch nicht aktualisiert und die Bedingungen für die 3,5%-Aktion für Bestandskunden kommen erst noch.

[OceanCloud]

vor 23 Stunden von Schwachzocker:

Neu: Ab dem 05.07.23 gibt es dann 1% p.a. für alle!

Quelle:

https://www.ing.de/sparen-anlegen/sparen/tagesgeld/

[whister]

vor 4 Stunden von OceanCloud:

Quelle:

https://www.ing.de/sparen-anlegen/sparen/tagesgeld/

Zitat

Jetzt weiter absahnen

 

Zum 05.07.2023 erhöhen wir den variablen Zinssatz von 0,6% p.a. auf 1% p.a.

[trying]

Am 24.6.2023 um 02:14 von wpf-leser:

Meinerseits abschließeder Post zum Thema 2FA an dieser Stelle:

Du lieferst die Wege dorthin, teilweise sogar die Antworten frei Haus mit. 

Zentraler Punkt hier: "Nichterfüllung eines Kriteriums".

Hat jemand meine Zugangsdaten zum Online-Banking / App-PIN (Wissen), hat er noch lange nicht das Gerät (Besitz).

Hat jemand mein Gerät (Besitz), hat er noch lange nicht die Zugangsdaten zum Online-Banking / PIN (Wissen).

Die Unabhängigkeit der Faktoren bleibt bestehen. Wenn du dem Angreifer, der (z.B. über einen Trojaner) Besitz über (bzw. die Nutzungsmöglichkeit für) dein Smartphone erlangt hat, (unwissentlich / versehentlich) auch noch deine Zugangsdaten hinterherschmeißt, bleiben die Faktoren rein logisch natürlich weiterhin unabhängig voneinander - nur hat der Angreifer theoretisch wie praktisch beide nun vorliegen und kann loslegen. Das ist vergleichbar mit dem klassischen "Abschnorcheln" der PIN per Zwischentastatur oder Kamera und Auslesen / Zugriff auf die Girocard per "Zwischenleser" am Geldautomaten. Zwei Faktoren, beide dem Angreifer (unwissentlich / versehentlich) übergeben - tadaaa!

Deine Erklärung ist für mich nicht ganz schlüssig. Das ein Mehrzweckgerät ein Risiko hat übernommen zu werden, sollte denke ich in der Rechnung enthalten sein. Ich verstehe "Heranziehung von mindestens zwei Elementen [...] die insofern voneinander unabhängig sind, als die Nichterfüllung eines Kriteriums die Zuverlässigkeit der anderen nicht in Frage stellt, und die so konzipiert ist, dass die Vertraulichkeit der Authentifizierungsdaten geschützt ist" so, daß die Authentifizierungs auch dann geschützt ist, wenn der Besitzt durch unbemerktes Übernehmen nicht mehr erfüllt ist. Die Pin ist durch die fehlende Unabhänigkeit auf einem Gerät bei einer Übernahme als Wissen nämlich nicht mehr zuverlässig. Das erreicht man beispielsweise mit einem typischen Tan-Generator, der unabhängig vom ausführenden Gerät ist (auf dem das Wissen "Abschnorchelt" werden könnte). Oder auch mit einer reinen Push-Tan App (Besitz), wobei man ein anderes Gerät für das Banking selbst verwendet (Wissen). Wie ich schon sagte, es gibt hier unterschiedliche Auffassungen. Trotzdem danke für deine Schlussfolgerung. Ich glaube wir können beide so nebeneinander stehen lassen.

 

Zitat

1.) Das BSI sieht lt. Zitat Klärungsbedarf in Bezug auf den Einsatz "Mehrzweckgeräte ohne hardwaretechnischen Schutz".

2.) Das BSI sieht diesen Klärungsbedarf im Hinblick auf seinen nicht in der ursprünglichen Vorschrift enthaltenen Vorschlag (-> nicht mehr, nicht weniger), "in Anlehnung an die eIDAS-Verordnung das Vertrauensniveau "substanziell" für entsprechende Zugangsgeräte und Zugangssoftware vorzusehen" bzw. daraus abgeleitete Anforderungen an den Einsatz von "Mehrzweckgeräte[n] ohne hardwaretechnischen Schutz".

 

Nach Lektüre z.B.  hier  und da würde ich abschätzen, dass sich ein solcher Vorschlag zugunsten der Praxistauglichkeit, für die das eklatante Nachteile mit sich brächte, auf absehbare Zeit nicht durchsetzen wird und der Vorschlag schlicht die Anforderungen übertrifft.

 

Ich möchte mich aber natürlich auch für das Zitat bedanken und habe mich (nach den o.g. Gedanken) interessiert mal von der genannten RiLi (EU) 2018/389 über deren "Unterbau" (EU) 2015/2366, Begründung (94) in Richtung EBA ("European Banking Authority") durchgehangelt, die die entsprechende Authentifizierung ausgestalten soll.

 

Der BSI-Artikel scheint mir eher gegen Verabschiedung der 2018er-RiLi entstanden zu sein denn gegen heute. Bei der EBA gibt es einige Dokumente und eine (für mich auf den ersten Blick überraschend, auf den zweiten Blick wiederum nicht) umfangreiche Q&A-Abteilung - man hat sich dem Thema offenbar gewidmet.

 

So auch dem eigentlichen Diskussionsthema - 2FA (bzw. vielmehr "SCA") mit einer App auf einem Gerät?

Hier der Eintrag:

Für mich wird hier nochmal klar, dass die EBA die hardwareseitige Sicherung nicht als Voraussetzung für die SCA betrachtet und der zum Abschluss erwähnte "Paragraph 26" sieht dann (von  hier ) so aus:

Hier wird auch explizit eine Alternative zum "secure element of a device" genannt, womit die Forderung des BSI nach einer solchen Definition erfüllt sein sollte; gleichzeitig ist dieser Weg auch "nur" exemplarisch, womit Raum für weitere Alternativen bleibt.

 

Wenn ich mir so die jeweiligen Einrichtungsprozedere ansehe und den Umstand berücksichtige, stets eine Internetverbindung zum Empfang aktueller Daten zu benötigen, arbeiten möglicherweise alle Institute unter Android heute genau mit der genannten Alternative (und denkbar legitimem Ersatz des "Web-Browsers" durch die jeweilige "(Web-)App"). (Unter iOS könnte es - siehe o.g. Wiki-Artikel - ja auch gut das Secure Element sein - oder eben auch nicht...)

Danke für die Diskussion auf hohem Niveau.

 

Ich halte die Diskussion vom BSI für interessant, da sie Problembewusstsein zeigt. Ich teile deine Einschätzung aber, daß sich die Praxistauglichkeit durchsetzen wird. Ich finde es sogar richtig. Nicht richtig finde ich hingegen, daß mir als Kunden genommen wird dezidierte Hardwareauthentifizierung zu nutzen, um auf ein sehr starkes, "substanzielles" Vertrauensniveau zu kommen. Die App mit der Möglichkeit Transaktionen per unabhängigen Photo Tan-Generator abzusichern wäre eine schöne Ergänzung.

 

Wie bereits gesagt. Da es dein letzter Post zu dem Thema war, lass uns gerne die Argumente so stehen lassen. Ich glaube jeder kann damit die unterschiedlichen Positionen gut nachvollziehen.

 

 

 

[wpf-leser]

vor 8 Stunden von trying:

Nicht richtig finde ich hingegen, daß mir als Kunden genommen wird dezidierte Hardwareauthentifizierung zu nutzen

Da es zum Glück ein anderes Thema abseits der Zulässigkeit des "ein-Gerät-eine-App"-Verfahrens ist: muss man hier nicht schlicht und ergreifend feststellen, dass die ING weiterhin die PhotoTAN mit dediziertem Gerät anbietet? 

[Holgerli]

Einziger Nachteil: PhotoTAN-Gerät und Hardware-Gerät Handy-App parallel geht nicht. Finde ich schade. Fand ich Topp bei der Codi und der DKB als es ChipTAn noch kostenlos gab.

[trying]

vor 6 Stunden von wpf-leser:

Da es zum Glück ein anderes Thema abseits der Zulässigkeit des "ein-Gerät-eine-App"-Verfahrens ist: muss man hier nicht schlicht und ergreifend feststellen, dass die ING weiterhin die PhotoTAN mit dediziertem Gerät anbietet? 

Da hast du recht. Die ING hat einen PhotoTan Generator. Das Problem ist, immer mehr Banken schaffen externe Hardware ab und es bleibt teilweise nur eine "ein-Gerät-eine-App". Wenn man überall die Wahl hätte, würde mich die Thematik nicht so  tangieren. Das stimmt nicht ganz. Ich würde einige Funktionen der App wie Pushnachrichten schon gerne nutzen, aber das geht leider nur noch mit dem Trade-off Vollzugriff. Früher ging das durch die Trennung zwischen Tan und App.

[trying]

vor 7 Stunden von Holgerli:

Einziger Nachteil: PhotoTAN und Hardware-Gerät parallel geht nicht. Finde ich schade. Fand ich Topp bei der Codi und der DKB als es ChipTAn noch kostenlos gab.

Ich auch. Bis auf die Anfälligkeit für Phishing auf dem Endgerät war ChipTan mit QR-Code schon sehr gut gemacht und dürfte gerne weiter existieren. Gerade auch im Zusammenspiel mit Apps.

[wpf-leser]

vor 10 Stunden von Holgerli:

PhotoTAN und Hardware-Gerät parallel geht nicht

Verstehe ich nicht ganz... "Hardware-Gerät" ist doch hier "PhotoTAN" - etwas anderes als dies und/oder die App gibt es mWn. bei der ING nicht. (?)